{"id":1121,"date":"2026-04-02T07:14:30","date_gmt":"2026-04-02T05:14:30","guid":{"rendered":"https:\/\/vittrup-graversen.dk\/?p=1121"},"modified":"2026-04-02T07:14:30","modified_gmt":"2026-04-02T05:14:30","slug":"claude-codes-kildekode-laekket-via-npm-og-det-afsloerer-anthropics-hemmelige-planer","status":"publish","type":"post","link":"https:\/\/vittrup-graversen.dk\/index.php\/2026\/04\/02\/claude-codes-kildekode-laekket-via-npm-og-det-afsloerer-anthropics-hemmelige-planer\/","title":{"rendered":"Claude Codes kildekode l\u00e6kket via npm \u2014 og det afsl\u00f8rer Anthropics hemmelige planer"},"content":{"rendered":"\n

Den 31. marts 2026 kl. 4 om morgenen opdagede sikkerhedsforskeren Chaofan Shou noget bem\u00e6rkelsesv\u00e6rdigt: hele Claude Codes kildekode<\/strong> l\u00e5 frit tilg\u00e6ngeligt p\u00e5 npm-registret. En 59,8 MB JavaScript source map-fil (cli.js.map<\/code>) var ved en fejl blevet inkluderet i version 2.1.88 af @anthropic-ai\/claude-code<\/code>-pakken \u2014 og den pegede direkte p\u00e5 et ukrypteret zip-arkiv p\u00e5 Anthropics Cloudflare R2-storage.<\/p>\n\n\n\n

Inden for timer var de n\u00e6sten 2.000 TypeScript-filer og over 512.000 linjer kode spejlet p\u00e5 GitHub, forket over 41.500 gange og dissekeret af tusindvis af udviklere verden over. Et af de mest prominente repositories<\/a> satte rekord som det hurtigste GitHub-projekt nogensinde til at runde 50.000 stjerner \u2014 p\u00e5 blot to timer.<\/p>\n\n\n\n

En build-fejl med milliard-konsekvenser<\/h2>\n\n\n\n

Source map-filer bruges normalt til debugging: de mapper bundlet, minificeret kode tilbage til den originale kildekode. De h\u00f8rer aldrig hjemme i en produktionspakke. Men en menneskelig fejl i Anthropics build-pipeline bet\u00f8d, at filen blev publiceret til det offentlige npm-register sammen med resten af pakken.<\/p>\n\n\n\n

Anthropic bekr\u00e6ftede h\u00e6ndelsen i en erkl\u00e6ring til The Register<\/a>: “Earlier today, a Claude Code release included some internal source code. No sensitive customer data or credentials were involved or exposed. This was a release packaging issue caused by human error, not a security breach.”<\/em><\/p>\n\n\n\n

Det kan lyde uskadeligt. Men if\u00f8lge VentureBeat<\/a> har Claude Code alene en estimeret \u00e5rlig oms\u00e6tning (ARR) p\u00e5 2,5 milliarder dollar. For Anthropic, der samlet k\u00f8rer med en annualiseret oms\u00e6tning p\u00e5 19 milliarder dollar, er l\u00e6kket langt mere end en pinlig fejl \u2014 det er et strategisk tab af intellektuel ejendom.<\/p>\n\n\n\n

Hvad kildekoden afsl\u00f8rer<\/h2>\n\n\n\n

Claude Code er ikke bare en wrapper omkring en LLM-API. Den l\u00e6kkede kode afsl\u00f8rer et komplekst, gennemdesignet system<\/strong> med flere lag. Her er de vigtigste fund:<\/p>\n\n\n\n

Arkitektur og omfang<\/h3>\n\n\n\n

Kodebasen best\u00e5r af ca. 1.900 TypeScript-filer med over 512.000 linjer kode. Den k\u00f8rer p\u00e5 Bun<\/strong> (ikke Node.js), bruger React med Ink<\/strong> til terminal-UI og har en modul\u00e6r arkitektur med omkring 40 indbyggede tools og 50 slash-kommandoer. Alene tool-systemet fylder 29.000 linjer, og query-engineen \u2014 hjernen der h\u00e5ndterer alle LLM-kald, streaming og caching \u2014 fylder 46.000 linjer.<\/p>\n\n\n\n

