Anthropics dreifacher Moment: Code-Leak, Regierungskonflikt und Waffennutzung

Originaltitel des Artikels: Anthropologisch: Das Leck, der Krieg, die Waffe
Autor des Originalartikels: BuBBliK
Übersetzung: Peggy, BlockBeats

Anmerkung der Redaktion: In den vergangenen sechs Monaten war Anthropic wiederholt in eine Reihe scheinbar unabhängiger, aber tatsächlich miteinander verbundener Ereignisse verwickelt: ein Sprung in der Leistungsfähigkeit des Modells, automatisierte Angriffe in der realen Welt, drastische Reaktionen des Kapitalmarktes, öffentliche Konflikte mit der Regierung und mehrere Informationslecks, die durch grundlegende Konfigurationsfehler verursacht wurden. Zusammengenommen ergeben diese Hinweise eine klarere Richtung des Wandels.

Dieser Artikel nimmt diese Ereignisse als Ausgangspunkt, um die kontinuierliche Entwicklung eines KI-Unternehmens im Hinblick auf technische Durchbrüche, Risikoexposition und Governance-Spielchen zu beleuchten und eine grundlegendere Frage zu beantworten: Kann das Cybersicherheitssystem selbst seine ursprüngliche Funktionsweise beibehalten, wenn die Fähigkeit, "Schwachstellen zu entdecken", stark verstärkt und allmählich verbreitet wird?

In der Vergangenheit basierte Sicherheit auf der Knappheit an Fähigkeiten und den Beschränkungen des Menschen; unter den neuen Bedingungen entfalten sich Angriff und Verteidigung jedoch um die gleichen Modellfähigkeiten, wodurch die Grenzen zunehmend verschwimmen. Gleichzeitig verharren die Reaktionen von Institutionen, Märkten und Organisationen im alten Rahmen und haben Mühe, sich rechtzeitig an diesen Wandel anzupassen.

Dieser Artikel konzentriert sich nicht nur auf Anthropic selbst, sondern auf eine größere Realität, die es widerspiegelt: Künstliche Intelligenz verändert nicht nur die Werkzeuge, sondern auch die Grundannahmen darüber, wie Sicherheit geschaffen wird.

Nachfolgend der Originaltext:

Wie sieht es aus, wenn ein 380 Milliarden Dollar schweres Unternehmen ein Machtspiel mit dem Pentagon austrägt, den allerersten Netzwerkangriff durch autonome KI übersteht, intern ein Modell preisgibt, vor dem selbst die eigenen Entwickler Angst haben, und sogar „versehentlich“ den gesamten Quellcode offenlegt? Wie sieht das Ganze übereinander gestapelt aus?

Die Antwort ist, wie es jetzt aussieht. Und was noch beunruhigender ist: Der wirklich gefährlichste Teil steht möglicherweise noch bevor.

Veranstaltungsbericht

Anthropic hat erneut seinen Code geleakt.

Am 31. März 2026 entdeckte der Sicherheitsforscher Shou Chaofan von der Blockchain-Firma Fuzzland bei der Untersuchung des offiziellen Claude Code npm-Pakets eine Datei namens cli.js.map.

Diese 60 MB große Datei enthielt erstaunliche Inhalte. Es enthielt nahezu den gesamten TypeScript-Quellcode des Produkts. Mit nur dieser Datei könnte jeder bis zu 1906 interne Quelldateien rekonstruieren: darunter interne API-Designs, Telemetriesysteme, Verschlüsselungswerkzeuge, Sicherheitslogik, Plugin-Systeme – fast alle Kernkomponenten werden offengelegt. Noch wichtiger ist jedoch, dass diese Inhalte sogar direkt als ZIP-Datei aus dem R2-Bucket von Anthropic heruntergeladen werden könnten.

Diese Entdeckung verbreitete sich schnell in den sozialen Medien: Innerhalb weniger Stunden erreichten die entsprechenden Beiträge 754.000 Aufrufe und fast 1000 Retweets; gleichzeitig wurden mehrere GitHub-Repositories erstellt und veröffentlicht, die den durchgesickerten Quellcode enthielten.

