Den 31. marts 2026 kl. 4 om morgenen opdagede sikkerhedsforskeren Chaofan Shou noget bemærkelsesværdigt: hele Claude Codes kildekode lå frit tilgængeligt på npm-registret. En 59,8 MB JavaScript source map-fil (cli.js.map) var ved en fejl blevet inkluderet i version 2.1.88 af @anthropic-ai/claude-code-pakken — og den pegede direkte på et ukrypteret zip-arkiv på Anthropics Cloudflare R2-storage.
Inden for timer var de næsten 2.000 TypeScript-filer og over 512.000 linjer kode spejlet på GitHub, forket over 41.500 gange og dissekeret af tusindvis af udviklere verden over. Et af de mest prominente repositories satte rekord som det hurtigste GitHub-projekt nogensinde til at runde 50.000 stjerner — på blot to timer.
En build-fejl med milliard-konsekvenser
Source map-filer bruges normalt til debugging: de mapper bundlet, minificeret kode tilbage til den originale kildekode. De hører aldrig hjemme i en produktionspakke. Men en menneskelig fejl i Anthropics build-pipeline betød, at filen blev publiceret til det offentlige npm-register sammen med resten af pakken.
Anthropic bekræftede hændelsen i en erklæring til The Register: “Earlier today, a Claude Code release included some internal source code. No sensitive customer data or credentials were involved or exposed. This was a release packaging issue caused by human error, not a security breach.”
Det kan lyde uskadeligt. Men ifølge VentureBeat har Claude Code alene en estimeret årlig omsætning (ARR) på 2,5 milliarder dollar. For Anthropic, der samlet kører med en annualiseret omsætning på 19 milliarder dollar, er lækket langt mere end en pinlig fejl — det er et strategisk tab af intellektuel ejendom.
Hvad kildekoden afslører
Claude Code er ikke bare en wrapper omkring en LLM-API. Den lækkede kode afslører et komplekst, gennemdesignet system med flere lag. Her er de vigtigste fund:
Arkitektur og omfang
Kodebasen består af ca. 1.900 TypeScript-filer med over 512.000 linjer kode. Den kører på Bun (ikke Node.js), bruger React med Ink til terminal-UI og har en modulær arkitektur med omkring 40 indbyggede tools og 50 slash-kommandoer. Alene tool-systemet fylder 29.000 linjer, og query-engineen — hjernen der håndterer alle LLM-kald, streaming og caching — fylder 46.000 linjer.
KAIROS: Den altid-tændte agent
Et af de mest spændende fund er KAIROS — opkaldt efter det græske ord for “det rette øjeblik”. Det er en feature flag, der nævnes over 150 gange i koden, og som beskriver en persistent daemon-tilstand. Her kan Claude Code køre i baggrunden, selv når terminalen er lukket, og proaktivt overvåge om der er handlinger, brugeren bør se.
KAIROS bruger et filbaseret hukommelsessystem, hvor Claude Code gemmer kontekst om brugeren, projektet og præferencer på tværs af sessioner. Ifølge et skjult prompt i koden er målet at “have a complete picture of who the user is, how they’d like to collaborate with you, what behaviors to avoid or repeat, and the context behind the work.” Det minder i øvrigt ikke så lidt om Anthropics Computer Use-vision, bare for kodning specifikt.
AutoDream: AI der drømmer
Tilknyttet KAIROS er AutoDream — et system der aktiveres når brugeren er inaktiv eller manuelt sender agenten i dvale. Her udfører Claude Code hvad Anthropic kalder en “reflective pass over your memory files”: den scanner dagens transcripts for ny viden, konsoliderer den med eksisterende hukommelse, fjerner duplikater og modsigelser, og pruner forældet information. Kort sagt: AI’en drømmer og organiserer sine erindringer, præcis som vi mennesker gør under søvn.
Undercover Mode
Et af de mest diskuterede fund er Undercover Mode. Koden afslører, at Anthropic bruger Claude Code til “stealth”-bidrag til offentlige open source-repositories. Et skjult systemprompt advarer modellen: “You are operating UNDERCOVER… Your commit messages… MUST NOT contain ANY Anthropic-internal information. Do not blow your cover.”
Funktionen sikrer, at interne modelnavne som “Tengu”, “Capybara” eller “Fennec” aldrig lækker ud i offentlige git-logs. Det rejser naturligvis spørgsmål om gennemsigtighed i open source — selvom det sandsynligvis primært bruges til intern dogfooding.