KAIROS: Den altid-t\u00e6ndte agent<\/h3>\n\n\n\n

Et af de mest sp\u00e6ndende fund er KAIROS<\/strong> \u2014 opkaldt efter det gr\u00e6ske ord for “det rette \u00f8jeblik”. Det er en feature flag, der n\u00e6vnes over 150 gange i koden, og som beskriver en persistent daemon-tilstand<\/strong>. Her kan Claude Code k\u00f8re i baggrunden, selv n\u00e5r terminalen er lukket, og proaktivt overv\u00e5ge om der er handlinger, brugeren b\u00f8r se.<\/p>\n\n\n\n

KAIROS bruger et filbaseret hukommelsessystem, hvor Claude Code gemmer kontekst om brugeren, projektet og pr\u00e6ferencer p\u00e5 tv\u00e6rs af sessioner. If\u00f8lge et skjult prompt i koden er m\u00e5let at “have a complete picture of who the user is, how they’d like to collaborate with you, what behaviors to avoid or repeat, and the context behind the work.”<\/em> Det minder i \u00f8vrigt ikke s\u00e5 lidt om Anthropics Computer Use-vision<\/a>, bare for kodning specifikt.<\/p>\n\n\n\n

AutoDream: AI der dr\u00f8mmer<\/h3>\n\n\n\n

Tilknyttet KAIROS er AutoDream<\/strong> \u2014 et system der aktiveres n\u00e5r brugeren er inaktiv eller manuelt sender agenten i dvale. Her udf\u00f8rer Claude Code hvad Anthropic kalder en “reflective pass over your memory files”<\/em>: den scanner dagens transcripts for ny viden, konsoliderer den med eksisterende hukommelse, fjerner duplikater og modsigelser, og pruner for\u00e6ldet information. Kort sagt: AI’en dr\u00f8mmer<\/strong> og organiserer sine erindringer, pr\u00e6cis som vi mennesker g\u00f8r under s\u00f8vn.<\/p>\n\n\n\n

Undercover Mode<\/h3>\n\n\n\n

Et af de mest diskuterede fund er Undercover Mode<\/strong>. Koden afsl\u00f8rer, at Anthropic bruger Claude Code til “stealth”-bidrag til offentlige open source-repositories. Et skjult systemprompt advarer modellen: “You are operating UNDERCOVER… Your commit messages… MUST NOT contain ANY Anthropic-internal information. Do not blow your cover.”<\/em><\/p>\n\n\n\n

Funktionen sikrer, at interne modelnavne som “Tengu”, “Capybara” eller “Fennec” aldrig l\u00e6kker ud i offentlige git-logs. Det rejser naturligvis sp\u00f8rgsm\u00e5l om gennemsigtighed i open source<\/strong> \u2014 selvom det sandsynligvis prim\u00e6rt bruges til intern dogfooding.<\/p>\n\n\n\n

Buddy: Et AI-k\u00e6ledyr i terminalen<\/h3>\n\n\n\n

I den mere kuri\u00f8se afdeling finder vi Buddy<\/strong> \u2014 et Tamagotchi-lignende k\u00e6ledyr med stats som “CHAOS” og “SNARK”, der lever i terminalen. Det lyder excentrisk, men det afspejler en bevidst strategi: Anthropic bygger personlighed<\/strong> ind i produktet for at \u00f8ge brugerengagement og “stickiness”.<\/p>\n\n\n\n

Interne modelnavne og performance-tal<\/h3>\n\n\n\n

Koden afsl\u00f8rer ogs\u00e5 Anthropics interne model-roadmap: Capybara<\/strong> er kodenavnet for en Claude 4.6-variant, Fennec<\/strong> mapper til Opus 4.6, og den endnu uudgivne Numbat<\/strong> er stadig under test. Interne kommentarer viser, at Capybara v8 har en 29-30% false claims rate<\/strong> \u2014 en faktisk forv\u00e6rring sammenlignet med 16,7% i v4. Det giver et sj\u00e6ldent indblik i, hvor sv\u00e6rt det stadig er at bygge p\u00e5lidelige AI-agenter der ikke snyder<\/a>.<\/p>\n\n\n\n