Die sogenannte Source Map, im Grunde nur eine Hilfsdatei für das JavaScript-Debugging, dient dazu, komprimierten und kompilierten Code wieder in seinen ursprünglichen Quellcode zurückzuverwandeln und so die Fehlersuche für Entwickler zu erleichtern.

Es gibt jedoch einen Grundsatz: Es sollte niemals in das Release-Paket der Produktionsumgebung aufgenommen werden.

Hierbei handelt es sich nicht um eine fortgeschrittene Hacking-Technik, sondern um eine ganz grundlegende Frage der Best Practices im Engineering, die zu den Grundlagen der Build-Konfiguration gehört und von Entwicklern bereits in der ersten Woche gelernt wird. Wird die Quellcodezuordnung versehentlich in die Produktionsumgebung eingebunden, läuft dies im Wesentlichen darauf hinaus, den Quellcode an alle „zu verschenken“.

Den zugehörigen Code können Sie auch direkt hier einsehen: https://github.com/instructkr/claude-code

Was diese Situation aber wirklich absurd macht, ist Folgendes: So etwas ist schon einmal passiert.

Im Februar 2025, also vor genau einem Jahr, ereignete sich fast genau dasselbe Leck: dieselbe Datei, dieselbe Art von Fehler. Anthropic entfernte daraufhin die alte Version von npm, eliminierte die Source Map und veröffentlichte eine neue Version, womit das Problem behoben war.

In Version 2.1.88 wurde diese Datei jedoch erneut verpackt und veröffentlicht.

Ein Unternehmen mit einem Marktwert von 380 Milliarden Dollar, das derzeit das weltweit fortschrittlichste System zur Erkennung von Sicherheitslücken entwickelt, hat innerhalb eines Jahres zweimal denselben grundlegenden Fehler begangen. Es gab keine Hackerangriffe, keine komplizierten Exploit-Pfade, nur einen simplen Build-Prozess, der eigentlich wie erwartet funktionieren sollte und dann schiefging.

Diese Ironie hat etwas fast Poetisches.

Die KI, die in einem einzigen Durchlauf 500 Zero-Day-Schwachstellen aufspüren konnte; das Modell, mit dem automatisierte Angriffe gegen 30 globale Organisationen gestartet wurden – währenddessen hat Anthropic unbeabsichtigt seinen eigenen Quellcode für jeden zugänglich gemacht, der bereit ist, einen Blick auf ein npm-Paket zu werfen.

Zwei Leaks im Abstand von nur sieben Tagen.

Doch die Gründe waren unheimlich ähnlich: ein ganz grundlegender Konfigurationsfehler. Keine Notwendigkeit für technische Raffinesse, kein komplizierter Ausbeutungsweg. Wer wusste, wo er suchen musste, konnte sich alles einfach schnappen.

Vor einer Woche: Internes „Risikomodell“ versehentlich offengelegt

Am 26. März 2026 entdeckten Roy Paz, Sicherheitsforscher bei LayerX Security, und Alexandre Pauwels von der Universität Cambridge eine Fehlkonfiguration im CMS der Anthropic-Website, die zur Offenlegung von rund 3000 internen Dateien führte.

Diese Dateien umfassten Blog-Entwürfe, PDFs, interne Dokumente, Präsentationsmaterialien – allesamt in einem ungeschützten, durchsuchbaren Datenspeicher zugänglich. Kein Hack nötig, keine technischen Details.

Unter diesen Dateien befanden sich zwei nahezu identische Blog-Entwürfe, die sich lediglich im Modellnamen unterschieden: einer mit der Bezeichnung „Mythos“, der andere mit der Bezeichnung „Capybara“.

Dies deutete darauf hin, dass Anthropic sich zu diesem Zeitpunkt zwischen zwei Namen für dasselbe geheime Projekt entscheiden musste. Das Unternehmen bestätigte später: Die Schulung des Modells sei abgeschlossen und die Tests mit einigen ersten Kunden hätten begonnen.

