Anthropic wollte den Claude-Code nicht als Open Source veröffentlichen. Doch am Dienstag tat das Unternehmen genau das – und nicht einmal eine Armee von Anwälten kann diese Zahnpasta wieder in die Tube zurückdrücken.

Es begann mit einer einzigen Datei. Claude Code Version 2.1.88, die in den frühen Morgenstunden des Dienstags in das npm-Register hochgeladen wurde, enthielt eine 59,8 MB große JavaScript-Source-Map – eine Debug-Datei, die den ursprünglichen Code aus ihrer komprimierten Form rekonstruieren kann. Diese Dateien werden automatisch generiert und sollen privat bleiben. Doch eine einzige Zeile in den Ignore-Einstellungen sorgte dafür, dass sie mit der Veröffentlichung herausgegeben wurde.

Der Praktikant und Forscher Chaofan Shou, der offenbar zu den Ersten gehörte, die die Datei entdeckten, postete gegen 4:23 Uhr ET einen Download-Link auf X und sah zu, wie 16 Millionen Menschen den Thread aufsuchten. Anthropic zog das npm-Paket zurück, doch das Internet hatte bereits 512.000 Codezeilen aus 1.900 verschiedenen Dateien archiviert, die einen Großteil des Projekts ausmachen.

"Heute Morgen enthielt eine Claude Code-Veröffentlichung internen Quellcode. Es wurden keine sensiblen Kundendaten oder Anmeldeinformationen betroffen oder offengelegt", sagte ein Anthropic-Sprecher gegenüber Decrypt. "Dies war ein Problem bei der Release-Verpackung, verursacht durch menschliches Versagen, keine Sicherheitsverletzung. Wir führen Maßnahmen ein, um dies in Zukunft zu verhindern."

Das Leck enthüllte die vollständige interne Architektur dessen, was wohl einer der, wenn nicht der raffinierteste KI-Programmieragent auf dem Markt ist: LLM API-Orchestrierung, Multi-Agenten-Koordination, Berechtigungslogik, OAuth-Flows und 44 versteckte Feature-Flags, die unveröffentlichte Funktionalitäten abdecken.

Zu den Entdeckungen gehören: Kairos, ein ständig aktiver Hintergrund-Daemon, der Speicherprotokolle speichert und nächtliches "Träumen" durchführt, um Wissen zu konsolidieren. Und Buddy, ein KI-Haustier im Tamagotchi-Stil mit 18 Spezies, Seltenheitsstufen und Statistiken wie Debugging, Geduld, Chaos und Weisheit. Ein Teaser-Rollout für diesen "Buddy" ist anscheinend für den 1. bis 7. April geplant.

Dann gibt es noch das Detail, das alle auf Hacker News zum Lachen brachte. Laut dem Leaker Kuberwastaken war im Code ein "Undercover-Modus" verborgen – ein ganzes Subsystem, das darauf ausgelegt ist, zu verhindern, dass die KI versehentlich interne Codenamen und Projektnamen von Anthropic preisgibt, wenn sie zu Open-Source-Repositories beiträgt. Der System-Prompt, der in Claudes Kontext injiziert wird, lautet wörtlich: "Gib dich nicht zu erkennen."

Anscheinend begann Anthropic, DMCA-Takedowns gegen GitHub-Spiegelungen zu veranlassen. Da wurde es interessant.

Ein koreanischer Entwickler namens Sigrid Jin – der Anfang dieses Monats im Wall Street Journal vorgestellt wurde, weil er 25 Milliarden Claude Code-Tokens verbraucht hatte – wachte um 4 Uhr morgens mit dieser Nachricht auf. Er setzte sich hin, portierte die Kernarchitektur von Grund auf mit einem KI-Orchestrierungstool namens oh-my-codex nach Python und veröffentlichte den claw-code noch vor Sonnenaufgang. Das Repo erreichte 30.000 GitHub-Sterne schneller als jedes andere Repository in der Geschichte.

Es ist im Grunde eine Übersetzung des gesamten Codes von der Originalsprache nach Python, also technisch gesehen nicht dasselbe, oder? Das überlassen wir Anwälten und Technik-Philosophen.

Die rechtliche Logik hier ist scharf. Gergely Orosz, Gründer des Newsletters The Pragmatic Engineer, argumentierte in einem Post auf X: "Das ist entweder brillant oder beängstigend: Anthropic hat versehentlich den TS-Quellcode von Claude Code geleakt. Repos, die den Quellcode teilen, werden per DMCA entfernt. ABER dieses Repo hat den Code mit Python neu geschrieben, verletzt also kein Urheberrecht und kann nicht entfernt werden!"

Es ist ein Clean-Room-Rewrite. Ein neues kreatives Werk. Von Haus aus DMCA-sicher.

Der Urheberrechtsaspekt wird komplizierter, wenn man den rechtlichen Status von KI-generierter Arbeit betrachtet und wie undurchsichtig die Kriterien werden, wenn Anwälte entscheiden müssen, ob sie automatisch dem Urheberrecht unterliegt. Der DC Circuit bestätigte diese Position im März 2025, und der Oberste Gerichtshof lehnte es ab, die Anfechtung zu hören.

Wenn wesentliche Teile des Claude-Codes von Claude selbst geschrieben wurden – was Anthropic's eigener CEO angedeutet hat – dann wird die rechtliche Grundlage jedes Urheberrechtsanspruchs von Tag zu Tag unklarer.

Dezentralisierung fügt eine weitere Ebene der Dauerhaftigkeit hinzu. Der Account @gitlawb spiegelte den Originalcode auf Gitlawb, einer dezentralen Git-Plattform, mit der einfachen Nachricht: "Wird niemals entfernt werden." Das Original bleibt dort zugänglich. Ein separates Repository hat alle internen System-Prompts von Claude kompiliert, was Prompt-Ingenieure und Jailbreaker schätzen werden, da es mehr Einblicke in die Art und Weise gibt, wie Anthropic seine Modelle konditioniert.

Dies ist über das Drama hinaus von Bedeutung. DMCA-Takedowns funktionieren gegen zentralisierte Plattformen. GitHub kommt dem nach, weil es muss. Dezentrale Infrastruktur – die Gitlawb, Torrents und die Kryptowährung selbst antreibt – hat nicht den gleichen Single Point of Failure. Wenn ein Unternehmen versucht, etwas aus dem Internet zurückzuziehen, ist die einzige Frage, wie viele Spiegelungen existieren und auf welcher Art von Infrastruktur. Die Antwort hier, innerhalb weniger Stunden, war: genug.