Anthropic Code-Leak: KI-Riese im Urheberrechts-Dilemma

Anthropic, bekannt für seine KI-Modelle und seine strikte Haltung zum Urheberrecht, fand sich kürzlich in einer paradoxen Situation wieder. Nachdem Teile des Quellcodes seines KI-Agenten Claude Code auf GitHub auftauchten, reagierte das Unternehmen umgehend mit einer DMCA-Takedown-Anfrage. Dies geschah, während Anthropic selbst mit Klagen wegen der Nutzung urheberrechtlich geschützter Inhalte konfrontiert ist.

Anthropic im Kreuzfeuer: Vom Kläger zum Beklagten

Die Ironie des jüngsten Code-Leaks bei Anthropic ist unübersehbar. Das Unternehmen, das sich selbst als Vorreiter in der KI-Sicherheit positioniert, hat in der Vergangenheit wiederholt Urheberrechtsklagen gegen andere Unternehmen eingereicht. Gleichzeitig sah sich Anthropic selbst mit einer Reihe von Klagen wegen der Nutzung urheberrechtlich geschützten Materials konfrontiert.

Im September wurde Anthropic in einer Sammelklage von Autoren und Verlegern, darunter Andrea Bartz, Charles Graeber und Kirk Wallace Johnson, zu einer Zahlung von 1,5 Milliarden US-Dollar Schadensersatz verurteilt. Die Vorwürfe bezogen sich auf die Nutzung piratierter Bücher und sogenannter "Schattenbibliotheken" zum Training von Claude. Im Juni verklagte Reddit Anthropic wegen des unautorisierten Scrapings großer Mengen nutzergenerierter Inhalte. Erst letzten Monat reichten Universal Music Group, Concord und ABKCO Klage ein, da Anthropic angeblich über 20.000 urheberrechtlich geschützte Songs illegal zum Modelltraining heruntergeladen hatte. Nun kehrt sich das Blatt, und Anthropic beruft sich auf Urheberrechtsgesetze, um seine eigenen Kreationen zu schützen.

Der Claude Code Leak: Was geschah?

Am Dienstag tauchte ein Segment des Quellcodes für Anthropic's KI-Agenten Claude Code auf GitHub auf und verbreitete sich rasch. Ingenieure nutzten die Gelegenheit, um den Code zu analysieren und möglicherweise für eigene Projekte zu verwenden. Anthropic reagierte schnell und erließ eine DMCA-Takedown-Notice gegen das GitHub-Repository, das den geleakten Code hostete. Ein Sprecher von Anthropic bestätigte: "Wir haben einen DMCA-Takedown gegen ein Repository, das geleakten Claude Code Quellcode und seine Forks hostet, erlassen."

Ein Sprecher von Anthropic erklärte, es handele sich um ein "Release Packaging Issue", verursacht durch menschliches Versagen, und nicht um einen Sicherheitsbruch. Es seien keine sensiblen Kundendaten oder Zugangsdaten betroffen gewesen. Ein X-Post mit einem Link und einem Screenshot des internen Quellcodes von Claude Code erreichte bis Dienstagabend 26 Millionen Aufrufe. Der exponierte Code bezog sich auf Claude Code selbst und nicht auf die zugrunde liegenden KI-Modelle. Wenige Tage zuvor, Ende März 2026, hatte Anthropic bereits eine weitere Sicherheitslücke erlebt: Ein unzureichend gesichertes Content Management System (CMS) leckte fast 3.000 interne Dateien. Diese CMS-Schwachstelle wurde von Roy Paz von LayerX Security und Alexandre Pauwels von der University of Cambridge entdeckt.

Mehr als nur ein peinlicher Vorfall: Die technischen Details

Paul Price, ein Cybersicherheitsspezialist und Gründer der Firma Code Wall, bezeichnete den Anthropic-Leak als "eher peinlich als schädlich". Er betonte, dass "nichts Kritisches" exponiert wurde und die "wirklich saftigen" Informationen in den internen Quellmodellen nicht betroffen waren. Price erklärte, das Unternehmen habe versehentlich sein "Harness" offengelegt – eine Software-Infrastruktur, die typischerweise zur Verbindung von Large Language Models (LLMs) mit dem breiteren Kontext ihrer Nutzung dient. Er fügte hinzu: "Claude Code ist eines der am besten konzipierten Agent Harnesses, und jetzt können wir sehen, wie sie die schwierigen Probleme angehen." Dies könnte auch nützliche Informationen für Wettbewerber liefern.