Dies war kein routinemäßiges Upgrade des Opus, sondern ein brandneues „Tier Four“-Modell, eine Stufe, die sogar noch über dem Opus angesiedelt ist.

In Anthropics eigenem Entwurf wurde es als „größer und intelligenter als unser Opus-Modell“ beschrieben – wobei Opus unser bisher stärkstes Modell ist. Es hatte einen bedeutenden Sprung in den Bereichen Programmierfähigkeiten, akademisches Denken und Cybersicherheit gegeben. Ein Sprecher nannte es einen „qualitativen Sprung“ und gleichzeitig „das leistungsstärkste Modell, das wir bisher entwickelt haben“.

Doch was wirklich Aufmerksamkeit erregte, waren nicht diese Leistungsbeschreibungen.

In dem durchgesickerten Entwurf lautete Anthropics Einschätzung dieses Modells, dass es „beispiellose Cybersicherheitsrisiken mit sich bringt“, „in Bezug auf die Netzwerkfähigkeiten jedes andere KI-Modell weit übertrifft“ und „eine kommende Welle von Modellen ankündigt – eine Welle, die Schwachstellen mit einer Geschwindigkeit ausnutzt, die weit über die Reaktionsfähigkeit der Verteidiger hinausgeht.“

Mit anderen Worten, in einem unveröffentlichten offiziellen Blog-Entwurf hatte Anthropic bereits eine ungewöhnliche Haltung zum Ausdruck gebracht: Sie waren besorgt über das Produkt, das sie entwickelten.

Die Reaktion des Marktes erfolgte nahezu umgehend. Der Aktienkurs von CrowdStrike fiel um 7 %, Palo Alto Networks um 6 %, Zscaler um 4,5 %; sowohl Okta als auch SentinelOne verloren über 7 %, während Tenable um 9 % einbrach. Der iShares Cybersecurity ETF verzeichnete einen Tagesverlust von 4,5 %. Lediglich CrowdStrike musste an diesem Tag einen Rückgang seiner Marktkapitalisierung um rund 15 Milliarden Dollar hinnehmen. Unterdessen fiel der Bitcoin-Kurs auf 66.000 US-Dollar zurück.

Der Markt interpretierte dieses Ereignis offensichtlich als ein „Urteil“ über die gesamte Cybersicherheitsbranche.

Die Kernaussage des Bildes: Unter dem Einfluss entsprechender Nachrichten erlebte der Cybersicherheitssektor insgesamt einen Rückgang, wobei mehrere führende Unternehmen (wie CrowdStrike, Palo Alto Networks, Zscaler usw.) deutliche Einbußen verzeichneten, was die Besorgnis des Marktes über die Auswirkungen von KI auf die Cybersicherheitsbranche widerspiegelt. Diese Reaktion ist jedoch nicht beispiellos. Als Anthropic zuvor ein Code-Scanning-Tool auf den Markt brachte, fielen auch die Kurse verwandter Aktien. Dies deutet darauf hin, dass der Markt KI als strukturelle Bedrohung für traditionelle Sicherheitsanbieter betrachtet, wobei die gesamte Softwarebranche mit ähnlichen Herausforderungen konfrontiert ist.

Die Einschätzung des Stifel-Analysten Adam Borg war ziemlich direkt: Das Modell „hat das Potenzial, sich zum ultimativen Hacking-Werkzeug zu entwickeln, das sogar einen gewöhnlichen Hacker in einen Gegner mit Angriffsfähigkeiten auf nationalstaatlicher Ebene verwandeln kann.“

Warum wurde es also noch nicht öffentlich freigegeben? Anthropics Erklärung lautet, dass die Betriebskosten von Mythos "sehr hoch" seien und die Bedingungen für eine öffentliche Veröffentlichung noch nicht erfüllt seien. Derzeit ist geplant, zunächst einer kleinen Anzahl von Cybersicherheitspartnern frühzeitigen Zugang zu gewähren, um deren Verteidigungssysteme zu stärken; anschließend soll der offene Zugang zur API schrittweise erweitert werden. In der Zwischenzeit optimiert das Unternehmen weiterhin seine Effizienz.

