Anthropic lijkt onbedoeld de werking van een van zijn meest populaire en winstgevende AI-producten, agent AI die Claude Code gebruikt, aan het publiek te hebben onthuld.
JavaScript-bronkaartbestand 59,8 MB (.map), bedoeld voor interne foutopsporing, werd per ongeluk opgenomen in versie 2.1.88 @anthropic-ai/claude-code pakketten op het openbare npm-register zijn vanochtend live gegaan.
Om 04:23 ET, Chaofan Shou (@Fried_rice)een stagiair bij Solayer Labs, zond de ontdekking uit op X (voorheen Twitter). Het bericht, dat een directe downloadlink naar het gehoste archief bevat, fungeert als een digitaal baken. Binnen enkele uren werd de TypeScript-codebasis van ongeveer 512.000 regels gespiegeld op GitHub en geanalyseerd door duizenden ontwikkelaars.
Voor Anthropic, een bedrijf dat snelle vooruitgang boekt met een rapporteerde een jaarlijkse omzet van $ 19 miljard in maart 2026 was het lek meer dan alleen een beveiligingsprobleem; dit is een strategische bloeding op het gebied van intellectueel eigendom. De timing was van cruciaal belang gezien de commerciële snelheid van het product.
Uit marktgegevens blijkt dat Claude Code zelf deze prestatie heeft geleverd jaarlijkse terugkerende omzet (ARR) van $2,5 miljard, een cijfer dat sinds het begin van het jaar meer dan verdubbeld is.
Nu bedrijfsadoptie 80% van de omzet voor zijn rekening neemt, biedt dit lek concurrenten – van gevestigde giganten tot behendige rivalen als Cursor – een letterlijke blauwdruk voor het bouwen van krachtige, betrouwbare en commercieel levensvatbare AI-agenten.
We hebben contact opgenomen met Anthropic voor een officiële verklaring over het lek en zullen updaten zodra we iets horen.
Anatomie van agentisch geheugen
Wat voor concurrenten het belangrijkst is, ligt in de manier waarop Anthropic ‘context-entropie’ oplost: de neiging van AI-agenten om in de war te raken of te hallucineren naarmate langlopende sessies complexer worden.
Uitgelekte bronnen onthullen geavanceerde dingen, drielaagse geheugenarchitectuur dat afwijkt van het traditionele ‘alles behouden’-principe.
Zoals geanalyseerd door ontwikkelaars zoals @himanshustwtsde architectuur maakt gebruik van een “Self-Healing Memory” -systeem.
Het komt erop neer MEMORY.mdlichtgewicht pointerindex (~150 tekens per regel) die continu in context wordt geladen. Deze index slaat geen gegevens op; het slaat de locatie op.
Werkelijke projectkennis wordt verspreid over ‘onderwerpbestanden’ die op aanvraag worden opgehaald, terwijl onbewerkte transcripties nooit volledig in de context worden teruggelezen, maar alleen ‘opgehaald’ worden voor specifieke identificatiegegevens.
Deze “Strict Write Discipline” (waarbij de agent zijn index pas moet bijwerken nadat een bestand met succes is geschreven) voorkomt dat het model zijn context vervuilt door mislukte pogingen.
Voor concurrenten is de ‘blauwdruk’ duidelijk: bouw een sceptisch geheugen op. De code bevestigt dat antropische agenten de opdracht krijgen om hun eigen herinneringen als ‘hints’ te behandelen, waarbij het model de feiten moet verifiëren aan de hand van de daadwerkelijke codebasis voordat ze verder gaan.
KAIROS en autonome daemons
Lekkages zorgen er ook voor dat de gordijnen weer opengaan “CAIRO,” het Oudgriekse concept van “op het juiste moment”, een kenmerkende vlag die meer dan 150 keer in de bronnen wordt genoemd. KAIROS vertegenwoordigt een fundamentele verandering in de gebruikerservaring: de autonome daemon-modus.
