Claude Code wurde nicht zu einer Neuigkeit, weil jemand einen schrulligen Frontend-Fehler gefunden hat. Er wurde zu einer Nachricht, weil öffentliche Berichte am 31. März besagten, dass Anthropic's npm-distributed CLI genug Source-Map-Metadaten für Außenstehende enthüllt, um lesbaren TypeScript-Quellcode zu rekonstruieren, und mehrere öffentliche GitHub-Spiegel erschienen fast sofort und behaupteten, sie seien von cli.js.map für @anthropic-ai/claude-code Version 2.1.88. Anthropics eigenes Changelog und GitHub-Veröffentlichungen zeigen 2.1.88 als eine echte öffentliche Veröffentlichung vom 30. März 2026, die mit der in diesen Spiegeln genannten Version übereinstimmt. (X (ehemals Twitter))
Das bedeutet nicht, dass jede beängstigende Behauptung, die online kursiert, wahr ist. Die stärksten öffentlichen Beweise sprechen für ein Paketierungs- und Artefakt-Expositions-Ereignis: Ein Debug- oder Mapping-Artefakt, das mit der verteilten CLI verbunden ist, scheint für eine umfangreiche Quellenrekonstruktion ausreichend gewesen zu sein. Das ist bereits ernst zu nehmen. Aber es ist nicht dasselbe wie eine bestätigte Verletzung der Cloud-Systeme von Anthropic, und es ist nicht dasselbe wie die nachweisliche Offenlegung von Kunden-Repositories, Prompts oder lokalen Dateien. Ähnliche Fälle von Quellennachweisen, einschließlich eines Astro-Hinweises aus dem Jahr 2024, wurden zunächst als Vertraulichkeitsverletzungen und erst in zweiter Linie als Beschleuniger für spätere Ausbeutungsforschung behandelt. (GitHub)
Ein Detail ist besonders hervorzuheben. Öffentliche Spiegel und die ursprünglichen sozialen Beiträge sind ein starker Beweis dafür, dass die Exposition stattgefunden hat. Aktuelle öffentliche Seiten zum Durchsuchen von Paketen sind ein schwächerer Beweis dafür, ob das gleiche Artefakt heute noch erreichbar ist. Zum Beispiel zeigt jsDelivr derzeit @anthropic-ai/claude-code Version 2.1.88 und Listen cli.js, aber offensichtlich nicht aufgelistet cli.js.map in der öffentlichen Suchseite. Damit ist das Ereignis nicht widerlegt. Es bedeutet, dass ein strenger Bericht die Behauptung der historischen Exposition von der aktuellen Frage der Zugänglichkeit trennen muss. (jsDelivr)
Der sauberste Stromwert sieht wie folgt aus.
| Frage | Die derzeit bestunterstützte Antwort |
|---|---|
| War Claude Code Quelle wahrscheinlich in irgendeiner rekonstruierbaren Form ausgesetzt | Ja, öffentliche Spiegel, die am 31. März veröffentlicht wurden, besagen, dass sie rekonstruiert wurden aus cli.js.map für @anthropic-ai/claude-code 2.1.88 |
Ist 2.1.88 eine echte offizielle Claude-Code-Veröffentlichung | Ja, das öffentliche Änderungsprotokoll und die GitHub-Veröffentlichungen von Anthropic zeigen 2.1.88 freigegeben am 30. März 2026 |
| Enthält die öffentliche Geschichte npm-Distributionsartefakte | Ja, die öffentlichen Mirrors binden die Quelltext-Rekonstruktion explizit an das npm-published Paket |
Ist ein r2.dev Objekt-URL, die technisch in der Lage ist, öffentliche Dateien bereitzustellen | Ja, Cloudflare-Dokumente r2.dev als öffentliche Entwicklungs-URL für R2-Buckets, wenn der öffentliche Zugriff aktiviert ist |
| Beweist die heutige öffentliche CDN-Browse-Seite, dass die Karte noch zugänglich ist? | Nein, die aktuellen Seiten reichen nicht aus, um diese Frage zu klären |
Die obige Tabelle basiert auf Anthropic-Versionsdaten, Cloudflare's eigener R2-Dokumentation, aktuellen Paket-Mirror-Metadaten und den öffentlichen Rekonstruktions-Repositories, die nach dem Ereignis veröffentlicht wurden. (GitHub)
Warum eine Source Map ein Bündel in lesbaren Quellcode verwandeln kann
Eine Source Map ist keine Zauberei. Es handelt sich um eine strukturierte Datei, die transformiertes oder gebündeltes JavaScript mit dem ursprünglichen Quelltext verknüpft. MDN beschreibt Source-Maps als JSON-Dateien, die zwischen transformiertem Code und dem ursprünglichen, unveränderten Quellcode abbilden, so dass das Original rekonstruiert und zur Fehlersuche verwendet werden kann. In der normalen Entwicklung ist das eine praktische Sache. In einem Sicherheitskontext ist es eine Oberfläche, die Informationen preisgibt. (MDN-Webdokumente)
Der Mechanismus ist ganz einfach. Generiertes JavaScript endet in der Regel mit einem sourceMappingURL Richtlinie. Die Dokumentation von Sentry erklärt, dass Werkzeuge, die eine solche Direktive entdecken, die Source-Map-URL relativ zur Quelldatei auflösen oder eine voll qualifizierte URL verwenden, wenn eine direkt eingebettet ist. Das ist wichtig, denn sobald ein Build-Artefakt den Zeiger veröffentlicht, wird der Rest der Kette abrufbar oder rekonstruierbar durch alles, was die öffentliche Datei lesen kann. (Wächter Dokumente)
OWASP betrachtet offengelegte Source Maps aus genau diesem Grund als eine Form des Informationsverlustes. Im Web Security Testing Guide wird darauf hingewiesen, dass Source Maps den Code für den Menschen lesbarer machen und Angreifern helfen können, Schwachstellen zu finden oder sensible Informationen wie versteckte Routen, interne Strukturen oder hart kodierte Details zu sammeln. Der springende Punkt ist nicht, dass eine Source Map immer katastrophale Folgen hat. Der springende Punkt ist, dass sie das Kostenmodell des Angreifers verändert. Code, der zuvor verrauscht, abgeflacht oder schwer zu durchschauen war, lässt sich nun viel leichter untersuchen. (OWASP)
Hier ist das vereinfachte mentale Modell, das ein Verteidiger im Hinterkopf behalten sollte.
{
"Version": 3,
"Datei": "bundle.js",
"sources": ["src/main.ts", "src/permissions.ts", "src/remote.ts"],
"mappings": "..."