Der entscheidende Punkt ist jedoch, dass dieses Modell bereits existiert, bereits getestet wird und allein durch seine „zufällige Offenlegung“ bereits Auswirkungen auf den gesamten Kapitalmarkt hatte.

Anthropic hat das entwickelt, was sie selbst als das „cyberrisikoreichste KI-Modell der Geschichte“ bezeichnen. Doch das Durchsickern dieser Informationen rührt genau von einem der grundlegendsten Konfigurationsfehler der Infrastruktur her – genau von der Art von Fehler, die diese Modelle ursprünglich aufdecken sollten.

März 2026: Anthropics Showdown mit dem Pentagon und der Sieg

Im Juli 2025 unterzeichnete Anthropic einen 200-Millionen-Dollar-Vertrag mit den USA. Das Verteidigungsministerium, was zunächst wie eine routinemäßige Zusammenarbeit aussah. Im Verlauf der anschließenden Verhandlungen über den Einsatz eskalierte der Konflikt jedoch rasch.

Das Pentagon strebte „uneingeschränkten Zugriff“ auf Claude über seine Plattform GenAI.mil für alle „rechtmäßigen Zwecke“ an – einschließlich vollautonomer Waffensysteme und umfassender Überwachung amerikanischer Bürger im Inland.

Anthropic zog bei zwei kritischen Fragen rote Linien und lehnte diese ausdrücklich ab, was im September 2025 zum Abbruch der Verhandlungen führte.

Anschließend eskalierte die Situation rapide. Am 27. Februar 2026 veröffentlichte Donald Trump auf Truth Social einen Beitrag, in dem er alle Bundesbehörden aufforderte, die Nutzung der Technologie von Anthropic „unverzüglich einzustellen“ und das Unternehmen als „linksextrem“ bezeichnete.

Am 5. März 2026 werden die USA Das US-Verteidigungsministerium hat Anthropic offiziell als „Lieferkettenrisiko“ eingestuft.

Dieses Label wurde bisher fast ausschließlich für ausländische Gegner – wie chinesische Unternehmen oder russische Organisationen – verwendet und wird nun zum ersten Mal auf ein US-amerikanisches Unternehmen mit Sitz in San Francisco angewendet. Gleichzeitig mussten Unternehmen wie Amazon, Microsoft und Palantir Technologies nachweisen, dass Claude in keiner ihrer militärischen Operationen eingesetzt wurde.

Der CTO des Pentagons, Emile Michael, erklärte diese Entscheidung damit, dass Claude die Lieferkette "beeinträchtigen" könnte, da das Modell unterschiedliche "politische Präferenzen" beinhaltet. Mit anderen Worten: Im offiziellen Kontext wird eine KI mit Nutzungsbeschränkungen, die nicht bedingungslos bei tödlichen Aktionen helfen würde, stattdessen als nationales Sicherheitsrisiko angesehen.

Am 26. März 2026 erließ die Bundesrichterin Rita Lin ein 43-seitiges Urteil, das die diesbezüglichen Maßnahmen des Pentagons umfassend blockierte.

In ihrer Urteilsbegründung schrieb sie: „Es gibt keine Rechtsgrundlage im geltenden Recht, die diese ‚Orwellsche‘ Logik stützt – dass ein US-Unternehmen allein deshalb als potenzieller Gegner bezeichnet werden kann, weil es mit der Position der Regierung nicht einverstanden ist.“ Anthropic dafür zu bestrafen, dass er die Position der Regierung öffentlich hinterfragt hat, ist im Grunde ein klassischer und illegaler Verstoß gegen den Ersten Verfassungszusatz. In einer Stellungnahme eines Sachverständigen vor Gericht wurden die Aktionen des Pentagons sogar als „Versuch, ein Unternehmen zu ermorden“ bezeichnet.

