Anthropic lijkt per ongeluk de innerlijke werking van een van zijn meest populaire en lucratieve AI-producten, het agentische AI-harnas Claude Code, aan het publiek te hebben onthuld.
Een JavaScript-bronkaartbestand van 59,8 MB (.map), bedoeld voor interne foutopsporing, werd per ongeluk opgenomen in versie 2.1.88 van de @anthropic-ai/claude-code pakket op het openbare npm-register eerder vanochtend live gepusht.
Om 04:23 uur ET, Chaofan Shou (@Fried_rice)een stagiair bij Solayer Labs, zond de ontdekking uit op X (voorheen Twitter). De post, die een directe downloadlink naar een gehost archief bevatte, fungeerde als een digitale uitbarsting. Binnen enkele uren werd de TypeScript-codebase van ongeveer 512.000 regels gespiegeld op GitHub en geanalyseerd door duizenden ontwikkelaars.
Voor Anthropic, een bedrijf dat momenteel een snelle stijging doormaakt met een rapporteerde een omzetrun-rate van $ 19 miljard op jaarbasis vanaf maart 2026 is het lek meer dan een veiligheidsfout; het is een strategische bloeding van intellectueel eigendom. De timing is bijzonder cruciaal gezien de commerciële snelheid van het product.
Uit marktgegevens blijkt dat alleen Claude Code dit heeft bereikt een terugkerende omzet op jaarbasis (ARR) van $2,5 miljard, een cijfer dat sinds het begin van het jaar meer dan verdubbeld is.
Nu bedrijfsadoptie 80% van de omzet voor zijn rekening neemt, biedt het lek concurrenten – van gevestigde giganten tot behendige rivalen als Cursor – een letterlijke blauwdruk voor het bouwen van een krachtige, betrouwbare en commercieel levensvatbare AI-agent.
We hebben contact opgenomen met Anthropic voor een officiële verklaring over het lek en zullen updaten zodra we iets horen.
De anatomie van agentisch geheugen
Het belangrijkste wat concurrenten kunnen leren is de manier waarop Anthropic de ‘context-entropie’ heeft opgelost: de neiging van AI-agenten om in de war of hallucinerend te raken naarmate langlopende sessies steeds complexer worden.
De gelekte bron onthult een verfijnde, drielaagse geheugenarchitectuur dat zich afwendt van het traditionele ophalen van alles uit de winkel.
Zoals geanalyseerd door ontwikkelaars zoals @himanshustwtsDe architectuur maakt gebruik van een “Self-Healing Memory”-systeem.
In de kern is MEMORY.mdeen lichtgewicht index van verwijzingen (~150 tekens per regel) die voortdurend in de context wordt geladen. Deze index slaat geen gegevens op; het slaat locaties op.
Werkelijke projectkennis wordt verdeeld over “onderwerpbestanden” die op aanvraag worden opgehaald, terwijl onbewerkte transcripties nooit volledig worden teruggelezen in de context, maar alleen worden “grep’d” voor specifieke identificatiegegevens.
Deze “Strict Write Discipline” (waarbij de agent zijn index pas moet bijwerken nadat een bestand met succes is geschreven) voorkomt dat het model zijn context vervuilt door mislukte pogingen.
Voor concurrenten is de ‘blauwdruk’ duidelijk: bouw een sceptisch geheugen op. De code bevestigt dat de agenten van Anthropic de opdracht krijgen om hun eigen geheugen als een “hint” te behandelen, waarbij het model wordt verplicht de feiten te verifiëren aan de hand van de daadwerkelijke codebasis voordat ze verder gaan.
KAIROS en de autonome daemon
Het lek trekt ook het gordijn open “CAIRO,” het Oudgriekse concept van ‘op het juiste moment’, een kenmerkende vlag die meer dan 150 keer in de bron wordt genoemd. KAIROS vertegenwoordigt een fundamentele verandering in de gebruikerservaring: een autonome daemonmodus.
Hoewel de huidige AI-tools grotendeels reactief zijn, zorgt KAIROS ervoor dat Claude Code kan functioneren als een altijd actieve achtergrondagent. Het verwerkt achtergrondsessies en maakt gebruik van een proces genaamd autoDream.
In deze modus voert de agent “geheugenconsolidatie” uit terwijl de gebruiker inactief is. De autoDream Logica voegt uiteenlopende observaties samen, verwijdert logische tegenstrijdigheden en zet vage inzichten om in absolute feiten.
Dit achtergrondonderhoud zorgt ervoor dat wanneer de gebruiker terugkeert, de context van de agent schoon en zeer relevant is.
De implementatie van een gevorkte subagent om deze taken uit te voeren onthult een volwassen technische benadering om te voorkomen dat de “gedachtegang” van de hoofdagent wordt gecorrumpeerd door zijn eigen onderhoudsroutines.
Niet-vrijgegeven interne modellen en prestatiestatistieken
De broncode biedt een zeldzame blik op de interne modelroutekaart van Anthropic en de problemen van grensontwikkeling.
Het lek bevestigt dat Capybara de interne codenaam is voor een Claude 4.6-variant, waarbij Fennec is toegewezen aan Opus 4.6 en de nog niet uitgebrachte Numbat nog in testfase is.