}
Eine solche Datei kann ein geringes oder hohes Risiko darstellen, je nachdem, was sonst noch dazugehört. Enthält sie Originalquellen inline, ist die Offenlegung unmittelbar. Wenn sie auf vorhersehbare externe Artefakte verweist, kann die Offenlegung nur eine weitere Anfrage entfernt sein. Wenn sie lediglich Zeilennummern zuordnet, die ursprüngliche Quelle aber ansonsten privat ist, sind die Auswirkungen geringer. Die Fehlerklasse ist breiter angelegt als "jemand hat eine falsche Datei hochgeladen". Es geht darum, ob der vollständige Paketierungspfad Debug-Artefakte als öffentlich oder privat behandelt. (MDN-Webdokumente)
Aus diesem Grund ist Sentrys eigene Anleitung hier bemerkenswert. In den Unterlagen von Sentry wird das öffentliche Hosting nicht als die beste Standardlösung dargestellt. Sie sagen, dass es zuverlässiger ist, Source Maps direkt in Sentry hochzuladen, und wenn Teams Maps geheim halten und dennoch den Abruf ermöglichen wollen, sollten sie den Zugriff mit einem Token oder einem anderen Authentifizierungsmechanismus regeln. Mit anderen Worten: Ausgereifte Werkzeuge gehen bereits davon aus, dass es legitime Gründe gibt, Source Maps nicht öffentlich zugänglich zu machen. (Wächter Dokumente)
Der Verpackungsfehler war nicht eine einzelne Datei, sondern eine ganze Kette
Die Geschichte von Claude Code, wie sie öffentlich berichtet wurde, deutet eher auf eine mehrstufige Fehlerkette als auf einen einzelnen Unfall hin. In öffentlichen Beiträgen hieß es, die Quelle sei durch eine .karte Datei in der npm-Distribution und eine r2.dev/src.zip Pfad. Public Mirrors sagte dann, sie packten aus cli.js.map von @anthropic-ai/claude-code 2.1.88 und rekonstruierte den Quellcode von dort. Auch wenn einige Details des genauen öffentlichen Pfads noch nicht geklärt sind, ist die gemeldete Kette klar genug, um darüber nachzudenken: Build-Ausgabe, Paketinhalte, Map-Referenzen und Objektspeicher-Exposition waren alle von Bedeutung. (X (ehemals Twitter))
Die R2-Dokumentation von Cloudflare ist hier nützlich, weil sie das Zugriffsmodell ohne Spekulationen erklärt. Öffentliche Buckets sind standardmäßig privat, aber wenn der öffentliche Zugriff aktiviert ist, können Objekte durch eine von Cloudflare verwaltete r2.dev Subdomain. Cloudflare weist auch darauf hin, dass Root-Bucket-Listen bei öffentlichen Buckets nicht verfügbar sind. Das ist ein unterschätztes Detail. Einen Bucket nicht auflisten zu können, hilft nicht, wenn ein anderes Artefakt bereits den genauen Objektpfad verrät. Sicherheit durch Unklarheit bricht in dem Moment zusammen, in dem eine Source-Map, ein Build-Manifest oder eine Fehlerverfolgung einem Angreifer die vollständige URL verrät. (Cloudflare-Dokumente)
Aus diesem Grund ist die Formulierung "nur eine durchgesickerte Quellenkarte" zu salopp. Ein Ereignis, bei dem eine Karte aufgedeckt wird, ist oft ein Ereignis zur Kontrolle der Verbreitung. Die entscheidende Frage ist nicht, ob eine .karte irgendwo während der Erstellung existierte. Die entscheidende Frage ist, ob die endgültige öffentliche Lieferkette es zuließ, dass diese Karte oder ein öffentlicher Zeiger dahinter in einem für Außenstehende erreichbaren Kanal überlebte. In der Praxis bedeutet das, dass man den Tarball, die CDN-Kopie, die Regeln für den Objektspeicher, die Vorgaben für das Build-Skript und den Verifizierungsschritt nach der Veröffentlichung überprüfen muss. (Wächter Dokumente)
Der npm-Blickwinkel ist wichtig, weil öffentliche Paket-Ökosysteme Fehler schnell verstärken. Anthropics eigene aktuelle Dokumentation und das offizielle GitHub README sagen nun, dass die npm-Installation veraltet ist und empfehlen stattdessen native Installationsmethoden, während npm für Kompatibilitätsfälle weiterhin dokumentiert wird. Das beweist nicht, dass die Verwerfung wegen dieses Vorfalls geschah, und es wäre unverantwortlich, dies zu behaupten. Aber es bedeutet, dass Verteidiger npm-basierte Claude-Code-Installationen während der Triage sofort von nativen Installationen trennen sollten, da sie unterschiedlichen Verteilungspfaden und unterschiedlichen Erwartungen an Artefakte folgen. (Claude API-Dokumente)
Warum das Claude Code-Source-Map-Leck wichtiger ist als eine typische Frontend-Source-Map
Claude Code ist kein schmückendes Beiwerk. In der Übersicht von Anthropic wird es als ein agentenbasiertes Kodierungswerkzeug beschrieben, das Codebasen liest, Dateien bearbeitet, Befehle ausführt und sich mit Entwicklungswerkzeugen über Terminal-, IDE-, Desktop- und Browseroberflächen hinweg integriert. Das ist bereits eine andere Sicherheitskategorie als ein statisches Site-Bundle oder ein Dashboard-Widget. Wenn die Implementierungsdetails eines solchen Tools einfacher zu lesen sind, ist der Preis nicht nur eine schönere Syntaxhervorhebung für neugierige Entwickler. Es ist eine klarere Karte der Vertrauensgrenzen, Berechtigungsentscheidungen, Orchestrationsflüsse und Integrationsoberflächen. (Claude)
Die Sicherheitsdokumentation von Anthropic unterstreicht diesen Punkt. Claude Code verwendet standardmäßig strikte Nur-Lese-Berechtigungen, fordert für zusätzliche Aktionen eine Genehmigung an und umfasst eine Bash-Sandbox, Beschränkungen des Schreibbereichs und Abschwächungen für Prompt-Injection. Das Bash-Sandbox-Modell verwendet speziell die Isolierung von Dateisystemen und Netzwerken, und in der Dokumentation zu den Berechtigungen von Anthropic heißt es, dass Sandbox-Beschränkungen verhindern können, dass Bash-Befehle auf Ressourcen außerhalb der definierten Grenzen zugreifen, selbst wenn Prompt-Injection die Entscheidungsfindung von Claude beeinflusst. Bei einem Source-Exposure-Ereignis, an dem eine Laufzeitumgebung wie diese beteiligt ist, geht es nicht nur darum zu lernen, wie die Benutzeroberfläche aussieht. Es geht darum, die Kosten für die Analyse zu senken, wie diese Schutzmechanismen tatsächlich aufgebaut sind. (Claude)
Die Fernsteuerungsoberfläche macht die Sache noch deutlicher. Anthropic dokumentiert Remote Control als eine Möglichkeit, eine lokale Claude Code Sitzung von einem anderen Browser oder Gerät aus fortzusetzen. In den Unterlagen wird explizit darauf hingewiesen, dass die Sitzung weiterhin auf dem Rechner des Benutzers läuft, dass der lokale Prozess nur ausgehende HTTPS-Anfragen stellt und dass die Verbindung kurzlebige "scoped credentials" verwendet. Das ist eine gute Offenlegung des Sicherheitsdesigns und kein Beweis für einen Fehler. Aber es ist auch die Art von Subsystem, bei dem Implementierungsdetails strategisch wertvoll für jeden sind, der versucht, den Sitzungsstatus, die Authentifizierungsgrenzen und die Aktionsvermittlung in einer komplexen Agentenlaufzeit zu verstehen. (Claude)
Anthropic bietet jetzt auch automatische Sicherheitsüberprüfungsfunktionen innerhalb von Claude Code, einschließlich /security-review und GitHub Actions-basierte Überprüfung. Das bedeutet, dass Claude Code nicht nur ein abstrakter Codierungsassistent ist. Es ist zunehmend Teil der realen Sicherheits-Workflows von Entwicklern. Eine Quelloffenlegung, die diese Art von Werkzeug betrifft, hat daher einen Effekt zweiter Ordnung: Sie kann beeinflussen, wie Entwickler die Vertrauenswürdigkeit der Werkzeuge einschätzen, die sie zur Überprüfung anderer Software verwenden. Sicherheitstools werden genauer unter die Lupe genommen, weil die Wirtschaftlichkeit anders ist. Forscher brauchen nicht gleich am ersten Tag einen direkten Exploit, damit ein Leck wie dieses von Bedeutung ist. Sie brauchen eine bessere Ausgangsbasis. (Claude Help Center)
Ein praktischer Weg, um über die Einsätze nachzudenken, ist folgender.
