Anthropics Data Doppel-Leak: Was steckt dahinter?
TLDR: Ende März 2026 passierten Anthropic zwei Datenlecks innerhalb von fünf Tagen. Zuerst wurden rund 3'000 interne Dokumente öffentlich zugänglich, die ein neues KI-Modell namens "Mythos" enthüllten. Dann landeten über 512'000 Zeilen Quellcode von Claude Code im Netz, inklusive 44 versteckter Feature-Flags, interner System-Prompts und einer kompletten Produkt-Roadmap. Was das für die KI-Branche, den Wettbewerb und die Glaubwürdigkeit des "Safety-First"-Narrativs bedeutet, ist weitreichender als es auf den ersten Blick scheint.
Zwei Lecks in fünf Tagen
Am 27. März 2026 liess Anthropic versehentlich knapp 3'000 interne Dateien auf der eigenen Website öffentlich zugänglich. Darunter befand sich ein Blogpost-Entwurf, der ein neues Modell mit dem Codenamen "Mythos" (intern auch "Capybara" genannt) beschrieb. Vier Tage später, am 31. März, folgte der grössere Vorfall: Bei der Veröffentlichung von Version 2.1.88 des npm-Pakets @anthropic-ai/claude-code wurde eine 59,8 MB grosse JavaScript-Source-Map-Datei mitgeliefert. Diese verwies auf ein öffentlich zugängliches ZIP-Archiv auf Anthropics Cloudflare-Speicher. Im Archiv: über 512'000 Zeilen TypeScript-Quellcode, verteilt auf rund 1'900 Dateien.
Ein Sicherheitsforscher entdeckte das Leck innerhalb von Minuten und veröffentlichte es auf X (ehemals Twitter). Ein GitHub-Mirror des Codes erreichte in weniger als zwei Stunden 9'000 Stars und wurde über 41'500 Mal geforkt. Anthropic reagierte mit DMCA-Takedowns und entfernte über 8'100 Repositories. Das ändert wenig: Der Code ist über dezentrale Mirrors dauerhaft im Umlauf.
Anthropic bestätigte, dass weder Modellgewichte noch Kundendaten oder Zugangsdaten betroffen waren. Das Unternehmen sprach von einem "Release-Packaging-Fehler durch menschliches Versagen, keinem Sicherheitsvorfall". Sicherheitsexpert:innen sahen das kritischer, gerade weil Anthropic sich als das sicherheitsbewussteste KI-Unternehmen positioniert.
Was genau im Code steckt
Die 44 versteckten Feature-Flags im Claude-Code-Quellcode sind keine Konzeptpapiere. Es handelt sich um funktionstüchtigen TypeScript-Code, der lediglich über Compile-Time-Flags deaktiviert wurde. Man kann sich das wie Lichtschalter vorstellen: Die Features sind fertig gebaut, aber für externe Nutzer:innen ausgeschaltet.
Die wichtigsten davon im Überblick:
KAIROS ist ein dauerhaft aktiver Hintergrund-Agent. Er protokolliert tägliche Aktivitäten, konsolidiert Erinnerungen über Nacht, überwacht GitHub-Pull-Requests und sendet Push-Benachrichtigungen. Im Prinzip ein Claude, der nie schläft.
ULTRAPLAN sendet eine komplexe Aufgabe an ein entferntes Claude-Modell auf Opus-Niveau für eine dedizierte 30-minütige Planungssession. Nutzer:innen prüfen und genehmigen dann lediglich das Ergebnis.
Coordinator Mode ermöglicht es einem Claude, mehrere "Worker"-Claudes parallel zu steuern. Jeder Worker hat ein eingeschränktes Toolset, die Kommunikation läuft über XML-Scratchpads.
DREAM System realisiert persistenten Speicher über Sessions hinweg, ohne externen Storage. Claude erinnert sich nativ an Kontext zwischen Gesprächen.
