Claude Code geleakt: Milliarden für KI-Sicherheit, null für Softwarehygiene
Kein Hack, kein Exploit – nur ein vergessener Schalter. Und genau dieses Prozessversagen macht den Claude-Code-Leak so gefährlich, meint Moritz Förster.
(Bild: Stockinq/Shutterstock.com)
Es klingt nach dem nächsten großen Skandal: Über 500.000 Zeilen Quellcode von Anthropics CLI-Tool Claude Code tauchen öffentlich auf. Die Security-Community horcht auf, Wettbewerber reiben sich die Hände, Kommentatoren wittern den nächsten Beweis, dass KI eh an allem schuld ist. Doch wer genauer hinschaut, findet keine ausgeklügelte Attacke, keinen Zero-Day-Exploit, nicht einmal Social Engineering. Sondern schlicht eine Source Map im npm-Paket, die da nicht hingehörte. Also bloß ein vergessener Schalter in der Build-Pipeline. System scheint hier nur die Schludrigkeit zu haben.
Debug-Artefakte im Produktions-Build – ein Klassiker
Source Maps sind nützliche Helfer in der Entwicklung. Sie bilden kompilierten Code zurück auf den lesbaren Quelltext – unverzichtbar beim Debuggen, fatal in der Produktion. Dass sie im fertigen Paket landen, passiert nicht durch einen raffinierten Angriff oder eine ausgerastete KI. Es passiert, weil niemand den Build-Prozess sauber konfiguriert hat. Oder weil die Konfiguration irgendwann still und leise überschrieben wurde. Oder weil schlicht niemand nachgeschaut hat.
Entwickler kennen das Muster. Es ist die vergessene .env-Datei im Git-Repository. Das Docker-Image mit eingebetteten Credentials. Die Debug-API, die seit Monaten offensteht, weil sie ja „nur intern“ ist. Genau das ist Prozessversagen.
Niemand fühlt sich zuständig
Moderne Build-Pipelines sind überaus komplex. Bundler, Transpiler, Minifier, Packager – jeder Schritt erzeugt Artefakte, jeder Schritt kann Dinge durchreichen, die nicht nach draußen gehören. Die Verantwortung dafür verteilt sich auf ein Tohuwabohu an Tools, Konfigurationsdateien und Teams. Am Ende fühlt sich niemand zuständig. „Die Pipeline macht das schon“ ist aktuell einer der gefährlichsten Sätze in der Softwareentwicklung.
Bei klassischen Projekten geht das meistens noch gut. Die Artefakte sind langweilig, der Schaden überschaubar. Bei einem KI-Tool wie Claude Code sieht das anders aus. Hier stecken im Code nicht nur Implementierungsdetails, sondern Architekturentscheidungen, Feature-Flags für unveröffentlichte Funktionen und die komplette Orchestrierungslogik eines agentischen Systems. Wer das lesen kann – und das kann jeder mit npm und etwas Geduld –, bekommt eine Blaupause frei Haus.
Tempo schlägt Sorgfalt
KI-Unternehmen stehen unter enormem Innovationsdruck. Releases folgen in kurzen Zyklen, Features müssen raus, bevor der Wettbewerber sie zeigt. In diesem Tempo bleiben Sicherheits-Gates auf der Strecke. Nicht aus Schlampigkeit oder gar Böswilligkeit, sondern aus Pragmatismus. Die nächste Demo zählt mehr als das nächste Audit.
Das Ergebnis: Tools, die tief in lokale Entwicklungsumgebungen eingreifen, Code lesen, schreiben und ausführen, werden mit derselben Release-Disziplin behandelt wie ein Frontend-Widget. Dass das schiefgeht, ist keine Überraschung. Es ist nur eine Frage der Zeit.
Bekannte Fehler, neue Dimension
Der aktuelle Vorfall wirkt nicht wie ein völlig isolierter Ausrutscher: Medienberichten zufolge ist es bereits die zweite unbeabsichtigte Offenlegung rund um Claude Code in etwas mehr als einem Jahr. Ganz allgemein kennt die Branche das Problem schon lange. OWASP listet „Cryptographic Failures“ (vormals Sensitive Data Exposure) seit Ewigkeiten in den Top Ten. Trotzdem passiert es immer wieder – nur dass die Konsequenzen wachsen.
Videos by heise
Denn ein geleakter Quellcode ist hier mehr als ein PR-Problem. Er zeigt Wettbewerbern, wie Anthropic agentische Workflows orchestriert. Er zeigt Angreifern, wo die Logik Annahmen macht, die man ausnutzen kann. Er zeigt der Öffentlichkeit, dass ein Unternehmen, das Milliarden für KI-Sicherheit einwirbt, bei grundlegender Softwarehygiene patzt.
Firewalls helfen nicht gegen Schlamperei
Der Reflex nach solchen Vorfällen ist vorhersehbar: mehr Security-Tools, mehr Monitoring, mehr Abwehr nach außen. Aber gegen was genau? Hier gab es keinen Angreifer, den man hätte aufhalten können. Keine Firewall der Welt schützt vor einem falsch konfigurierten Build-Skript.
Was helfen würde, ist weniger spektakulär: automatisierte Prüfungen, die vor jedem Release den Paketinhalt scannen. Klare Verantwortlichkeiten im Build-Prozess. Vier-Augen-Prinzip bei Releases sensibler Tools. Alles Dinge, die in der klassischen Softwareentwicklung längst Standard sein sollten – und die offenbar auch bei einem der bestfinanzierten KI-Unternehmen der Welt nicht zuverlässig greifen.
Der eigentliche Weckruf
Und genau weil der eigentlich etablierte Prozess das Problem ist, sollte dieser Vorfall mehr beunruhigen als ein aufsehenerregender KI-Hack. Gegen die in der IT-Branche an vielen Stellen vorherrschende Nachlässigkeit hilft nur Disziplin – und die lässt sich bekanntlich schlecht skalieren.
(fo)