| Claude Code-Fähigkeit | Was die offiziellen Dokumente bereits verraten | Warum das Engagement bei der Umsetzung wichtig ist |
|---|---|---|
| Befehlsausführung | Bash ist erlaubnispflichtig und kann in einer Sandbox untergebracht werden. | Forscher können die exakte Durchsetzung der Vorschriften und Grenzfälle untersuchen |
| Repo Trust und Dateibearbeitung | Standardmäßig schreibgeschützt, eingeschränkte Schreibzugriffe, Berechtigungsmodi | Fehler in der Pre-Trust-Bestellung und Fehler im Geltungsbereich sind leichter zu erklären |
| Fernsteuerung | Sitzung läuft lokal, nur ausgehendes HTTPS, kurzlebige Creds | Sitzungsorchestrierung und Authentifizierungsübergänge werden billiger zu analysieren |
| Hooks, MCP, Unterprozesse | Claude kann mit Tools und politischen Ebenen integriert werden | Geheime Weitergabe und indirekte Ausführungswege werden besser sichtbar |
| Merkmale der Sicherheitsüberprüfung | /security-review und GitHub-Aktionen werden unterstützt | Überprüfungslogik, Ausschlüsse und Annahmen lassen sich leichter testen |
Diese Zusammenfassung ist keine Behauptung, dass das öffentliche Leck alle diese Interna auf eine waffenfähige Weise offengelegt hat. Es ist eine Aussage darüber, warum der Verlust der Vertraulichkeit bei der Laufzeit eines Agentenentwicklers schwerwiegender ist als der Verlust der Vertraulichkeit bei einer normalen Frontend-Anlage. Die öffentlichen Dokumente von Anthropic legen bereits einen bedeutenden Teil des Modells offen; eine lesbare Implementierung senkt die verbleibende Barriere. (Claude)
Anthropic veröffentlicht bereits einen Teil des Sicherheitsmodells, und das macht die Präzision noch wichtiger
Nach jedem Leck besteht die Versuchung, alles als geheim und alles als kompromittiert zu betrachten. So funktioniert die Sicherheitsanalyse eines ausgereiften Produkts aber nicht. Anthropic dokumentiert bereits einen beträchtlichen Teil des Sicherheitsmodells von Claude Code in der Öffentlichkeit: Berechtigungsmodi, Plan-Modus, Auto-Modus, Sandboxing, Fernsteuerung und Sicherheitsüberprüfungsfunktionen. Die Dokumente zum Automodus sind besonders aufschlussreich über die Designabsicht. Sie besagen, dass ein separater Klassifikator Aktionen im Kontext überprüft, dass Tool-Ergebnisse aus der Eingabe des Klassifikators herausgenommen werden und dass die Funktion eher eine Forschungsvorschau als eine Sicherheitsgarantie ist. Nichts davon ist an sich eine Schwachstelle. Aber es zeigt, dass Anthropic das gleiche Problem sieht wie die Verteidiger: Agenten-Codierungstools leben oder sterben von Vertrauensgrenzen und Genehmigungslogik. (Claude)
Diese Offenlegung hat zwei Seiten. Auf der positiven Seite bedeutet es, dass Außenstehende keine undichte Stelle brauchen, um die allgemeine Designphilosophie zu verstehen. Auf der negativen Seite bedeutet es, dass die interessantesten verbleibenden Fragen genau die Implementierungsfragen sind: in welcher Reihenfolge laufen Prüfungen ab, wo werden Ausnahmen angewendet, wann wird Vertrauen aufgebaut, welche Pfade sind vor einer Eingabeaufforderung erlaubt, was wird an Unterprozesse vererbt und wie verhalten sich Fallbacks unter Wettlaufbedingungen oder bei fehlerhafter Eingabe. Das sind genau die Fragen, die leichter zu erforschen sind, wenn der Quelltext lesbar wird. (Claude)
Was die öffentlichen Beweise nicht belegen
Die wichtigste Disziplin in einem sich schnell entwickelnden Vorfall ist es, zu sagen, was die Beweise nicht unterstützen. Die öffentlichen Repositories und Beiträge, die für diese Geschichte überprüft wurden, unterstützen eine Behauptung über die Rekonstruktion des Quellcodes aus den Artefakten der Paketdistribution. Sie beweisen für sich genommen nicht den Diebstahl von Kunden-Repositories, Sitzungsprotokollen oder Benutzeraufforderungen. Das nach dem Leck öffentlich gespiegelte Material wird als Quellcode und nicht als Benutzerdaten beschrieben. (GitHub)
Die Astro-Sourcemap-Beratung ist ein nützlicher Vergleich, weil sie den leisen Teil laut ausspricht. In diesem Fall war die unmittelbare Auswirkung die Offenlegung des Quellcodes, während Geheimnisse oder Umgebungswerte nur dann offengelegt wurden, wenn sie wortwörtlich im Quellcode vorhanden waren. In der Empfehlung wird auch darauf hingewiesen, dass das ernstere nachgelagerte Risiko darin besteht, was ein Angreifer als Nächstes entdecken kann, sobald der Code sichtbar wird. Dieser Rahmen gilt auch hier. Ein Ereignis, bei dem Quellcode aufgedeckt wird, sollte unbedingt ernst genommen werden. Es sollte jedoch nicht zu Behauptungen aufgeblasen werden, die nicht durch Beweise gestützt werden. (GitHub)
Die Fernsteuerungsfunktion ist ein weiterer Bereich, in dem es auf Präzision ankommt. Das Vorhandensein einer Ferninteraktion mit Claude Code bedeutet nicht, dass das Produkt eingehende Ports auf den Rechnern der Entwickler öffnet. In den Unterlagen von Anthropic heißt es, dass der lokale Prozess nur ausgehende HTTPS-Anfragen stellt und dass Web- oder mobile Schnittstellen als Fenster in die lokale Sitzung fungieren. Wenn jemand behauptet, dass das Leck in der Source Map eine Hintertür ins Internet zu jedem Claude-Code-Rechner geschaffen hat, so wird diese Behauptung durch die öffentliche Dokumentation nicht gestützt. (Claude)
Die richtige aktuelle Einstufung ist daher enger gefasst und glaubwürdiger: Es scheint sich um einen Vorfall im Zusammenhang mit der Vertraulichkeit von Quellen zu handeln, an dem ein hochwertiges agentenbasiertes Entwicklerwerkzeug beteiligt ist. Das ist genug, um echte Besorgnis zu rechtfertigen. Es ist nicht genug, um eine Fiktion zu rechtfertigen. (GitHub)
Ein zweiter Realitätscheck sollte hinzugefügt werden. Öffentliche Seiten zum Durchsuchen von Paketen können sich verzögern, unterscheiden oder Details auslassen, die eine nachträgliche Rekonstruktion unübersichtlich machen. Die Mirrors vom 31. März sagen, dass sie die Quellen von cli.js.map im offiziellen Paket. Das aktuelle öffentliche jsDelivr-Browsing zeigt die Version 2.1.88 und die Haupt cli.js Datei, aber nicht eine offensichtliche cli.js.map Eintrag im Stammverzeichnis. Diese Diskrepanz ist genau der Grund, warum in den Berichten über Vorfälle unterschieden werden sollte zwischen dem, was zum Zeitpunkt der Enthüllung als zugänglich gemeldet wurde, und dem, was ein Leser Tage später persönlich durchklicken kann. Wenn man diese beiden Zustände verwechselt, ersetzt das Gerücht die Analyse. (GitHub)
Warum ältere Claude Code CVEs in dieser Diskussion wichtig sind
Hätte es sich bei dem Vorfall vom 31. März um ein passives Tool gehandelt, bei dem es in der Vergangenheit keine vertrauenswürdigen Fehler gab, wäre die Geschichte zwar immer noch von Bedeutung, aber es wäre einfacher, sie als Rufschädigung und nicht als Sicherheitsproblem zu betrachten. Auf Claude Code trifft diese Beschreibung nicht zu. Im Laufe des letzten Jahres haben Anthropic und GitHub mehrere Hinweise veröffentlicht, die Claude Code in Bereichen betreffen, die direkt mit Vertrauensaufforderungen, Befehlsausführung, IDE-Integration und Datenexfiltration zusammenhängen. Diese Probleme sind nicht dasselbe wie das Leck in der Source-Map. Sie sind der Kontext, der erklärt, warum lesbare Implementierungsdetails in dieser Produktkategorie strategisch nützlich sind. (GitHub)
Das Muster wird deutlich, wenn man die Meldungen nebeneinander betrachtet.