Buddy: Et AI-kæledyr i terminalen
I den mere kuriøse afdeling finder vi Buddy — et Tamagotchi-lignende kæledyr med stats som “CHAOS” og “SNARK”, der lever i terminalen. Det lyder excentrisk, men det afspejler en bevidst strategi: Anthropic bygger personlighed ind i produktet for at øge brugerengagement og “stickiness”.
Interne modelnavne og performance-tal
Koden afslører også Anthropics interne model-roadmap: Capybara er kodenavnet for en Claude 4.6-variant, Fennec mapper til Opus 4.6, og den endnu uudgivne Numbat er stadig under test. Interne kommentarer viser, at Capybara v8 har en 29-30% false claims rate — en faktisk forværring sammenlignet med 16,7% i v4. Det giver et sjældent indblik i, hvor svært det stadig er at bygge pålidelige AI-agenter der ikke snyder.
GitHub-reaktionen: Fra arkiv til clean-room rewrite
Det mest kendte repository startede som et direkte arkiv af den lækkede kode, men er siden blevet konverteret til et clean-room Python- og Rust-rewrite af sikkerhedshensyn. Udvikleren bag — den koreanske AI-forsker Sigrid Jin, som ifølge Wall Street Journal brugte 25 milliarder Claude Code-tokens sidste år — byggede en Python-port fra bunden ved hjælp af OpenAI’s Codex-orkestreringsværktøj.
Der florerer dog stadig talrige forks med den originale kildekode, og et helt website (ccleaks.com) er dedikeret til at dokumentere Claude Codes skjulte funktioner. Det er, som Ars Technica bemærker, ikke første gang der er forsøgt reverse engineering af Claude Code — men aldrig med denne totalitet.
Sikkerhedsrisikoen
For Claude Code-brugere er lækket ikke bare en nysgerrig nyhed. Med den eksponerede kode kan ondsindede aktører nu studere den præcise logik bag sikkerhedsguardrails og permission-prompts for at finde veje udenom. Særligt Hooks og MCP-server-orkestreringen giver et detaljeret kort over, hvordan man potentielt kan narre Claude Code til at eksekvere baggrundkommandoer.
Timingen var ekstra uheldig: blot timer før lækket ramte en supply chain-angreb axios-pakken på npm (version 1.14.1 og 0.30.4), der indeholdt en Remote Access Trojan. Brugere der installerede Claude Code via npm den 31. marts mellem kl. 00:21 og 03:29 UTC bør tjekke deres lockfiles for disse versioner.
Anthropic anbefaler nu at migrere til deres native installer (standalone binary) fremfor npm-installationen, netop for at undgå den volatile npm-afhængighedskæde.
Hvad det betyder for AI-kodningsværktøjer
Lækket bekræfter det, mange allerede anede: Claude Code er ikke bare et chat-interface med et API-kald bagved. Det er et fuldt operativsystem for softwareudvikling — med multi-agent-orkestering, persistent hukommelse, IDE-broer via JWT-autentificering, og et tool-system så sofistikeret som mange selvstændige softwareprodukter.
For konkurrenter som Googles Gemini Code Assist, Cursor og andre er dette en uplanlagt gave: en detaljeret arkitekturskitse over markedslederens interne opbygning. Som VentureBeat formulerer det: “The race to build the next generation of autonomous agents has just received an unplanned, $2.5 billion boost in collective intelligence.”
Men det rejser også et bredere spørgsmål for hele branchen: Hvis selv Anthropic — et firma der konstant itererer på sikkerhed og tillid — kan lave en så fundamental build-fejl, hvad siger det så om modenhedsniveauet i AI-tooling generelt?
For os der bygger med og oven på disse værktøjer, er der én klar takeaway: tjek jeres build-pipelines. En enkelt fejlkonfigureret .npmignore eller files-felt i package.json kan eksponere alt. Og som Anthropic netop har demonstreret: selv de bedste kan komme galt af sted.
Kilder
- Anthropic goes nude, exposes Claude Code source by accident — The Register, 31. marts 2026
- Claude Code’s source code appears to have leaked: here’s what we know — VentureBeat, 31. marts 2026
- Here’s what that Claude Code source leak reveals about Anthropic’s plans — Ars Technica, 1. april 2026
- Claude Code’s Entire Source Code Was Just Leaked via npm Source Maps — DEV Community, 31. marts 2026
- ultraworkers/claw-code — GitHub repository
Denne artikel er skrevet i samarbejde med AI, og efterfølgende redigeret af et rigtigt menneske 🙂
