Am 31. März 2026 hat Anthropic mit Version 2.1.88 des npm-Pakets @anthropic-ai/claude-code versehentlich eine 59,8 MB große Source-Map-Datei mitveröffentlicht. Source Maps ordnen minifizierten JavaScript-Code den originalen TypeScript-Quellen zu — sie sind ein Standard-Debugging-Werkzeug und normalerweise nicht für die Öffentlichkeit bestimmt. Durch einen klassischen Packaging-Fehler (die Datei wurde nicht in .npmignore ausgeschlossen) war die komplette interne Codebase von Claude Code rekonstruierbar: rund 2.000 TypeScript-Dateien mit über 512.000 Zeilen Code.

Der Security-Forscher Chaofan Shou meldete den Fund auf X, innerhalb von Stunden existierten mehrere GitHub-Mirrors. Anthropic bestätigte: ein Release-Packaging-Fehler durch menschliches Versagen — kein Hack, keine Kundendaten, keine Credentials betroffen. Die Version wurde vom npm-Registry entfernt.

Wichtig zur Einordnung: Es handelt sich nicht um die Claude-Modelle (keine Weights, kein Training-Code), sondern um den Client-seitigen Agent-Harness — also die Software, die Claude Code als Produkt ausmacht: Tool-Orchestrierung, Memory-System, Multi-Agent-Koordination und Terminal-UI.

Für Entwicklungsteams — besonders solche, die selbst KI-Agenten bauen oder einsetzen — ist der Leak eine seltene Gelegenheit, die Architektur eines der ausgereiftesten KI-Coding-Agents von innen zu verstehen. Dieser Beitrag fasst die wichtigsten Erkenntnisse zusammen.

Was Claude Code eigentlich ist — und was nicht

Claude Code ist Anthropics agentisches CLI-Tool — ein Terminal-basierter KI-Coding-Agent, der den gesamten Codebase versteht, Dateien bearbeitet, Bash-Befehle ausführt und komplexe Entwicklungsaufgaben autonom erledigt. Es ist kein Chat-Wrapper für die API, sondern ein hochgradig orchestriertes System, das LLM-Aufrufe, Tool-Calls, Dateisystem-Zugriffe und Sub-Agenten koordiniert.

Der Quellcode zeigt: Claude Code ist intern deutlich komplexer als die meisten vergleichbaren Tools. Die Query-Engine allein umfasst rund 46.000 Zeilen Code, das Tools-System weitere 40.000. Zum Vergleich: Viele Open-Source-Coding-Agents kommen mit 5.000–10.000 Zeilen aus.

Die Architektur im Detail: Was der Quellcode zeigt

Technischer Stack: Bun, Ink und native Installer

Claude Code läuft auf Bun (Anthropic hat den Bun-Runtime akquiriert) statt auf Node.js. Die Terminal-UI basiert auf Ink — einem React-Framework für Terminal-Interfaces, das reaktive, komponentenbasierte UIs im Terminal ermöglicht. Die Installation erfolgt per nativem Installer (curl | bash) mit Auto-Updates und Binär-Datei, was npm-Supply-Chain-Risiken minimiert.

Query-Engine: 46.000 Zeilen für LLM-Orchestrierung

Die zentrale Schaltstelle: Die Query-Engine handhabt Streaming, Prompt-Caching, Token-Zählung, Tool-Loops und Fehlerbehandlung. Sie enthält außerdem Anti-Distillation-Maßnahmen — Fake-Tool-Definitionen werden in API-Requests injiziert, um Scraping und Kopieren durch Konkurrenten zu erschweren.

Für Entwicklungsteams relevant: Die Query-Engine zeigt, wie viel Engineering nötig ist, um einen LLM-Agent zuverlässig zu machen. Einfaches Tool-Calling reicht nicht — robustes Error Handling, Token-Management und Caching-Strategien machen den Unterschied zwischen einem Demo und einem Produktivsystem.

Tools-System: 40 modulare Werkzeuge mit Sicherheitsschichten

Claude Code verfügt über rund 40 modulare Tools in einer Plugin-Architektur: Datei-Lesen und -Schreiben, Bash-Ausführung (mit über 2.500 Zeilen Sicherheits- und Validierungslogik), Web-Zugriff und Sub-Agent-Spawning. Jeder Tool-Call durchläuft strenge Prüfungen — Permissions, Sandboxing und Regex-basierte Erkennung potenziell gefährlicher Befehle.

Die Bash-Sicherheitsschicht allein ist bemerkenswert: 2.500 Zeilen Code, die verhindern, dass ein Agent versehentlich rm -rf / ausführt oder sensible Dateien überschreibt. Für jedes Team, das KI-Agenten mit Dateisystem- oder Shell-Zugriff baut, ist das ein Blueprint für Defense-in-Depth.

Multi-Agent-Orchestrierung: Koordinator und Worker

Eine der architektonisch interessantesten Komponenten: Claude Code nutzt ein prompt-basiertes "Swarms"-System, bei dem ein Coordinator-Agent beliebig viele Sub-Agents ("Worker") spawnen kann. Jeder Sub-Agent bekommt eigene Context- und Tool-Rechte. Das ermöglicht parallele Aufgaben: Ein Agent refactored das Backend, ein zweiter schreibt Tests, ein dritter kümmert sich um die Dokumentation — gleichzeitig.

