Källkoden till Anthropics kommandoradsgränssnitt Claude Code har läckt ut på nätet efter ett paketeringsfel i en nyligen genomförd release. Incidenten exponerade över 512 000 rader kod från närmare 2 000 TypeScript-filer. Företaget beskriver det som ett mänskligt fel där ingen känslig information kommit på avvägar.
Anthropic släppte version 2.1.88 av sitt npm-paket Claude Code den 31 mars 2026. Paketet innehöll av misstag en källkodsfil (source map) som gav tillgång till hela kodbasen. Säkerhetsforskaren Chaofan Shou uppmärksammade problemet först på X och delade en länk till ett arkiv med filerna. Koden dök snart upp i ett offentligt GitHub-arkiv, som sedan dess har kopierats (forkats) tiotusentals gånger. Ingen kunddata eller inloggningsuppgifter exponerades, enligt representanter för Anthropic, som kallar händelsen ett paketeringsfel orsakat av mänskliga faktorer, inte ett säkerhetsintrång. Företaget uppgav: ”Tidigare idag innehöll en release av Claude Code viss intern källkod. Ingen känslig kunddata eller inloggningsuppgifter var involverade eller exponerade. Detta var ett problem vid paketeringen av releasen orsakat av mänskliga faktorer, inte ett säkerhetsintrång. Vi inför nu åtgärder för att förhindra att detta sker igen.” Utvecklare började snabbt analysera den läckta koden. Exempelvis detaljerade en översikt Claude Codes minnesarkitektur, inklusive omskrivning av bakgrundsminne och valideringssteg. En annan analys noterade cirka 40 000 rader kod för ett plugin-liknande verktygssystem och 46 000 för frågespråksystemet, och beskrev det som ett sofistikerat utvecklarverktyg av produktionsklass snarare än ett enkelt API-omslag. Tidigare insatser från communityn hade delvis återskapat Claude Code genom reverse engineering, men denna läcka ger en oöverträffad fullständighet. Exponeringen ger konkurrenter insikter i Anthropics arkitektur och potentiella sårbarheter i dess säkerhetsmekanismer.