GitHub-reaktionen: Fra arkiv til clean-room rewrite<\/h2>\n\n\n\n

Det mest kendte repository<\/a> startede som et direkte arkiv af den l\u00e6kkede kode, men er siden blevet konverteret til et clean-room Python- og Rust-rewrite<\/strong> af sikkerhedshensyn. Udvikleren bag \u2014 den koreanske AI-forsker Sigrid Jin, som if\u00f8lge Wall Street Journal brugte 25 milliarder Claude Code-tokens sidste \u00e5r \u2014 byggede en Python-port fra bunden ved hj\u00e6lp af OpenAI’s Codex-orkestreringsv\u00e6rkt\u00f8j.<\/p>\n\n\n\n

Der florerer dog stadig talrige forks med den originale kildekode, og et helt website (ccleaks.com<\/a>) er dedikeret til at dokumentere Claude Codes skjulte funktioner. Det er, som Ars Technica bem\u00e6rker, ikke f\u00f8rste gang der er fors\u00f8gt reverse engineering af Claude Code \u2014 men aldrig med denne totalitet<\/strong>.<\/p>\n\n\n\n

Sikkerhedsrisikoen<\/h2>\n\n\n\n

For Claude Code-brugere er l\u00e6kket ikke bare en nysgerrig nyhed. Med den eksponerede kode kan ondsindede akt\u00f8rer nu studere den pr\u00e6cise logik bag sikkerhedsguardrails og permission-prompts<\/strong> for at finde veje udenom. S\u00e6rligt Hooks og MCP-server-orkestreringen giver et detaljeret kort over, hvordan man potentielt kan narre Claude Code til at eksekvere baggrundkommandoer.<\/p>\n\n\n\n

Timingen var ekstra uheldig: blot timer f\u00f8r l\u00e6kket ramte en supply chain-angreb axios-pakken p\u00e5 npm<\/strong> (version 1.14.1 og 0.30.4), der indeholdt en Remote Access Trojan. Brugere der installerede Claude Code via npm den 31. marts mellem kl. 00:21 og 03:29 UTC b\u00f8r tjekke deres lockfiles for disse versioner.<\/p>\n\n\n\n

Anthropic anbefaler nu at migrere til deres native installer<\/strong> (standalone binary) fremfor npm-installationen, netop for at undg\u00e5 den volatile npm-afh\u00e6ngighedsk\u00e6de.<\/p>\n\n\n\n

Hvad det betyder for AI-kodningsv\u00e6rkt\u00f8jer<\/h2>\n\n\n\n

L\u00e6kket bekr\u00e6fter det, mange allerede anede: Claude Code er ikke bare et chat-interface med et API-kald bagved. Det er et fuldt operativsystem for softwareudvikling<\/strong> \u2014 med multi-agent-orkestering, persistent hukommelse, IDE-broer via JWT-autentificering, og et tool-system s\u00e5 sofistikeret som mange selvst\u00e6ndige softwareprodukter.<\/p>\n\n\n\n

For konkurrenter som Googles Gemini Code Assist<\/a>, Cursor og andre er dette en uplanlagt gave: en detaljeret arkitekturskitse over markedslederens interne opbygning. Som VentureBeat formulerer det: “The race to build the next generation of autonomous agents has just received an unplanned, $2.5 billion boost in collective intelligence.”<\/em><\/p>\n\n\n\n

Men det rejser ogs\u00e5 et bredere sp\u00f8rgsm\u00e5l for hele branchen: Hvis selv Anthropic \u2014 et firma der konstant itererer p\u00e5 sikkerhed og tillid<\/a> \u2014 kan lave en s\u00e5 fundamental build-fejl, hvad siger det s\u00e5 om modenhedsniveauet i AI-tooling generelt?<\/p>\n\n\n\n

For os der bygger med og oven p\u00e5 disse v\u00e6rkt\u00f8jer, er der \u00e9n klar takeaway: tjek jeres build-pipelines<\/strong>. En enkelt fejlkonfigureret .npmignore<\/code> eller files<\/code>-felt i package.json<\/code> kan eksponere alt. Og som Anthropic netop har demonstreret: selv de bedste kan komme galt af sted.<\/p>\n\n\n\n

Kilder<\/h2>\n\n\n\n