Für E-Commerce-Projekte ist das besonders spannend: Shopware-Plugin-Entwicklung, Theme-Anpassungen und API-Integrationen könnten parallel von spezialisierten Agenten bearbeitet werden, statt sequentiell von einem einzelnen Entwickler.

Self-Healing Memory: Das Gedächtnis, das sich selbst repariert

Die vielleicht größte Offenbarung des Leaks: Claude Codes Memory-Architektur löst das klassische "Context-Entropy"-Problem — die Tatsache, dass KI-Agenten in langen Sessions zunehmend den Überblick verlieren, weil der Kontext wächst und irrelevante Informationen sich ansammeln.

Die Lösung ist ein Drei-Schichten-Modell:

1. MEMORY.md — ein leichtgewichtiger Index mit Pointern auf detailliertere Informationen. Jeder Eintrag maximal 150 Zeichen. Wird immer geladen.

2. On-Demand-Topic-Files — detaillierte Erinnerungen zu bestimmten Themen, die nur bei Bedarf geladen werden.

3. Raw Transcripts — vollständige Gesprächsprotokolle, die per Suche durchforstet werden können.

Entscheidend ist die "Strict Write Discipline": Agenten dürfen Memory nur nach einem erfolgreichen File-Write aktualisieren und behandeln gespeicherte Informationen immer als Hinweis — sie validieren gegen die aktuelle Codebase, bevor sie darauf basierend handeln. Das verhindert, dass veraltetes Wissen zu falschen Entscheidungen führt.

Versteckte Features: KAIROS, Dream Mode und ein Terminal-Pet

Der Quellcode enthält mehrere noch nicht veröffentlichte Features, die zeigen, wohin Anthropic Claude Code entwickeln will:

• KAIROS — ein autonomer Daemon-Modus, bei dem der Agent auch ohne User-Input im Hintergrund arbeitet: Fehler behebt, Tasks erledigt und Push-Benachrichtigungen schickt. Quasi ein "Always-On"-Entwickler, der das Repository überwacht.

• Dream Mode — im Leerlauf konsolidiert der Agent sein Memory, löst Widersprüche in gespeichertem Wissen und verfeinert Implementierungsideen. Eine Art "Schlafmodus", in dem der Agent sein Wissen aufräumt.

• Buddy / Terminal-Pet — ein kleines Terminal-Maskottchen mit Stats wie "CHAOS" und "SNARK", gedacht für User-Engagement. Technisch interessant, aber vor allem ein Zeichen dafür, dass Anthropic an der Nutzer-Bindung arbeitet.

• Undercover Mode — ein spezieller System-Prompt für Open-Source-Beiträge, der verhindert, dass Modellnamen oder Anthropic-Referenzen in Git-Commits und Code-Kommentaren landen.

Was das für Entwicklungsteams und E-Commerce-Projekte bedeutet

Der Leak hat drei praktische Implikationen:

1. KI-Coding-Agents sind weiter als die meisten denken. Claude Code ist kein Proof-of-Concept — es ist ein produktionsreifes, multi-threaded Agenten-System mit über 500.000 Zeilen Code. Die Multi-Agent-Orchestrierung und das Memory-System zeigen, dass wir uns von der Ära des einzelnen Chat-Fensters verabschieden. Für E-Commerce-Teams heißt das: Der Einsatz von KI-Agents für Shopware-Plugin-Entwicklung, Magento-Migrationen oder API-Integrationen ist nicht mehr experimentell — die Infrastruktur dafür existiert.

2. Die Architektur-Patterns sind jetzt öffentlich. Das Memory-System, die Tool-Sicherheitsschichten und die Multi-Agent-Koordination sind keine Geheimnisse mehr. Open-Source-Projekte und Konkurrenten (Cursor, Windsurf, Aider) werden diese Patterns adaptieren. Das senkt langfristig die Einstiegshürde für Teams, die eigene KI-Agents bauen wollen — etwa spezialisierte Agents für den eigenen Tech-Stack.

3. Supply-Chain-Security bleibt ein Thema. Der Leak selbst war ein simpler .npmignore-Fehler — kein Hack, keine Schwachstelle, sondern menschliches Versagen bei der Paketierung. Das ist ein Reminder für jedes Team, das npm-Pakete veröffentlicht: Prüfen Sie, was tatsächlich im publizierten Paket landet. Tools wie npm pack --dry-run zeigen vor der Veröffentlichung, welche Dateien enthalten sind.

Einordnung: Leak ist kein Sicherheitsvorfall

Zum Schluss die wichtigste Einordnung: Der Source-Map-Leak betrifft ausschließlich den Client-Code von Claude Code — den Agent-Harness, nicht die Modelle selbst. Keine Modell-Weights, keine Trainingsdaten, keine Kundendaten und keine API-Keys wurden exponiert. Anthropic hat schnell reagiert und die betroffene Version entfernt.

Was bleibt, ist ein faszinierender Einblick in die Architektur eines der fortschrittlichsten KI-Coding-Tools — und die Erkenntnis, dass selbst Anthropic manchmal einfach nur menschlich ist. Ein vergessener Eintrag in einer Ignore-Datei, und 512.000 Zeilen Code sind öffentlich. Wer im E-Commerce-Bereich mit sensiblem Code arbeitet, sollte das als Anlass nehmen, die eigenen Build- und Release-Pipelines auf ähnliche Lücken zu prüfen.