| CVE | Was geschah | Betroffene Versionen und Fix | Warum das hier wichtig ist |
|---|---|---|---|
| CVE-2025-52882 | IDE-Integrationen akzeptierten Websocket-Verbindungen beliebiger Herkunft, was in betroffenen Umgebungen unberechtigten Zugriff auf den Datei- und Editorstatus ermöglichte | >= 0.2.116, < 1.0.24festgelegt in 1.0.24 | Zeigt, dass die Grenzen des Ursprungs und des IDE-Vertrauens in Bezug auf Claude Code bereits ein echtes Problem darstellen |
| CVE-2025-59828 | Yarn Config und Plugins konnten ausgeführt werden, bevor der Benutzer den Vertrauensdialog für das Verzeichnis akzeptierte | < 1.0.39festgelegt in 1.0.39 | Zeigt, dass die Reihenfolge der Ausführung vor dem Vertrauen eine kritische und historisch fragile Oberfläche ist |
| CVE-2025-58764 | Fehler beim Parsen von Befehlen können Genehmigungsaufforderungen umgehen und die Ausführung von nicht vertrauenswürdigen Befehlen aus einem feindlichen Kontext heraus auslösen | < 1.0.105festgelegt in 1.0.105 | Zeigt, dass die Logik für die Validierung von Eingabeaufforderungen und Befehlen ein realistisches und kein theoretisches Ziel ist. |
| CVE-2025-64755 | Ein sed-Parsing-Problem könnte die Nur-Lese-Validierung umgehen und beliebige Dateien auf den Host schreiben | < 2.0.31festgelegt in 2.0.31 | Zeigt, dass "Nur-Lese"-Garantien an Parser- und Durchsetzungsgrenzen scheitern können |
| CVE-2026-21852 | Claude Code könnte API-Anfragen vor der Vertrauensbestätigung stellen und Daten, einschließlich Anthropic-API-Schlüssel, über bösartige Repo-Einstellungen weitergeben | < 2.0.65festgelegt in 2.0.65 | Es zeigt sich, dass die Anlaufphase und die Projektauslastung vor der Vertrauensbestätigung einer der wertvollsten Bereiche ist, die es zu untersuchen gilt. |
Dies ist der Hauptgrund, warum die Offenlegung des Quellcodes wichtig ist. Diese Hinweise offenbaren ein wiederkehrendes Thema: Die folgenreichsten Claude-Code-Fehler sind keine dekorativen Fehler. Es sind Fehler an den Nahtstellen zwischen der Absicht des Benutzers, dem Kontext der Eingabeaufforderung, dem Vertrauen in das Repository, der Ausführungsgenehmigung, dem Ursprung der IDE und dem Startverhalten. Das ist genau die Art von Software, bei der lesbarer Quellcode die Kosten für das Auffinden von Randfällen deutlich reduziert. (GitHub)
Nehmen Sie CVE-2026-21852 als Beispiel. Der GitHub-Beratung zufolge könnte ein bösartiges Repository ANTHROPIC_BASE_URL so dass Claude Code Anfragen stellen würde, bevor die Vertrauensaufforderung angezeigt wird, wodurch API-Schlüssel verloren gehen könnten. Das ist keine Schwachstelle in der Quellenzuordnung. Es ist eine Schwachstelle vor der Vertrauensinitialisierung. Aber es zeigt, warum Entwickler bei diesem Produkt auf die exakte Reihenfolge des Projektladens und das Timing der Vertrauensabfrage achten. Sobald diese Schwachstellen bekannt sind, verdient jedes Ereignis, das die Implementierungsstudie billiger macht, Aufmerksamkeit. (GitHub)
CVE-2025-59828 macht den gleichen Punkt aus einem anderen Blickwinkel deutlich. Dieses Problem bestand, weil Yarn-bezogener Code ausgeführt werden konnte, bevor das Verzeichnisvertrauen akzeptiert worden war. Nochmals, die interessante Lektion ist nicht "Yarn ist beängstigend". Die interessante Lektion ist, dass die Sicherheitslage von Claude Code davon abhängt, welche Subsysteme vor oder nach der Vertrauensbildung ausgeführt werden. Dies ist ein klassischer Fall, bei dem Implementierungsdetails wichtiger sind als die architektonische Absicht. (GitHub)
CVE-2025-58764 und CVE-2025-64755 verlagern das Thema vom Startvertrauen zum Ausführungsvertrauen. Eine Empfehlung besagt, dass ein feindlicher Kontext eine Genehmigungsaufforderung umgehen und eine nicht vertrauenswürdige Befehlsausführung auslösen könnte. Der andere besagt, dass ein sed-Parsing-Fehler die Nur-Lese-Validierung umgehen und beliebige Dateien schreiben könnte. Zusammen zeigen sie, dass "Genehmigung" und "Nur-Lesen" keine magischen Zustände sind. Es handelt sich um Richtlinien, die durch Parsing-, Matching- und Enforcement-Code umgesetzt werden. Wenn der Quellcode besser lesbar wird, werden diese Richtlinien einfacher zu testen und zu hinterfragen. (GitHub)
CVE-2025-52882 ist aus einem ähnlichen Grund auf der IDE-Seite von Bedeutung. Das Advisory von GitHub besagt, dass die betroffenen VS Code- und JetBrains-Integrationen unautorisierte Websocket-Verbindungen von beliebiger Herkunft zulassen und den Datei- und Editor-Status offenlegen können. Dieses Problem ist von einer anderen Oberfläche als der CLI-Tarball. Es gehört dennoch in dieselbe Diskussion, weil es zeigt, dass Claude Code Teil einer größeren Produktfamilie mit mehreren Oberflächen ist, bei der die Behandlung von Quellen, das Nachrichtenrouting und die Sitzungsgrenzen sicherheitsrelevant sind. Ein Source Exposure-Ereignis, das die CLI betrifft, macht nicht automatisch die IDE kaputt. Es macht die Produktfamilie jedoch für externe Forschung transparenter. (GitHub)
Lokale CLI-, Fernsteuerungs- und Websitzungen sind nicht dieselbe Bedrohungsoberfläche.
