Anthropic: KI-Leak legt geheime KI-Agenten-Pläne offen

Ein Konfigurationsfehler bei Anthropic hat den Quellcode der KI-Agenten-Plattform Claude Code öffentlich zugänglich gemacht. Der Vorfall gibt Einblick in die Architektur einer der weltweit führenden KI-Entwicklerassistenten und offenbart unveröffentlichte Zukunftspläne des Unternehmens.

Ein simpler Fehler mit schwerwiegenden Folgen

Die Panne geschah nicht durch einen Hackerangriff, sondern durch einen einfachen menschlichen Fehler. Bei einer Routine-Aktualisierung des Software-Pakets auf der Plattform npm wurde versehentlich eine 59,8 MB große Debug-Datei mitveröffentlicht. Diese sogenannte Source Map ermöglichte es, den gesamten TypeScript-Quellcode des Systems – über 512.000 Zeilen – nachzuvollziehen.

Der aktuelle Vorfall zeigt, wie schnell technologische Neuerungen rechtliche Fragen aufwerfen. Dieser kostenlose Download verschafft Ihnen den Überblick zu Fristen, Pflichten und Risikoklassen der neuen EU-KI-Verordnung, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

Sicherheitsforscher machten den Fund am Dienstag, den 31. März, auf der Plattform X publik. Der Link verbreitete sich rasend schnell. Anthropic zog die fehlerhafte Version 2.1.88 zwar umgehend zurück und veröffentlichte eine gepatchte Version. Doch da war es bereits zu spät: Der Code wurde in kürzester Zeit auf Dutzende GitHub-Repositories gespiegelt. Ein Mirror sammelte in weniger als zwei Stunden über 50.000 Sterne – ein Rekord für die Plattform.

Das Unternehmen betont, dass weder Kundendaten noch die Kern-KI-Modelle kompromittiert wurden. Der Schaden beschränkt sich auf die Offenlegung der Orchestrierungslogik. Doch genau diese gibt tiefe Einblicke in die internen Abläufe.

Blaupause für die Zukunft: KAIROS und „Selbstheilendes Gedächtnis“

Die analysierten Dateien enthüllen ambitionierte interne Projekte. Besonders auffällig ist das System KAIROS, das als autonomer Daemon beschrieben wird. Es soll KI-Agenten ermöglichen, langlaufende Aufgaben im Hintergrund auszuführen – etwa die kontinuierliche Überprüfung von Code-Sicherheit oder großangelegte Umstrukturierungen von Codebasen.

Noch bedeutsamer ist die Enthüllung einer neuen Modellfamilie mit dem Codenamen „Mythos“ oder „Capybara“. Die Dokumentation beschreibt ein „Selbstheilendes Gedächtnis“ (Self-Healing Memory, SHM). Diese Architektur soll es der KI ermöglichen, ihren eigenen Kontextverlauf zusammenzufassen, um auch in extrem langen Sitzungen die Kohärenz zu bewahren. Das deutet auf deutlich erweiterte Kontextfenster der nächsten Generation hin.

Weitere Funde sorgen für Diskussionen: Ein „Undercover Mode“ entfernt KI-generierte Signaturen aus Code-Commits. Das könnte die Unterscheidung zwischen menschlicher und maschineller Arbeit erschweren – ein potenzielles Problem für regulierte Branchen mit KI-Offenlegungspflicht. Auch „Anti-Distillation“-Werkzeuge wurden entdeckt. Sie fügen API-Antworten Köderdaten hinzu, um das Nachahmen des Modells durch Konkurrenten zu erschweren.

Neue Technologien bringen oft ungeahnte Cyberrisiken mit sich, auf die viele Unternehmen noch nicht vorbereitet sind. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit zukunftssicher aufzustellen. Kostenlosen Cyber-Security-Report jetzt herunterladen

Sicherheitsalarm: „Schatten-Agenten“ tauchen im Dark Web auf

Die veröffentlichte Orchestrierungslogik zeigt detailliert, wie Claude Code Berechtigungen verwaltet, Bash-Befehle ausführt und auf Dateisysteme zugreift. Für Sicherheitsexperten ist das ein Alarmsignal. Angreifer müssen nicht mehr im Dunkeln tappen, um Schwachstellen in den Sicherheitsvorkehrungen zu finden. Sie können nun die konkrete TypeScript-Implementierung der „Constitutional AI“-Filter studieren und gezielte Angriffentwicklung.

Die Konsequenzen ließen nicht lange auf sich warten. Bereits 48 Stunden nach dem Leck tauchten modifizierte Versionen des Codes im Dark Web auf. Diese „Schatten-Agenten“ haben die ethischen Sicherheitsvorkehrungen und Terminal-Zugriffsbeschränkungen entfernt. Sie könnten als Werkzeugkasten für die automatisierte Erstellung von Cyberangriffen dienen.

Sicherheitsberater wie Gartner raten Unternehmen nun dringend, ihren Einsatz von KI-Coding-Assistenten zu überprüfen. Sie empfehlen, diese Agenten als unvertrauenswürdige Abhängigkeiten zu behandeln. Granulare Berechtigungsgrenzen und das Scannen auf sensible Daten sollen verhindern, dass die KI während autonomer Operationen unbeabsichtigt Zugangsdaten preisgibt.

Rückschlag für den KI-Sicherheitspionier

Der Zeitpunkt des Vorfalls ist für Anthropic denkbar ungünstig. Das Unternehmen, das seinen Ruf auf dem Fundament von KI-Sicherheit aufgebaut hat, schloss kürzlich eine Finanzierungsrunde über 30 Milliarden US-Dollar ab. Die Bewertung liegt bei etwa 380 Milliarden US-Dollar. Nun steht die operative Disziplin des Unternehmens in Frage.

Die Panne erfolgte zudem nur Wochen, nachdem die US-Regierung bestimmte KI-Entwicklungspraktiken als potenzielle Risiken für die Lieferkette eingestuft hat – eine Klassifizierung, gegen die Anthropic vor Gericht kämpft.

Ein weiteres Problem könnte das Urheberrecht sein. Da Anthropic zuvor einräumte, dass große Teile von Claude Code von einer KI verfasst wurden, könnte der Schutz des geleakten Codes unter US-Recht geschwächt sein. Dies würde die laufenden Bemühungen erschweren, den Code per DMCA-Takedown aus dem Internet zu entfernen.

Der „Große Claude-Leak von 2026“ wird den Druck auf die Branche erhöhen, transparentere Sicherheitsstandards zu etablieren. Er könnte aber auch das Spielfeld ebnen: Kleinere KI-Labore, denen bisher die Ressourcen für komplexe Orchestrierungssysteme fehlten, könnten nun auf Basis der geleakten Architektur eigene Open-Source-Frameworks entwickeln. Die Blaupause eines der fortschrittlichsten KI-Systeme der Welt ist nun nur einen Git-Befehl entfernt.

de | boerse | 69060129 |