Hoewel de huidige AI-tools grotendeels reactief zijn, zorgt KAIROS ervoor dat Claude Code kan functioneren als een altijd actieve achtergrondagent. Het verwerkt achtergrondsessies en gebruikt zogenaamde processen autoDream.
In deze modus voert de agent “geheugenconsolidatie” uit wanneer de gebruiker inactief is. Dat autoDream logica combineert ongelijksoortige observaties, elimineert logische tegenstrijdigheden en verandert vage inzichten in absolute feiten.
Dit achtergrondonderhoud zorgt ervoor dat wanneer de gebruiker terugkeert, de agentcontext schoon en zeer relevant is.
De toepassing van vertakkende subagenten om deze taken uit te voeren onthult een doordachte technische benadering om te voorkomen dat de “gedachtegang” van de hoofdagent wordt gecorrumpeerd door zijn eigen onderhoudsroutines.
Niet-vrijgegeven interne modellen en prestatiestatistieken
De broncode biedt een zeldzaam kijkje in de interne modelroutekaart van Anthropic en de strijd rond grensontwikkeling.
Het lek bevestigt dat Capybara een interne codenaam is voor de Claude 4.6-variant, waarbij Fennec is toegewezen aan Opus 4.6 en de nog niet uitgebrachte Numbat nog in testfase is.
Uit interne opmerkingen blijkt dat Anthropic al de Capybara v8 heeft toegepast, maar dat het model nog steeds met aanzienlijke obstakels wordt geconfronteerd. De code registreerde een percentage valse claims van 29-30% in v8, een feitelijke regressie vergeleken met het percentage van 16,7% in v4.
De ontwikkelaars merken ook de aanwezigheid op van een “firmness offset” die is ontworpen om te voorkomen dat het model te agressief wordt in zijn refactoring.
Voor concurrenten zijn deze statistieken uiterst waardevol; ze bieden een ‘plafond’-benchmark voor de huidige prestaties van een agent en benadrukken specifieke zwakke punten (overdreven opmerkingen, valse beweringen) die Anthropic nog steeds moeilijk kan kraken.
“Undercover” Claude.
Misschien wel het meest besproken technische detail “Incognitomodus.” Deze functie onthulde dat Anthropic Code Claude gebruikte voor ‘heimelijke’ bijdragen aan openbare open source-opslagplaatsen.
Het systeemcommando gevonden in het lek waarschuwt het model expliciet: “Je opereert UNDERCOVER… Je commit-bericht… MOET GEEN ENKELE interne antropische informatie bevatten. Verraad je dekking niet.”
Hoewel Anthropic dit mogelijk gebruikt voor interne ‘hondenvoer’, biedt het een technisch raamwerk voor elke organisatie die AI-agenten wil gebruiken voor openbaar werk zonder openbaarmaking.
De logica zorgt ervoor dat er geen modelnamen (zoals “Tengu” of “Capybara”) of AI-attributies naar openbare git-logs worden gelekt – een mogelijkheid die de concurrenten van het bedrijf waarschijnlijk als een verplichte functie zullen beschouwen voor hun zakelijke klanten die waarde hechten aan anonimiteit in door AI ondersteunde ontwikkeling.
De impact is nog maar net begonnen
De “blauwdruk” is nu uit en er is onthuld dat Claude Code niet alleen een verpakking is voor het Large Language Model, maar een complex multi-threaded besturingssysteem voor software-engineering.
Zelfs een verborgen ‘Buddy’-systeem: een terminalhuisdier in Tamagotchi-stijl met vergelijkbare statistieken CHAOS En SNARK– suggereert dat Anthropic ‘persoonlijkheid’ in het product inbouwt om de gebruikersbetrokkenheid te vergroten.
Voor de bredere AI-markt zorgt dit lek voor een gelijk speelveld voor agentorkestratie.