In vielen öffentlichen Berichten über die undichte Stelle werden alle Claude-Code-Bereitstellungsmodi zu einem einzigen Klumpen zusammengefasst. Das macht die Analyse schlechter. Die Anthropic-Dokumente ziehen eine echte Grenze zwischen lokalem Claude Code, Fernsteuerung und Claude Code im Web. Lokaler Claude Code wird auf dem Rechner des Benutzers ausgeführt. Bei der Fernsteuerung bleibt die Ausführung auf dem Rechner des Benutzers und verwendet die Web- oder Mobilschnittstelle als Steuerungsoberfläche. Claude Code im Internet hingegen wird in einer von Anthropic verwalteten Cloud-Infrastruktur ausgeführt. Das ist nicht dasselbe Vertrauensmodell und nicht derselbe Beweisweg. (Claude)
Diese Unterscheidung ist wichtig, weil die Auswirkungen davon abhängen, wo die exponierte Implementierung tatsächlich angewendet wird. Ein Paketierungsproblem in einer npm-distributierten CLI betrifft in erster Linie den Pfad, der von npm-installierten lokalen Clients verwendet wird. Es bedeutet nicht automatisch, dass dieselbe Artefaktkette in der von Anthropic gehosteten Webumgebung existiert. Umgekehrt würde ein Problem in der Cloud-Umgebung nicht automatisch viel darüber aussagen, was in einem lokalen npm-Tarball vorhanden ist. Ein ausgereifter Umgang mit Vorfällen beginnt damit, diese Einsatzgrenzen zu ziehen, bevor er mit der Vorhersage des Explosionsradius beginnt. (Claude API-Dokumente)
Die gleiche Nuance gilt für die Vertrauensannahmen zum Netzwerkverhalten. In der Dokumentation zur Datennutzung von Anthropic heißt es, dass der lokale Claude Code Eingabeaufforderungen und Modellausgaben über das Netzwerk an Anthropic-Dienste sendet. Das bedeutet, dass es immer eine Fernsteuerungskomponente in der Produkterfahrung gibt. In der Dokumentation heißt es aber auch, dass Fernsteuerungssitzungen dem lokalen Datenfluss folgen, da die Ausführung auf dem Rechner erfolgt, auf dem die Sitzung gestartet wurde. Mit anderen Worten: Die Offenlegung des Quellcodes der lokalen Laufzeit ist nicht automatisch gleichbedeutend mit einer Kompromittierung der Cloud-Ausführung, und eine Kompromittierung der Cloud-Ausführung ist nicht erforderlich, damit ein Ereignis zur Vertraulichkeit der lokalen Laufzeit von Bedeutung ist. (Claude)
Wie eine ernsthafte Verteidigungsreaktion in den ersten 24 Stunden aussieht
Der erste operative Fehler, den die meisten Teams nach einem solchen Vorfall begehen, besteht darin, dass sie versuchen, das Internet zu beantworten, bevor sie ihre eigene Bestandsaufnahme vornehmen. Beginnen Sie mit den langweiligen Fragen. Wo ist Claude Code in Ihrer Umgebung installiert? Welche Installationspfade werden verwendet. Welche Versionen sind vorhanden. Welche Entwickler oder CI-Runner verwenden noch den veralteten npm-Pfad. Anthropics eigene Setup-Dokumente und das offizielle GitHub-Repositorium sagen beide, dass die npm-Installation veraltet ist und empfehlen zuerst native Installationspfade, wobei Homebrew und WinGet ebenfalls dokumentiert sind. Das macht npm-basierte Installationen zur offensichtlichen ersten Partition in jedem Reaktionsplan. (Claude API-Dokumente)
Der zweite Fehler besteht darin, die Suche auf die Laptops der Entwickler zu beschränken. Agentische Coding-Tools landen oft an Orten, die Entwickler vergessen zu erwähnen: selbst gehostete CI-Runner, GitHub Actions-Images, Devcontainer, gemeinsam genutzte Jump-Hosts, Wegwerf-Cloud-Workstations und interne Golden Images. Wenn in Ihrem Unternehmen die Norm "einfach npm global installieren" gilt, sollten Sie davon ausgehen, dass irgendwo eine Kopie existiert, die Sie nicht manuell inventarisiert haben. Öffentliche Paket-Spiegel zeigen immer noch 2.1.88 als eine im Ökosystem vorhandene Version, so dass "wir haben es aus einem Pfad entfernt" kein ausreichendes mentales Modell für den Expositionslebenszyklus ist. (jsDelivr)
Eine praktische erste Bestandsaufnahme könnte so aussehen.
# Lokale Version und Pfad
claude --version
welches claude
# Prüfen, ob die npm-Installation veraltet ist
npm ls -g @anthropic-ai/claude-code --tiefe=0
# Prüfen Sie alternative Paketmanager
brew list --versions claude-code
winget list Anthropic.ClaudeCode
Anthropische explizite Dokumente claude --version, native Installation, Homebrew, WinGet und die veraltete npm-Installation. Das Ziel ist also nicht, einen neuen Workflow zu erfinden. Es geht darum, die offizielle Installationsanleitung in eine Inventarisierungsroutine zu verwandeln, die feststellt, welchen Distributionspfad jeder Rechner tatsächlich verwendet. (Claude API-Dokumente)
Bei der dritten Frage geht es gar nicht um die Verpackung. Es geht um die Vertrauensstellung. Zeigen Leute in Ihrem Team routinemäßig mit Claude Code auf nicht vertrauenswürdige Repositories, Plugin-Bundles oder generierte Artefakte. Wenn die Antwort "Ja" lautet, sollte die Source-Map-Geschichte eine umfassendere Überprüfung der Claude-Code-Härtung auslösen, da das tatsächliche Risiko des Produkts in der Vergangenheit oft an den Grenzen vor der Vertrauenswürdigkeit und der Prompt-Grenze lag. Die relevante Lehre aus CVE-2026-21852, CVE-2025-59828, CVE-2025-58764 und CVE-2025-64755 ist nicht "Panik jetzt". Sie lautet: "Behalten Sie keine laxe Laufzeithaltung bei, nur weil die heutige Schlagzeile eher die Offenlegung von Quellen als eine direkte Kompromittierung betraf." (GitHub)
