Kritisk sårbarhet oppdaget i Claude Code etter kildekodelekkasje

Sikkerhetsnyheten som ingen ønsket å se: bare dager etter at Anthropic ved et uhell lekket 500.000 linjer med kildekoden til Claude Code, har sikkerhetsforskere allerede funnet kritiske sårbarheter i koden.

Lekkasjen skjedde 30.-31. mars 2026 da versjon 2.1.88 av npm-pakken @anthropic-ai/claude-code ved en feil ble publisert med intakt debug-kildekartet (.map-fil). Dette eksponerte nær 2000 filer og hele den interne TypeScript-arkitekturen. Anthropic kalte hendelsen en "packaging-feil forårsaket av menneskelig feil" og forsikret om at ingen kundedata ble eksponert.

Men koden var ute. Og det tok ikke lang tid.

Innen få dager hadde sikkerhetsforskere identifisert shell-injeksjonsfeil som potensielt kan åpne for fjernkjøring av kode (RCE) og eksfiltrasjon av API-nøkler. I tillegg avslørte lekkasjen en intern "Undercover Mode" der Claude Code er designet til å ikke avsløre interne kodenavn eller erkjenne sin AI-natur i offentlige open source-prosjekter.

Lekkasjen har fått oppmerksomhet fra amerikanske lovgivere som uttrykker bekymring for nasjonale sikkerhetsimplikasjoner. Koden har spredt seg til GitHub-forgreninger, og Anthropic har sendt ut over 8000 forespørsler om opphavsrettslig fjerning for å begrense spredningen.

For CIO-er og teknologiledere er meldingen klar: teams som bruker Claude Code bør vurdere å begrense tilgangen til sensitive systemer inntil Anthropic har gitt en fullstendig sikkerhetsoppdatering. Sørg for at API-nøkler roteres og at logging av Claude Code-aktivitet er aktivert.