Dazu kommen: vollständiger Voice-Command-Modus, echte Browser-Steuerung via Playwright, Cron-Scheduling für automatisierte Agent-Aufgaben und ein "Undercover Mode". Letzterer ist der kontroverseste Fund: Claude Code ist so programmiert, dass es zu öffentlichen Open-Source-Projekten beiträgt, während es seine Identität als KI verbirgt. Der System-Prompt lautet explizit: "You are operating UNDERCOVER… Do not blow your cover."
Mythos: Eine neue Stufe oberhalb von Opus
Das erste Leck enthüllte mehr als nur einen Namen. Mythos (oder Capybara) ist nicht einfach ein weiteres Modell-Update. Es führt eine vierte Tier-Stufe ein, die über der bisherigen Spitze (Opus) liegt. Anthropics aktuelle Hierarchie lautet: Haiku, Sonnet, Opus. Mythos bricht diese Struktur auf, indem es sich als grösser, leistungsfähiger und teurer als Opus positioniert.
Anthropic bestätigte gegenüber Fortune, dass Mythos ein "Allzweckmodell mit bedeutenden Fortschritten in Reasoning, Coding und Cybersecurity" sei. Das Unternehmen bezeichnete es als deutliche Leistungssteigerung gegenüber Claude Opus 4.6.
Der bemerkenswerte Punkt: Anthropic selbst stuft Mythos als ernsthaftes Cybersicherheitsrisiko ein. Der geleakte Blogpost-Entwurf beschreibt, dass das Unternehmen die Veröffentlichung bewusst verzögert, um die Risiken besser zu verstehen, insbesondere im Bereich Cybersecurity. Statt eines öffentlichen Launches gibt es einen kontrollierten Rollout an eine kleine Gruppe von Early-Access-API-Kund:innen, damit Sicherheitsforscher:innen das Modell studieren können, bevor es breit verfügbar wird.
Der strategische Schaden: Kurzfristig und langfristig
Kurzfristig ist der Reputationsschaden offensichtlich. Ein Unternehmen, das seinen gesamten Markenwert auf "Safety First" aufbaut, verliert Glaubwürdigkeit, wenn es innerhalb einer Woche zwei grössere Datenlecks produziert. Anthropic plant nach verschiedenen Berichten einen Börsengang im vierten Quartal 2026 bei einer Bewertung von rund 350 Milliarden Dollar. Claude Code generiert schätzungsweise 2,5 Milliarden Dollar Jahresumsatz. Zwei Pannen dieser Grössenordnung Monate vor einem IPO sind kein kosmetisches Problem.
Langfristig wiegt der Wettbewerbsschaden schwerer. Vor dem Leak hätten Konkurrent:innen wie OpenAI, Google DeepMind oder Open-Source-Projekte Monate und erhebliche Ressourcen aufwenden müssen, um Anthropics Agent-Architektur nachzubauen. Jetzt liegt ein vollständiger Bauplan vor. Konkret profitieren Wettbewerber:innen in vier Dimensionen:
Erstens kennen sie nun die exakte Agent-Orchestrierungsschicht, also wie Claude Aufgaben plant, koordiniert, delegiert und sich selbst reaktiviert. Zweitens liegt die komplette Produkt-Roadmap offen: Welche Features Anthropic als nächstes launchen wollte, ist kein Geheimnis mehr. Drittens sind System-Prompts, Tool-Definitionen und Permission-Protokolle einsehbar. Und viertens identifizierten Sicherheitsforscher:innen eine kritische Remote-Code-Execution-Schwachstelle sowie eine mittelschwere Lücke, die unbefugten Zugriff auf API-Keys ermöglichen könnte.
Was das für die Branche bedeutet
Die wichtigste Konsequenz liegt nicht bei Anthropic allein. Der Leak beschleunigt eine Entwicklung, die ohnehin stattfindet: Die Commoditisierung der Agent-Infrastruktur.
