DE EN
agenticPunk
Zurück zur Übersicht
Anthropic AI Agents Claude

Was der Claude-Code-Leak über Agent-Architektur verrät

02. April 2026 | Roman Zenner
Teilen:
Was der Claude-Code-Leak über Agent-Architektur verrät
Photo by Daan Mooij / Unsplash

Anthropic hat versehentlich die Bauanleitung für seinen wichtigsten Agenten veröffentlicht. 512.000 Zeilen TypeScript, 1.900 Dateien, eine vergessene Zeile in der .npmignore. Was der Leak über Agent-Architektur verrät, ist lehrreicher als jede Keynote.

tl;dr

  • Eine vergessene .npmignore-Zeile legt 512.000 Zeilen Claude-Code-Quellcode offen — der zweite Leak in einer Woche
  • Der Code enthüllt eine dreistufige Speicherarchitektur, die zeigt: Context Windows sind der neue RAM
  • Versteckte Features: KAIROS Always-on-System, Auto Dream, ein Tamagotchi namens Buddy
  • Die Blaupause für ein Produkt mit 2,5 Milliarden Dollar Run-Rate-Revenue liegt jetzt auf GitHub

Was passiert ist

Am 31. März lieferte Anthropic Version 2.1.88 von @anthropic-ai/claude-code an die npm-Registry aus — inklusive einer 59,8 MB großen Source-Map-Datei, die den kompletten TypeScript-Quellcode enthielt. Chaofan Shou, Lead Engineer bei Solayer Labs und Mitgründer der Blockchain-Security-Firma FuzzLand, entdeckte das Leck und teilte es auf X. Innerhalb von Stunden: tausende Forks auf GitHub, Mirrors auf Codeberg, Analysen auf Substack und Hacker News.

Anthropic bestätigte "menschliches Versagen, kein Sicherheitsleck" und jagte über 8.100 DMCA-Takedowns durch GitHub — bevor man die Zahl auf 96 korrigierte, weil der erste Schwung mehr Accounts erwischt hatte als beabsichtigt. Hat nichts genützt: Ein Team lieferte mit Claw Code eine Reimplementierung in Python und Rust — über 100.000 Stars in weniger als einem Tag. Und auf ccunpacked.dev kann man sich die komplette Architektur als interaktive Visualisierung anschauen.

Pikantes Detail: Es war der zweite Leak innerhalb einer Woche. Wenige Tage zuvor war bereits das unveröffentlichte Modell Mythos aufgetaucht.

Was der Code zeigt

Gennaro Cuofano, Gründer von FourWeekMBA, hat die Architektur in "Anthropic's Leak & The Scaffolding Map of AI" seziert. Die zentrale Erkenntnis: eine dreistufige Speicherhierarchie, die um eine harte Einschränkung gebaut ist — LLM-Kontextfenster sind teuer und begrenzt.

Schicht 1: MEMORY.md — ein Index, der immer im System-Prompt liegt. Enthält nur Pointer, nie Wissen selbst. Maximal 150 Zeichen pro Eintrag. Eine Routing-Tabelle, kein Speicher.

Schicht 2: Topic Files — die eigentlichen Wissensinhalte, organisiert nach Thema. Werden nur bei Bedarf geladen, nie vorab.

Schicht 3: Session-Transcripts — rohe .jsonl-Logs aller Interaktionen. Werden nie vollständig in den Kontext geladen, sondern per Grep mit engen Suchbegriffen durchsucht.

Die harte Regel dahinter: "If it's derivable, don't persist it." Was sich aus dem Code ableiten lässt, wird nicht gespeichert. Keine PR-History, keine Debug-Logs, keine Code-Struktur. Nur Wissen, das zur Laufzeit nicht rekonstruierbar ist, darf persistieren.

