Claude-Code-Leak: Schutz des IP oder digitale Spuren verwischen?

Seit dem versehentlichen Leak von mehr als einer halben Million Codezeilen Ende März ging Anthropic aggressiv gegen die Veröffentlichung des Claude-Code-Quellcodes vor. Bei GitHub und anderen wurden DMCA-Ansprüche geltend gemacht. Damit wurden jedoch nicht nur die etwa 100 Repositories mit dem gelakten Code gelöscht, sondern auch über 8100 legitime Repositories, welche die offizielle Codebasis von Anthropic verwenden. Mittlerweile rudert Anthropic hier deutlich zurück und entschuldigt sich bei den Entwicklern versehentlich gelöschter Repositories. Mit Blick auf die Ergebnisse erster Code-Analysen wirkt der aggressive „Löschtrupp“ weniger wie der Schutz von Urheberrecht, sondern eher wie der Versuch, jegliche digitale Spur zu verwischen, bevor sie analysiert werden kann.

Die Vorwürfe

Emotionale Überwachung (Sentiment-Analyse)

Wie Scientific American aufdeckte, enthält „Claude Code“ Mechanismen zur „Sentiment-Analyse“. Das Tool scannt also Nutzer-Prompts gezielt nach Anzeichen von Frustration („this sucks“, „so frustrating“) und speichert entsprechende Prompts für eine spätere Analyse.

Bewusste Täuschung (Identitäts-Verschleierung)

Ebenfalls wurden Anzeichen dafür entdeckt, dass der Claude Funktionen enthält, die darauf ausgelegt sind, den Ursprung des generierten Codes zu verschleiern. Wenn Claude Code für öffentliche Projekte arbeitet, werden interne Codenamen wie „Claude Code“ automatisch entfernt, um den Eindruck zu erwecken, der Code sei vollständig von einem Menschen geschrieben worden.

Unverantwortliche Autonomie (Das „YOLO“-Protokoll)

Unter dem Namen „YOLO“ (You Only Live Once) existiert ein Mechanismus zur Autorisierung von Werkzeugen (classifyYoloAction). Hier wird die Grenze zwischen unberechenbarem Agenten und kontrollierter Software verwischt.

Anstatt eine strikte, regelbasierte Kontrolle zu nutzen, entscheidet die KI selbst, ob eine Aktion ohne Rückfrage beim Nutzer durchgeführt werden darf. Die Risikobewertung erfolgt dabei durch die KI selbst. Ein System, dessen Sicherheitsentscheidungen auf einem „Alles-oder-nichts“-Prinzip basieren, scheint jedem Standard der KI-Sicherheit zu widersprechen. 

Umfangreiche Zugriffsrechte auf Dateien (Microsofts Recall ist dagegen harmlos)

Die Überwachung beschränkt sich nicht auf das bloße Mitlesen von Emotionen. Analysen der Code-Strukturen enthüllen eine weitaus tiefgreifendere und gefährlichere Realität: Claude Code fungiert als digitaler Staubsauger für das gesamte lokale Arbeitsverzeichnis.

Wie der Sicherheitsforscher „Antlers“ in einer erschütternden Stellungnahme gegenüber The Register zusammenfasst: „Die Leute realisieren nicht, dass jede einzelne Datei, die Claude ansieht, auf Anthropic hochgeladen wird. Wenn die KI eine Datei auf deinem Gerät sieht, besitzt Anthropic eine Kopie.“

Dies ist keine bloße Metrik über das Systemverhalten; es ist eine vollständige Spiegelung der lokalen Arbeitsumgebung in die Cloud von Anthropic.

Bruch des Vertrauens?

Die verschiedenen Analysen des Claude-Code-Quellcodes zeichnen ein Bild, das unangenehm für Anthropic sein könnte. CCleaks hat eine umfangreiche Analyse der verschiedenen Codes von Anthropic bereitgestellt. 

Die aggressive Verteidigung von Anthropic mit DMCA-Aufforderungen wirkt vor diesem Hintergrund wie ein Verschleierungsversuch. Vielleicht geht es nicht primär um den Schutz geistigen Eigentums, sondern um die Aufrechterhaltung einer Illusion. Die technische Realität zeigt: Eventuell ist Claude-Code kein sicherer Assistent, sondern eine Software, die darauf programmiert ist, ihre Identität zu verbergen, unsere Emotionen zu kartografieren und unsere privaten Dateien als dauerhafte Beute in der Cloud zu speichern. Der „Claude Code“-Leak könnte das Vertrauen in Anthropic nachhaltig beschädigen.

Wie mächtig Claude Code ist, demonstrierte Sicherheitsforscher Nicholas Carlini. Dem gelang es Claude Code als Werkzeug für einen hocheffizienten Angriff zu nutzen, der das FreeBSD-Betriebssystem in einer Rekordzeit von nur vier Stunden knackte.