Die vierte Frage ist, wie viel Autonomie Sie derzeit zulassen. Die Dokumentation des Erlaubnismodus von Anthropic ist hier ungewöhnlich nützlich, weil sie die Kompromisse nicht versteckt. Plan Modus ist eine Nur-Lese-Planung. Standard fragt, bevor er außerhalb der schreibgeschützten Arbeit handelt. Auto verwendet einen Klassifikator und wird ausdrücklich als Forschungsvorschau und nicht als vollständige Sicherheitsgarantie beschrieben. bypassPermissions deaktiviert die Berechtigungsprüfung und ist nur in isolierten Umgebungen wie Containern oder VMs ohne Internetzugang als geeignet dokumentiert. Das bedeutet, dass die Triage von Vorfällen eine Überprüfung der Berechtigungslage beinhalten sollte, nicht nur eine Überprüfung der Paketversion. (Claude)
Wenn Ihre Teams unbekannte Repositories mit weitgehender Autonomie erkunden, hat eine einfache kurzfristige Änderung einen unverhältnismäßigen Wert: Verschieben Sie die anfängliche Inspektionsarbeit in Plan Modus oder Standardmodus, lassen Sie Sandboxing aktiviert und reservieren Sie bypassPermissions für wirklich isolierte Umgebungen. In den Sandboxing-Dokumenten von Anthropic heißt es, dass das Bash-Tool mit Sandboxing das Dateisystem und das Netzwerk auf Betriebssystemebene isoliert, während in den Sicherheitsdokumenten steht, dass Sandboxing und Verweigerungsregeln dazu beitragen, den Schaden zu begrenzen, selbst wenn die Prompt Injection die Entscheidungen von Claude beeinflusst. Dies ist die Art von Härtungsmaßnahme, die auch dann noch von Bedeutung ist, wenn sich herausstellt, dass das Ereignis vom 31. März bereits vollständig behoben wurde. (Claude)
Ein weiterer schneller Erfolg ist die Hygiene der Anmeldeinformationen für Teilprozesse. Anthropics v2.1.83 Freigabe eingeführt CLAUDE_CODE_SUBPROCESS_ENV_SCRUB=1die Anthropic- und Cloud-Provider-Anmeldeinformationen aus Unterprozessumgebungen wie Bash, Hooks und MCP stdio-Servern entfernt. Diese Release Note ist wichtig, weil sie eine reale betriebliche Wahrheit anerkennt: Selbst wenn die Haupt-Agent-Laufzeit unter Kontrolle ist, kann die Vererbung von Unterprozessen den Radius eines Bugs oder bösartigen Workflows erweitern. Wenn Sie Claude Code in sensiblen Umgebungen einsetzen, verdient diese Einstellung besondere Aufmerksamkeit. (GitHub)
Auch die Fernsteuerungspolitik verdient eine Überprüfung. Anthropic sagt, dass die Fernsteuerung in allen Paketen verfügbar ist, aber für Team und Enterprise standardmäßig deaktiviert ist, bis ein Administrator sie aktiviert. Wenn Ihre Organisation sie nicht benötigt, entfernt die Deaktivierung eine weitere Angriffsfläche für die tägliche Arbeit. Wenn Sie sie benötigen, sollten Sie die Richtlinie explizit machen und dokumentieren, wo lokale Sitzungen ausgeführt werden dürfen, da die Fernsteuerung von vornherein mit dem lokalen Dateisystem und den lokalen Tools des Benutzers interagiert. (Claude)
Eine Sache, die die Verteidiger nicht tun sollten, ist, jeden Berechtigungsnachweis in Sichtweite zu rotieren, nach dem Motto: "Das Quellenleck beweist, dass die Schlüssel gestohlen wurden". Die öffentlichen Beweise unterstützen diesen Sprung nicht. Rotieren Sie Anthropic-API-Schlüssel, OAuth-Tokens oder Cloud-Anmeldedaten auf der Grundlage konkreter Expositionspfade. Wenn Sie zum Beispiel vor2.0.65 Claude Code in feindlichen Repositories, CVE-2026-21852 schafft ein echtes Problem der Schlüsselfilterung. Die Source-Map-Berichte vom 31. März allein tun dies nicht. Die Vermischung dieser beiden Modelle führt zu teurem Theater statt zu einer gezielten Reaktion. (GitHub)
Wie man das Artefakt inspiziert, anstatt darüber zu streiten
Die gesündeste Reaktion auf einen Verpackungsvorfall sind nicht endlose Spekulationen über Screenshots. Sie ist die Inspektion von Artefakten. Wenn Ihre Umgebung aus irgendeinem Grund immer noch auf npm-distributed Claude Code angewiesen ist, oder wenn Sie die gleiche Disziplin auf Ihre eigenen Pakete anwenden wollen, untersuchen Sie den eigentlichen Tarball. Suchen Sie nach Source-Maps, öffentlichen Debug-URLs, und sourceMappingURL Direktiven im endgültigen verteilten Artefakt, nicht nur im Repository oder Build-Ordner. Dies ist die einzige Prüfung, die dem entspricht, was Benutzer und Angreifer erhalten. (Wächter Dokumente)
Ein sicheres lokales Verifikationsmuster sieht folgendermaßen aus.
TMPDIR="$(mktemp -d)"
cd "$TMPDIR"
# Ziehen Sie die genaue Paketversion, die Sie prüfen möchten
npm pack @anthropic-ai/claude-code@2.1.88
# Prüfen Sie den Inhalt des Pakets, ohne es global zu installieren
tar -tf ./*.tgz | grep -E '\.map$|cli\.js$'
# Extrahieren und Suchen nach Mapping-Direktiven oder öffentlichen Debug-URLs
tar -xzf ./*.tgz
grep -R -n 'sourceMappingURL' Paket 2>/dev/null
grep -R -n 'r2.dev\|src.zip' Paket 2>/dev/null
Dieser Arbeitsablauf greift nichts an. Er wendet lediglich die Hygiene der Paketlieferkette auf ein öffentliches Artefakt an. Sie können die gleiche Methode gegen Ihre eigenen internen Pakete vor der Veröffentlichung, gegen gespiegelte Pakete von Drittanbietern während der Überprüfung oder gegen Versionen, die Ihr Unternehmen noch im Cache hat, anwenden. Der Sicherheitswert ergibt sich aus der Überprüfung genau der Dinge, die die Distributionsgrenze überschritten haben. (OWASP)
Die gleiche Logik gilt auch für CI für Ihre eigenen Produkte.