Infolgedessen hat der Versuch der Regierung, Anthropic zu unterdrücken, diesem nur noch mehr Aufmerksamkeit verschafft. Die Claude-App übertraf ChatGPT erstmals im App Store, wobei die Registrierungszahlen einen Höchststand von über einer Million pro Tag erreichten.

Ein KI-Unternehmen hat der mächtigsten Militärorganisation der Welt eine Absage erteilt. Und das Gericht gab ihnen Recht.

November 2025: Der erste KI-gesteuerte Cyberangriff der Geschichte

Am 14. November 2025 veröffentlichte Anthropic einen Bericht, der weltweit für Aufsehen sorgte.

Der Bericht enthüllte, dass eine staatlich geförderte chinesische Hackergruppe den Claude-Code nutzte, um automatisierte Angriffe gegen 30 globale Institutionen zu starten, darunter Technologiekonzerne, Banken und mehrere Regierungsbehörden.

Dies markierte einen Wendepunkt: Künstliche Intelligenz war nicht länger nur ein Hilfsmittel, sondern wurde zur autonomen Durchführung von Cyberangriffen eingesetzt.

Der Schlüssel lag in einer Verschiebung der „Arbeitsteilung“: Die Menschen waren nur noch für die Zielauswahl und die Genehmigung wichtiger Entscheidungen zuständig. Während der gesamten Operation griffen sie nur etwa 4 bis 6 Mal ein. Alles andere wurde von KI übernommen: Informationsbeschaffung, Identifizierung von Schwachstellen, Schreiben von Exploit-Code, Datenexfiltration, Hintertür-Implantation... dies umfasste 80–90 % des gesamten Angriffsprozesses und lief mit einer Geschwindigkeit von Tausenden von Anfragen pro Sekunde ab – eine Größenordnung und Effizienz, die von keinem menschlichen Team erreicht wird.

Wie also haben sie Claudes Sicherheitsvorkehrungen umgangen? Die Antwort: Sie sind nicht „durchgebrochen“, sondern haben sich durchgetrickst.

Der Angriff wurde in scheinbar harmlose Teilaufgaben zerlegt und als „autorisierter Penetrationstest“ eines „seriösen Sicherheitsunternehmens“ getarnt. Im Wesentlichen handelte es sich um eine Form des Social Engineering-Angriffs, nur dass diesmal das getäuschte Ziel die KI selbst war.

Teile des Angriffs waren sehr erfolgreich. Claude war in der Lage, die gesamte Netzwerktopologie selbstständig abzubilden, Datenbanken zu lokalisieren und Daten zu extrahieren, ohne dass ihm menschliche Schritt-für-Schritt-Anweisungen folgten.

Der einzige Faktor, der das Tempo des Angriffs verlangsamte, waren gelegentliche „Halluzinationen“ im Modell – wie etwa gefälschte Anmeldeinformationen oder Behauptungen über den Erhalt von Dokumenten, die in Wirklichkeit bereits öffentlich waren. Zumindest vorerst zählen diese zu den wenigen "natürlichen Hindernissen", die vollautomatisierte Cyberangriffe verhindern.

Auf der RSA-Konferenz 2026 bezeichnete der ehemalige Cybersicherheitschef der NSA, Rob Joyce, dieses Ereignis als einen „Rorschach-Test“: Manche entscheiden sich dafür, es zu ignorieren, während andere zutiefst beunruhigt sind. Und er gehörte offenbar zur letzteren Gruppe – „Es ist sehr beängstigend.“

September 2025: Dies ist keine Vorhersage, sondern eine Realität, die bereits eingetreten ist.

Februar 2026: Ein einziger Durchlauf deckt 500 Zero-Day-Schwachstellen auf.

Am 5. Februar 2026 veröffentlichte Anthropic Claude Opus 4.6, begleitet von einer Forschungsarbeit, die die gesamte Cybersicherheitsbranche beinahe erschütterte.