Wenn die Architektur hinter dem kommerziell erfolgreichsten KI-Coding-Tool öffentlich ist, verschiebt sich der Wettbewerb. Es geht dann weniger darum, wer die beste Agent-Architektur baut, sondern wer sie am schnellsten in spezifische Branchen und Workflows integriert. Die Open-Source-Community hat innerhalb von Stunden einen Clean-Room-Rewrite in Python erstellt (rechtlich unabhängig von DMCA), der 50'000 GitHub-Stars in unter zwei Stunden sammelte. Eine kostenlose, community-gepflegte Version von Claude Codes Architektur existiert bereits und wird sich weiterentwickeln.
Für Unternehmen, die KI-Tools evaluieren, ergeben sich daraus konkrete Fragen: Wie belastbar sind die Sicherheitsversprechen von KI-Anbietern? Wenn der selbsternannte Sicherheits-Champion der Branche seinen gesamten Quellcode über eine npm-Konfigurationsdatei leakt, wie steht es dann um die Sicherheitspraktiken weniger sicherheitsbewusster Anbieter?
Und eine unbequeme Frage bleibt im Raum: Einige Beobachter:innen fanden das Timing verdächtig. Zwei "versehentliche" Lecks, die enorme Medienaufmerksamkeit generierten, kurz vor einem wahrscheinlichen Produktlaunch? Ob PR-Kalkül oder echte Panne: Das Training von Mythos ist abgeschlossen, die Aufmerksamkeit ist da, und die gesamte Branche baut nun auf dem auf, was Anthropic über Jahre und Milliarden entwickelt hat.
Was Du daraus mitnehmen kannst
Die Grenzen zwischen proprietary und open source verschwimmen weiter. Kein DMCA-Takedown kann Code zurückholen, der einmal im Netz ist. Für Entscheider:innen in Unternehmen heisst das: Sicherheitsversprechen von KI-Anbietern kritisch prüfen. Die eigene Abhängigkeit von einzelnen Anbietern bewusst steuern. Und verstehen, dass der eigentliche Wettbewerbsvorteil nicht in der Technologie allein liegt, sondern in der Fähigkeit, sie verantwortungsvoll und effektiv einzusetzen.
Quellen
Fortune. (2026, 27. März). Anthropic says testing Mythos, powerful new AI model, after data leak reveals its existence. https://fortune.com/2026/03/27/anthropic-leaked-ai-mythos-cybersecurity-risk/
Fortune. (2026, 31. März). Anthropic source code Claude Code data leak second security lapse days after accidentally revealing Mythos. https://fortune.com/2026/03/31/anthropic-source-code-claude-code-data-leak-second-security-lapse-days-after-accidentally-revealing-mythos/
Build Fast with AI. (2026). Claude Code source code leak 2026. https://www.buildfastwithai.com/blogs/claude-code-source-code-leak-2026
The AI Corner. (2026). Claude Code source code leaked 2026. https://www.the-ai-corner.com/p/claude-code-source-code-leaked-2026
VentureBeat. (2026). Claude Code 512,000 line source leak attack paths audit security leaders. https://venturebeat.com/security/claude-code-512000-line-source-leak-attack-paths-audit-security-leaders
Wall Street Journal. (2026). Anthropic races to contain leak of code behind Claude AI agent. https://www.wsj.com/tech/ai/anthropic-races-to-contain-leak-of-code-behind-claude-ai-agent-4bc5acc7
Los Angeles Times. (2026, 1. April). Anthropic accidentally leaked thousands of lines of code. https://www.latimes.com/business/story/2026-04-01/anthropic-accidentally-leaked-thousands-of-lines-of-code
CNBC. (2026, 31. März). Anthropic leak Claude Code internal source. https://www.cnbc.com/2026/03/31/anthropic-leak-claude-code-internal-source.html
Dev.to. (2026). The great Claude Code leak of 2026: Accident, incompetence, or the best PR stunt in AI history? https://dev.to/varshithvhegde/the-great-claude-code-leak-of-2026-accident-incompetence-or-the-best-prstunt-in-ai-history-3igm
Engineers Codex. (2026). Diving into Claude Code's source code. https://read.engineerscodex.com/p/diving-into-claude-codes-source-code