Dreaming, Daemons und ein Tamagotchi

Der Code enthält mehr als nur Memory-Management. The Verge und das Wall Street Journal haben Features dokumentiert, die noch nicht öffentlich sind:

  • "Auto Dream" — ein Hintergrundprozess, der Sitzungen konsolidiert. Der Agent "träumt" seine eigenen Erinnerungen zusammen, ohne dass ein Mensch das anstößt.
  • KAIROS — ein Always-on-Agent-System mit den Feature-Flags PROACTIVE (autonomes Handeln) und CRON (geplante Ausführung). Claude Code soll im Hintergrund weiterarbeiten, auch wenn der User idle ist
  • "Buddy" — ein Tamagotchi-artiges interaktives Feature im Terminal. Per /buddy aktivierbar. Das Tier wird deterministisch per User-ID aus 18 Species zugewiesen — Oktopus, Drache, Axolotl, Capybara und andere. Es sagt gelegentlich kryptische Dinge. Kein erkennbarer Zweck. Vermutlich ein Experiment zur Agent-Persönlichkeit

Und dann der Punkt, der The Register auf den Plan rief: Eine Datei namens undercover.ts, die Claude Code anweist, bei Beiträgen zu öffentlichen Open-Source-Repositories keine Anthropic-internen Informationen preiszugeben — "Do not blow your cover." Ob das eine pragmatische Sicherheitsmaßnahme ist oder ein Agent, der seine Herkunft verschleiert, darüber lässt sich streiten. Dazu ein Datenschutz-Footprint, der laut The Register "weit über das hinausgeht, was selbst aufmerksame Leser:innen der Nutzungsbedingungen erwarten würden."

Warum das für Agent-Builder:innen relevant ist

Vergessen wir kurz den Skandal. Was hier unfreiwillig offengelegt wurde, ist eine Architektur-Philosophie, die jede:r nachvollziehen kann, die oder der Agents baut:

  • Context Windows sind der neue RAM. Während die halbe Branche auf immer größere Kontextfenster setzt, baut Anthropic Systeme, die so wenig Kontext wie möglich laden. Pointer statt Volltext. Grep statt Bulk-Load. Rigorose Relevanzfilter statt "alles rein und hoffen". Das ist kein Sparsamkeitsreflex — das ist Architektur-Überzeugung.
  • Memory erzeugt rekursiven Overhead. Mehr Speicherfunktionalität erfordert mehr Rechenleistung, die wiederum mehr Memory benötigt. Auto Dream ist das beste Beispiel: Ein signifikanter Teil der Inferenzleistung fließt nicht in produktive Nutzerinteraktionen, sondern in die Pflege des eigenen Gedächtnisses. Wer Agents baut, muss diesen Overhead einkalkulieren.
  • Das Scaffolding ist der Wettbewerbsvorteil, nicht das Modell. In einem Markt, in dem das zugrunde liegende LLM zunehmend austauschbar wird, entscheidet die Architektur drumherum. Wie ein Agent seinen Kontext verwaltet, wie er Aufgaben plant, wie er mit Tools interagiert — das ist es, wofür Anthropic Milliarden ausgegeben hat. Und genau das liegt jetzt offen.

VentureBeat bringt es auf den Punkt: Der Leak "hands competitors a clear guide for replicating a production-grade AI coding agent, including the memory management approach Anthropic spent significant engineering effort developing." Claude Code hat eine Run-Rate-Revenue von 2,5 Milliarden Dollar. Die Blaupause dafür kann sich jetzt jede:r auf GitHub anschauen.

Was bleibt

Anthropic hat zwei Probleme: ein Sicherheitsproblem und ein Wettbewerbsproblem. Das Sicherheitsproblem ist lösbar — bessere CI/CD-Pipelines, strengere Release-Checks. Das Wettbewerbsproblem nicht. Der Code ist draußen. Die Claw-Code-Reimplementierung hat über 100.000 Stars. DMCA-Takedowns gegen Open-Source-Rewrites in anderen Programmiersprachen laufen ins Leere.

Aber hier ist die Kehrseite: Der Leak zeigt auch, wie weit Anthropic der Konkurrenz voraus ist. Wer die Architektur versteht, versteht auch den Abstand. Dreistufige Memory-Hierarchien, "Dreaming"-Prozesse, Agent-Autonomie mit abgestuften Sicherheitsebenen — das baut man nicht in einem Sprint nach. Nachmachen ist eine Sache. Auf dem gleichen Niveau weiterentwickeln eine andere.

Die unbequemste Erkenntnis für alle, die Agents bauen: Das teuerste Problem ist nicht das Modell. Es ist das Gedächtnis.

Ein LLM hat recherchiert und geschrieben. Ein Mensch hat gelesen, gestrichen und für gut befunden.