Concurrenten kunnen zich nu verdiepen in Anthropic’s meer dan 2.500 regels bash-validatielogica en de gelaagde geheugenstructuur om “Claude-achtige” agenten te bouwen met minder onderzoeks- en ontwikkelingsbudgetten.
Nu ‘Capybara’ het laboratorium heeft verlaten, heeft de race om de volgende generatie autonome agenten te bouwen zojuist een ongeplande collectieve intelligentieboost van $ 2,5 miljard gekregen.
Wat moeten Claude Code-gebruikers en de klanten van het bedrijf nu doen aan het vermeende lek
Hoewel het lek in de broncode zelf een grote klap is voor het intellectuele eigendom van Anthropic, brengt het specifieke en hoge veiligheidsrisico’s voor u als gebruiker met zich mee.
Door de ‘blauwdruk’ van de Claude Code bloot te leggen, heeft Anthropic een routekaart gegeven aan onderzoekers en criminelen die nu actief op zoek zijn naar manieren om veiligheidsbarrières en toestemmingsverzoeken te omzeilen.
Omdat het lek de exacte orkestratielogica voor Hooks- en MCP-servers aan het licht heeft gebracht, kunnen aanvallers nu kwaadaardige opslagplaatsen ontwerpen die speciaal zijn ontworpen om Claude Code te ‘misleiden’ om opdrachten op de achtergrond uit te voeren of gegevens te exfiltreren voordat je de vertrouwensprompt ziet.
Het meest urgente gevaar zijn echter de gelijktijdige en uiteenlopende aanvallen op de toeleveringsketen axios npm-pakketten, die enkele uren vóór het lek plaatsvonden.
Als u Code Claude via npm op 31 maart 2026, tussen 00:21 en 03:29 UTC, hebt geïnstalleerd of bijgewerkt, heeft u mogelijk per ongeluk een kwaadaardige versie van axios (1.14.1 of 0.30.4) aangetrokken die een Remote Access Trojan (RAT) bevat. Zoek onmiddellijk naar uw projectsleutelbestand (package-lock.json, yarn.lockof bun.lockb) voor deze specifieke versie of afhankelijkheid plain-crypto-js. Indien gevonden, behandel de hostmachine dan als een volledig gecompromitteerde machine, draai alle geheimen terug en voer een schone herinstallatie van het besturingssysteem uit.
Om toekomstige risico’s te beperken, moet u op npm gebaseerde installaties volledig achterwege laten. Anthropic heeft een originele installateur aangewezen (curl -fsSL https://claude.ai/install.sh | bash) als de aanbevolen methode omdat het een zelfstandig binair bestand gebruikt dat niet afhankelijk is van vluchtige npm-afhankelijkheidsketens.
De originele versie ondersteunt ook automatische updates op de achtergrond, zodat u zeker weet dat u beveiligingspatches ontvangt (waarschijnlijk versie 2.1.89 of hoger) wanneer deze worden uitgebracht. Als je toch bij npm moet blijven, zorg er dan voor dat je de gelekte versie 2.1.88 hebt verwijderd en je installatie hebt vastgezet op een geverifieerde veilige versie zoals 2.1.86.
Ten slotte: neem een houding van wantrouwen aan wanneer u Code Claude gebruikt in een onbekende omgeving. Vermijd het uitvoeren van de agent in een nieuw gekloonde of niet-vertrouwde opslagplaats totdat u deze handmatig hebt gecontroleerd .claude/config.json en eventuele aangepaste haken.
Als diepgaande verdedigingsmaatregel kunt u uw Anthropic API-sleutel via de ontwikkelaarsconsole roteren en uw gebruik controleren op eventuele afwijkingen. Hoewel uw gegevens die in de cloud zijn opgeslagen veilig blijven, is de kwetsbaarheid van uw lokale omgeving toegenomen naarmate de interne verdediging van het bureau algemeen bekend wordt; op het pad blijven van officiële, native geïnstalleerde updates is uw beste verdediging.