Der Leak von Claude Code Version 2.1.88 auf der npm-Registry enthielt eine 59,8 MB große Source Map-Datei. Diese Source Map offenbarte nicht nur einen Blick hinter die Kulissen, sondern das gesamte Backstage:

• 44 Feature Flags, die bereits vollständig entwickelte, aber noch nicht veröffentlichte Funktionen abdecken.
• Dazu gehören 24/7 laufende Hintergrund-Agenten mit GitHub-Webhooks und Push-Benachrichtigungen.
• Ein Claude, der mehrere Worker-Claudes orchestriert, jeder mit einem eingeschränkten Toolset.
• Cron-Scheduling für Agenten, einschließlich der Erstellung, Löschung und Auflistung von Jobs sowie externen Webhooks.
• Ein vollständiger Sprachbefehlsmodus mit eigenem CLI-Einstiegspunkt.
• Echte Browser-Steuerung über Playwright, nicht nur Web-Fetch.
• Agenten, die schlafen und sich ohne Benutzeraufforderung selbst fortsetzen können.
• Persistenter Speicher über Sitzungen hinweg ohne externen Speicher.

Zusätzlich enthüllte der CMS-Leak Dokumentationen zu einem unveröffentlichten Modell mit dem Codenamen "Capybara", das kommerziell als Claude Mythos auf den Markt kommen sollte. Interne Entwürfe beschrieben es als Anthropic's fähigstes und rechenintensivstes Modell. Mythos zeichnete sich durch Fähigkeiten aus, die speziell für die Cybersicherheit entwickelt wurden, darunter automatisierte Schwachstellenentdeckung, Red-Teaming, Incident Triage und groß angelegte Bedrohungsjagd. Das bemerkenswerteste Merkmal war die "rekursive Selbstheilung", bei der das Modell seinen eigenen Code analysieren, Fehler oder Schwachstellen finden, Patches generieren und ohne menschliches Eingreifen bereitstellen kann. Anthropic plante einen eingeschränkten Early Access für Mythos, der nur vertrauenswürdigen Unternehmenssicherheitsteams vorbehalten sein sollte.

Sicherheitsbedenken und Marktfolgen

Der Leak wirft ernsthafte Sicherheitsfragen für ein Unternehmen auf, das sich explizit auf KI-Sicherheit konzentriert. Die Vorfälle, sowohl der Code-Leak als auch die CMS-Exposition, waren laut Experten keine "ausgeklügelten Angriffe", sondern "grundlegende Fehlkonfigurationen". Im Fall des CMS-Leaks hatte Anthropic beispielsweise die Standardeinstellungen eines handelsüblichen CMS nicht geändert, wodurch alle hochgeladenen Dateien standardmäßig über öffentlich erreichbare URLs zugänglich waren.

Die Enthüllung von Claude Mythos und seinen Fähigkeiten zur autonomen Schwachstellenentdeckung hatte auch direkte Auswirkungen auf den Finanzmarkt. Am Tag nach Bekanntwerden des Leaks stürzten die Aktien von Cybersicherheitsunternehmen ab. CrowdStrike, Palo Alto Networks und Zscaler fielen alle über 5 %, während Cloudflare 3,2 % verlor. Der Global X Cybersecurity ETF verzeichnete einen Rückgang von 6,1 %, was einem Verlust von rund 14,5 Milliarden US-Dollar an Marktkapitalisierung in einer einzigen Sitzung entsprach. Investoren gerieten in Panik bei der Vorstellung, dass ein KI-Modell Zero-Day-Schwachstellen autonom finden und ausnutzen könnte.

Der Leak folgt auf eine Zeit des Wachstums für Anthropic, die durch eine öffentliche Trennung vom Pentagon im Februar befeuert wurde. Nach einem Streit über die Nutzung seiner KI, bei dem CEO Dario Amodei nicht nachgeben wollte, schloss das Verteidigungsministerium stattdessen einen Deal mit OpenAI ab. Nach diesem Disput verzeichnete Anthropic's Claude Chatbot einen Anstieg der Downloads und stieg kurzzeitig auf Platz 1 im US Apple App Store auf.

Die Ironie des KI-Zeitalters

Der Vorfall bei Anthropic unterstreicht ein grundlegendes Paradox des aktuellen KI-Hype-Zyklus. Dieselben Tools, die es ermöglichen, Produkte schneller denn je zu entwickeln und auf den Markt zu bringen, erleichtern es auch, dass Informationen – ob sensibel oder nicht – sofort geleakt, repliziert und verbreitet werden können. Anthropic hat angekündigt, Maßnahmen zu ergreifen, um solche Vorfälle in Zukunft zu verhindern.