Der Versuchsaufbau war extrem einfach: Claude wurde in eine isolierte virtuelle Maschinenumgebung versetzt, die mit Standardwerkzeugen ausgestattet war – Python, einem Debugger und Fuzzern. Es gab keine weiteren Anweisungen, keine komplizierten Vorgaben, nur einen einzigen Satz: „Geh und such nach Käfern.“

Das Ergebnis: Das Modell entdeckte über 500 bisher unbekannte, hochriskante Zero-Day-Schwachstellen. Einige dieser Schwachstellen blieben selbst nach jahrzehntelanger Expertenprüfung und Millionen von Stunden automatisierter Tests unentdeckt.

Anschließend betrat der Forscher Nicholas Carlini auf der RSA-Konferenz 2026 die Bühne. Er beauftragte Claude mit Ghost, einem CMS-System auf GitHub mit 50.000 Sternen und ohne bekannte schwerwiegende Sicherheitslücken.

Nach 90 Minuten stand das Ergebnis fest: Es wurde eine Blind-SQL-Injection-Schwachstelle entdeckt, die es nicht authentifizierten Benutzern ermöglicht, die vollständige Administratorrechte zu erlangen.

Anschließend nutzte er Claude, um den Linux-Kernel zu analysieren. Die Ergebnisse waren ähnlich.

15 Tage später stellte Anthropic Claude Code Security vor, ein Sicherheitsprodukt, das nicht mehr auf Mustererkennung basiert, sondern auf der Fähigkeit zum logischen Denken, Code zu verstehen.

Ein Sprecher von Anthropology wies jedoch auch auf eine wichtige, aber oft übersehene Tatsache hin: „Die gleiche Fähigkeit zum logischen Denken, die Claude dabei hilft, Schwachstellen zu entdecken und zu beheben, kann auch von Angreifern genutzt werden, um diese Schwachstellen auszunutzen.“

Es ist dieselbe Fähigkeit, dasselbe Modell, nur in anderen Händen.

Was bedeutet das alles zusammen?

Für sich genommen wäre jede dieser Meldungen bereits ausreichend, um die Schlagzeile des Monats zu sein. Allerdings ereigneten sie sich alle innerhalb von nur sechs Monaten, und zwar alle im selben Unternehmen.

Anthropic hat ein Modell entwickelt, das Schwachstellen schneller aufdecken kann als jeder Mensch; chinesische Hacker haben die vorherige Generation in eine automatisierte Netzwerkwaffe verwandelt; das Unternehmen entwickelt ein leistungsfähigeres Modell der nächsten Generation und gibt in internen Dokumenten sogar zu, dass es darüber besorgt ist.

Die US-Regierung hat versucht, dies zu unterdrücken, nicht weil die Technologie selbst gefährlich ist, sondern weil Anthropic sich weigert, diese Fähigkeiten uneingeschränkt preiszugeben.

Und inmitten all dessen hat dieses Unternehmen seinen Quellcode gleich zweimal durchsickern lassen, und zwar wegen derselben Datei im selben npm-Paket. Ein Unternehmen mit einem Wert von 380 Milliarden Dollar; ein Unternehmen, das bis Oktober 2026 einen Börsengang mit einem Wert von 600 Milliarden Dollar anstrebt; ein Unternehmen, das öffentlich erklärt, es entwickle „eine der transformativsten und potenziell gefährlichsten Technologien der Menschheitsgeschichte“ – und dennoch entscheiden sie sich, weiterzumachen.

Weil sie glauben: Es ist besser, es selbst zu tun, als es von anderen erledigen zu lassen.

Was die Quellzuordnung im npm-Paket betrifft – sie ist vielleicht das beunruhigendste Detail in der verstörendsten Geschichte dieser Ära, das absurdeste und gleichzeitig das realste.

Und Mythos ist noch nicht einmal offiziell erschienen.

[ Link zum Originalartikel ]