set -euo pipefail
npm pack >/dev/null
PKG="$(ls *.tgz | head -n1)"
WORKDIR="$(mktemp -d)"
tar -xzf "$PKG" -C "$WORKDIR"
if find "$WORKDIR/package" -type f | grep -E '\.map$' >/dev/null; then
echo "Erstellung fehlgeschlagen: Source-Map-Artefakt im Paket gefunden"
exit 1
fi
if grep -R -n 'sourceMappingURL\|r2.dev\|src.zip' "$WORKDIR/package" >/dev/null 2>&1; then
echo "Build fehlgeschlagen: Debug-Zeiger oder öffentliche Artefakt-URL gefunden"
exit 1
fi
Das Ziel ist nicht, die Existenz von Quellenkarten zu verbieten. Das Ziel ist es, sie absichtlich zu machen. Die Dokumente von Sentry sind hier ein gutes Modell: Laden Sie sie privat hoch, wenn Sie sie brauchen, oder schalten Sie den Zugang frei, wenn Sie sie hosten müssen. Überlassen Sie die Frage nicht dem, was auch immer der letzte Bundler-Standard war. (Wächter Dokumente)
Wie man Claude Code nach diesem Vorfall härtet
Die Verpackungsreaktion ist nur eine Ebene. Die Haltung zur Laufzeit ist mit der Zeit immer wichtiger. In den Sicherheitsdokumenten von Anthropic heißt es, dass Claude Code standardmäßig schreibgeschützt ist und für riskantere Aktionen eine ausdrückliche Genehmigung verlangt. In den Unterlagen zum Berechtigungsmodus heißt es Plan Modus ist für die Nur-Lese-Analyse vor der Bearbeitung gedacht, während Auto reduziert Prompts durch einen Klassifikator und bypassPermissions schaltet Prüfungen nur in isolierten Umgebungen aus. Eine vernünftige Basisabsicherung für die meisten Teams ist einfach: Verwenden Sie Plan oder Standardmodus für unbekannte Repos, aktivieren Sie Sandboxing für alle Arbeitsabläufe, die es tolerieren können, und schränken Sie die Fälle, in denen Benutzer ohne Prüfung arbeiten können, stark ein. (Claude)
Die Dokumente von Anthropic enthalten auch einen wichtigen Hinweis auf Prompt Injection. Auf der Sicherheitsseite heißt es, dass Claude Code Schutzmaßnahmen gegen Prompt Injection enthält, und in der Dokumentation zu den Berechtigungen heißt es, dass Sandbox-Beschränkungen den Bash-Zugriff außerhalb der definierten Grenzen verhindern können, selbst wenn Claudes Entscheidungsfindung beeinflusst wird. Das bedeutet, dass das Produkt bereits unter der Annahme entwickelt wurde, dass Modellurteile allein nicht ausreichend sind. Die Verteidiger sollten die gleiche Annahme treffen. Verlassen Sie sich nicht auf "das Modell wird schon wissen, was sicher ist". Verwenden Sie Sandboxing, Verweigerungsregeln und eine Trennung der Umgebung, um unsichere Pfade zu verhindern, selbst wenn das Modell gesteuert wird. (Claude)
Die Dokumente zum Berechtigungsmodus sind offener als die der meisten anderen Anbieter in Bezug auf Auto. Anthropic sagt, dass es sich um eine Forschungsvorschau handelt, dass es Klassifizierungsumläufe hinzufügt und dass es keine Sicherheitsgarantie gibt. In den Unterlagen wird auch erläutert, was der Klassifikator standardmäßig blockiert, darunter das Herunterladen und Ausführen von Code, das Senden sensibler Daten an externe Endpunkte, zerstörerische Aktionen zur Quellenkontrolle und produktionsbeeinträchtigende Vorgänge. Das ist nützlich, aber es bedeutet auch, dass Verteidiger die folgenden Punkte beachten sollten Auto als einen eingeschränkten Komfortmodus, nicht als Vorwand, um die Kontrollen zu lockern. Wenn ein Arbeitsablauf so sensibel ist, dass ein Mensch unglücklich wäre, wenn er einmal die falsche Aktion genehmigen würde, ist er sensibel genug, um eine ausdrückliche Überprüfung und enge Grenzen zu verdienen. (Claude)
Teams, die auf der Erweiterbarkeit von Claude Code aufbauen, sollten besonders vorsichtig mit Hooks, Plugins, MCP-Servern und Unterprozessen sein. Diese sind Kraftmultiplikatoren, wenn sie kontrolliert sind, und Sprengmultiplikatoren, wenn sie nachlässig sind. Anthropic's eigene Release Note führt ein CLAUDE_CODE_SUBPROCESS_ENV_SCRUB=1 ist eine Erinnerung daran, dass sich Geheimnisse durch unterstützende Prozesse verbreiten können, selbst wenn die Top-Level-Sitzung sich kontrolliert anfühlt. Wenn Ihre Umgebung Claude Code Zugriff auf interne Repos, Cloud-APIs oder privilegierte MCP-Konnektoren gewährt, prüfen Sie, wohin diese Anmeldeinformationen fließen, nachdem der Hauptprozess Helfer erzeugt hat. (GitHub)
Für autorisierte Sicherheitsteams ist ein nützliches Kompromissmuster die Verwendung von Evidence-First. Lassen Sie Claude Code über Codepfade, Konfigurationskanten und vermutete Vorbedingungen nachdenken. Lassen Sie diese Überlegungen nicht zum letzten Wort über die Ausnutzbarkeit werden. Anthropic selbst sagt, dass automatisierte Sicherheitsüberprüfungen bestehende Sicherheitspraktiken und manuelle Überprüfungen ergänzen und nicht ersetzen sollten. Das ist eine gesunde Vorgabe für diese Klasse von Werkzeugen im Allgemeinen. (Claude Help Center)
Was Paketverleger nach der Lektüre dieses Artikels ändern sollten
Die wichtigste Lektion für die Herausgeber von Paketen lautet nicht: "Gebt keine Source-Maps heraus." Das ist zu oberflächlich, um den Kontakt mit einer echten Release-Pipeline zu überleben. Die eigentliche Lektion ist, dass Debug-Artefakte ihren eigenen Lebenszyklus und ihr eigenes Zugriffsmodell brauchen. Die Dokumentation von Sentry weist bereits auf die richtige Architektur hin: Laden Sie Source-Maps, wenn möglich, privat in das Observability-Backend hoch, oder verwenden Sie Gated Access, wenn ein öffentliches Hosting unvermeidbar ist. Wenn man sie wie ein weiteres statisches Asset behandelt, entstehen diese vermeidbaren Fehlerklassen. (Wächter Dokumente)
Objektspeicher verdienen die gleiche Disziplin. In den R2-Dokumenten von Cloudflare heißt es, dass der öffentliche Zugriff niemals standardmäßig aktiviert ist und dass r2.dev ist eine öffentliche Entwicklungs-URL, die für nicht-produktive Anwendungsfälle gedacht ist. Diese Formulierung sollte bereits wie eine Warnung an alle klingen, die Artefakte in der Nähe von Releases speichern. Wenn Ihr Unternehmen Debug-Archive, Symbol-Bundles oder vorübergehende Build-Produkte im Objektspeicher ablegt, sollten Sie davon ausgehen, dass ein öffentlicher Entwicklungsendpunkt der falsche Ort dafür ist. Die Tatsache, dass das Bucket Root Listing nicht verfügbar ist, macht die Objektfreigabe nicht sicher, wenn ein anderes Artefakt den genauen Schlüssel offenlegen kann. (Cloudflare-Dokumente)
Die andere technische Lektion ist, dass die Inspektion nach der Erstellung gegen das endgültige Paket erfolgen muss, nicht gegen den Quellbaum. Teams haben oft Linters, die Geheimnisse in Repositories verbieten, und CI-Jobs, die Docker-Images scannen. Weit weniger Teams inspizieren den genauen Tarball-, Zip- oder CDN-Upload-Objektbaum, den die Benutzer verwenden. Der Vorfall mit Claude Code, wie auch die Astro-Sourcemap-Beratung davor, erinnert daran, dass das öffentliche Artefakt auf subtile Weise vom mentalen Modell des Entwicklers abweichen kann. Ein Paket kann in Bezug auf das Projektarchiv "sauber" sein und trotzdem einen Offenlegungspfad enthalten, sobald die Erstellung, der Upload und die Spiegelung abgeschlossen sind. (GitHub)
Ein minimales web-seitiges Steuerelement ist immer noch sinnvoll, wenn das Bereitstellungsmodell es unterstützt. Wenn Ihr öffentlicher Webserver niemals .karte Dateien, so sagen Sie dies ausdrücklich.
location ~* \.(js|css)\.map$ {
return 403;
}
Das ist keine vollständige Strategie. Sie rettet Sie nicht, wenn Ihr Paketmanager, CDN oder Objektspeicher die Artefakte anderweitig zur Verfügung stellt. Es schließt immer noch einen einfachen Fehlermodus aus. Und wenn Ihre Organisation Sourcecaps für die Fehlersuche benötigt, gibt die Anleitung von Sentry ein besseres Muster als "lass sie öffentlich und hoffe, dass es niemand merkt." (Wächter Dokumente)
Eine letzte Lektion für Verleger ist kultureller Natur. Die Teams sollten aufhören, die Offenlegung von Quellcode als harmlos zu betrachten, wenn es "keine Geheimnisse im Quellcode gibt". In der Astro-Beratung wird ausdrücklich darauf hingewiesen, dass sich die unmittelbaren Auswirkungen auf den Quellcode beschränken können, dass aber der offengelegte Quellcode die Entdeckung weiterer Schwachstellen ermöglichen kann. OWASP sagt dasselbe ganz allgemein in seinem Testleitfaden. Bei einer agentenbasierten Laufzeitumgebung ist diese Auswirkung nicht hypothetisch. Die Implementierung selbst ist Teil der Angriffsfläche. (GitHub)
Warum White-Box-Ergebnisse nach einem Leck wie diesem einen Black-Box-Beweis benötigen
Ein Ereignis, bei dem eine Quelle offengelegt wird, führt zu einer Flut von plausiblen Fehlertheorien. Einige dieser Theorien werden richtig sein. Viele werden falsch sein. Andere werden nur auf ältere Builds, andere Bereitstellungspfade oder deaktivierte Funktionen zutreffen. Aus diesem Grund ist bei der Sicherheitsarbeit nach einem Leck eine saubere Trennung zwischen White-Box-Überlegungen und Black-Box-Beweisen erforderlich. Anthropics eigene Dokumente zur automatisierten Sicherheitsüberprüfung machen den gleichen philosophischen Schritt in einer sanfteren Sprache: Sicherheitsüberprüfungsfunktionen helfen dabei, Probleme zu finden, aber sie sind eine Ergänzung zu einer breiteren Sicherheitspraxis, kein Ersatz dafür. (Claude Help Center)
Diese Unterscheidung ist auch der sinnvollste Ort, um Penligent zu erwähnen, ohne diesen Beitrag in eine Verkaufsseite zu verwandeln. Penligents eigenes Claude-bezogenes Material plädiert konsequent für evidenzbasierte Arbeitsabläufe: Verwenden Sie Claude Code, um Schlussfolgerungen über Code, Vertrauensgrenzen und wahrscheinliche Pfade zu ziehen; verwenden Sie externe Validierung, um festzustellen, ob diese Pfade in der bereitgestellten Umgebung erreichbar und sinnvoll sind; testen Sie dann nach der Korrektur erneut. Das ist genau die richtige Haltung nach einem Source-Exposure-Ereignis, denn eine lesbare Codebasis generiert mehr Hypothesen, als ein Team standardmäßig als Erkenntnisse behandeln sollte. (penligent.ai)
In der Praxis ist der Arbeitsablauf sehr einfach. Ein Sicherheitsteam kann eine vermutete Berechtigungslücke, einen Fehler in der Startreihenfolge oder einen Tool-Invokationspfad aus dem White-Box-Review in einen kontrollierten Retest-Plan gegen Staging oder eine andere autorisierte Umgebung umwandeln. Eine Plattform, die auf wiederholbarer Validierung und Beweiserfassung aufbaut, wie Penligent, ist hier nützlich, nicht weil sie Code-Reviews überflüssig macht, sondern weil sie die Argumentation auf Erreichbarkeit, beobachtetes Verhalten und reproduzierbare Beweise zurückführt. Das ist die Disziplin, die Teams davon abhält, jedes durchgesickerte Implementierungsdetail in ein kritisches Phantom zu verwandeln. (penligent.ai)
Der umgekehrte Fall trifft ebenfalls zu. Ein bestätigter Blackbox-Effekt ohne Code-Kontext ist oft langsamer sauber zu beheben. Deshalb ist der Übergang von der White-Box- zur Black-Box-Schleife so wichtig. Claude Code kann erklären, was eine vermutete Schwachstelle bewirken soll. Durch externe Validierung kann getestet werden, was das eingesetzte System tatsächlich tut. An der Schnittstelle zwischen diesen beiden Punkten findet nützliche Sicherheitsarbeit statt. (Claude Help Center)
Was als nächstes zu beachten ist
Die nächsten maßgeblichen Signale werden nicht von neu geposteten Screenshots kommen. Sie werden aus den Versionshinweisen von Anthropic, den GitHub-Veröffentlichungen, Änderungen in der Paketdistribution und jeder formellen Mitteilung über einen Vorfall, die das Unternehmen veröffentlicht, stammen. Nach den hier geprüften offiziellen Quellen zeigen die öffentlichen Versionshinweise immer noch 2.1.88 als die letzte Claude-Code-Veröffentlichung, und in den Anthropic-Dokumenten wird npm immer noch nur als veralteter Kompatibilitätspfad dokumentiert. Das ist der Punkt, an dem die Verteidiger weiterhin auf Paketierung oder Distribution achten sollten. (Claude)
Es lohnt sich auch, öffentliche Paket-Spiegel und Ihre eigenen internen Caches zu beobachten. Öffentliche jsDelivr-Seiten verfolgen immer noch 2.1.88 als eine Version im Ökosystem. Selbst wenn ein Anbieter einen Verteilungspfad entfernt oder ändert, können das Vorhandensein von Spiegeln und das Fortbestehen lokaler Caches die Bereinigung und die forensische Gewissheit erschweren. Wenn Ihr Team eine definitive Antwort benötigt, sollten Sie das genaue Artefakt untersuchen, das in Ihrer Umgebung tatsächlich gespeichert oder installiert wurde. (jsDelivr)
Die tiefere Lehre ist größer als Claude Code. Agentische Entwickler-Tools sind aus Sicht der Sicherheitsprüfung keine gewöhnliche Software. Sie befinden sich an der Grenze zwischen Code, Shell, Anmeldeinformationen, Cloud-APIs, Remote-Orchestrierung und Richtlinien. Das bedeutet, dass ihre Release-Artefakte die gleiche Ernsthaftigkeit verdienen wie die Laufzeiten, die sie umhüllen. Ein Leck in der Source Map ist bei dieser Art von Software niemals nur eine kosmetische Peinlichkeit. Es ist eine Erinnerung daran, dass die Build-Pipeline, die Paketregistrierung, der Objektspeicher und das Freigabemodell alle Teil eines einzigen Sicherheitssystems sind. (Claude)
Weitere Lektüre
- Anthropisch, Claude Code Übersicht (Claude)
- Anthropisch, Claude Codesicherheit, Sandboxing, Berechtigungen und Berechtigungsmodi (Claude)
- Anthropisch, Fernsteuerung und Claude Code Datenverwendung (Claude)
- Anthropisch, Automatisierte Sicherheitsüberprüfungen in Claude Code (Claude Help Center)
- Anthropisch, Claude Code Versionshinweise und GitHub-Veröffentlichungen, einschließlich
v2.1.88undv2.1.83(Claude) - Cloudflare, R2 öffentliche Eimer und
r2.devöffentliche Entwicklungs-URLs (Cloudflare-Dokumente) - MDN, OWASP und Sentry über Source Maps, Informationslecks und private Handhabung von Debug-Artefakten (MDN-Webdokumente)
- GitHub-Hinweis für Astro, Offenlegung von Server-Quellen durch Source-Maps (GitHub)
- GitHub-Beratungen für Claude Code, CVE-2025-52882, CVE-2025-59828, CVE-2025-58764, CVE-2025-64755 und CVE-2026-21852 (GitHub)
- Penibel, Claude AI für Pentest Copilot, Aufbau eines beweisorientierten Workflows mit Claude Code (penligent.ai)
- Penibel, Claude Code Security und Penligent, von White-Box-Befunden zu Black-Box-Beweisen (penligent.ai)
German 
English 
French 
Spanish 
Portuguese 
Japanese 
Korean 
Hindi 
Arabic 
Turkish 
Hebrew