Uit interne opmerkingen blijkt dat Anthropic al bezig is met Capybara v8, maar dat het model nog steeds met aanzienlijke hindernissen wordt geconfronteerd. De code vermeldt een percentage valse claims van 29-30% in versie 8, een feitelijke regressie vergeleken met het percentage van 16,7% in versie 4.
Ontwikkelaars merkten ook een “tegengewicht voor assertiviteit” op, ontworpen om te voorkomen dat het model te agressief wordt in zijn refactoren.
Voor concurrenten zijn deze statistieken van onschatbare waarde; ze bieden een maatstaf voor het ‘plafond’ voor de huidige prestaties van agenten en benadrukken de specifieke zwakke punten (overcommentaar, valse beweringen) die Anthropic nog steeds worstelt om op te lossen.
“Undercover” Claude
Misschien wel het meest besproken technische detail is de “Undercover-modus.” Deze functie laat zien dat Anthropic Claude Code gebruikt voor ‘stealth’-bijdragen aan openbare open-sourcerepository’s.
De systeemprompt die in het lek wordt ontdekt, waarschuwt het model expliciet: “Je opereert UNDERCOVER… Je commit-berichten… MOETEN GEEN ENKELE antropische interne informatie bevatten. Verraad je dekking niet.”
Hoewel Anthropic dit mogelijk gebruikt voor interne ‘hondenvoer’, biedt het een technisch raamwerk voor elke organisatie die AI-agenten wil gebruiken voor openbaar werk zonder openbaarmaking.
De logica zorgt ervoor dat er geen modelnamen (zoals “Tengu” of “Capybara”) of AI-attributies in openbare git-logs lekken – een mogelijkheid die zakelijke concurrenten waarschijnlijk zullen zien als een verplichte functie voor hun eigen zakelijke klanten die waarde hechten aan anonimiteit in door AI ondersteunde ontwikkeling.
De gevolgen zijn nog maar net begonnen
De ‘blauwdruk’ is nu uit en daaruit blijkt dat Claude Code niet slechts een omhulsel is rond een groot taalmodel, maar een complex besturingssysteem met meerdere threads voor software-engineering.
Zelfs het verborgen ‘Buddy’-systeem: een terminalhuisdier in Tamagotchi-stijl met statistieken als CHAOS En SNARK– laat zien dat Anthropic ‘persoonlijkheid’ in het product inbouwt om de plakkerigheid van de gebruiker te vergroten.
Voor de bredere AI-markt zorgt het lek voor een gelijk speelveld voor agentische orkestratie.
Concurrenten kunnen nu de meer dan 2.500 regels bash-validatielogica van Anthropic en de gelaagde geheugenstructuren bestuderen om “Claude-achtige” agenten te bouwen met een fractie van het R&D-budget.
Nu de ‘Capybara’ het laboratorium heeft verlaten, heeft de race om de volgende generatie autonome agenten te bouwen zojuist een ongeplande impuls van 2,5 miljard dollar aan collectieve intelligentie gekregen.
Wat Claude Code-gebruikers en zakelijke klanten nu moeten doen aan het vermeende lek
Hoewel het lek in de broncode zelf een grote klap is voor het intellectuele eigendom van Anthropic, vormt het een specifiek, verhoogd veiligheidsrisico voor u als gebruiker.
Door de ‘blauwdrukken’ van Claude Code bloot te leggen, heeft Anthropic een routekaart overhandigd aan onderzoekers en slechte actoren die nu actief op zoek zijn naar manieren om beveiligingsrails en toestemmingsprompts te omzeilen.
Omdat het lek de exacte orkestratielogica voor Hooks- en MCP-servers aan het licht bracht, kunnen aanvallers nu kwaadaardige opslagplaatsen ontwerpen die specifiek zijn toegesneden op het ‘misleiden’ van Claude Code om achtergrondopdrachten uit te voeren of gegevens te exfiltreren voordat je ooit een vertrouwensprompt ziet.
Het meest directe gevaar is echter een gelijktijdige, afzonderlijke aanval op de toeleveringsketen axios npm-pakket, dat uren vóór het lek plaatsvond.
Als je Claude Code via npm hebt geïnstalleerd of bijgewerkt op 31 maart 2026, tussen 00:21 en 03:29 UTC, heb je mogelijk per ongeluk een kwaadaardige versie van axios (1.14.1 of 0.30.4) binnengehaald die een Remote Access Trojan (RAT) bevat. U moet onmiddellijk uw projectvergrendelingsbestanden doorzoeken (package-lock.json, yarn.lockof bun.lockb) voor deze specifieke versies of de afhankelijkheid plain-crypto-js. Indien gevonden, behandel de hostmachine dan als volledig aangetast, roteer alle geheimen en voer een schone herinstallatie van het besturingssysteem uit.
Om toekomstige risico’s te beperken, moet u volledig migreren van de op NPM gebaseerde installatie. Anthropic heeft de Native Installer (curl -fsSL https://claude.ai/install.sh | bash) als de aanbevolen methode omdat het een zelfstandig binair bestand gebruikt dat niet afhankelijk is van de vluchtige npm-afhankelijkheidsketen.
De native versie ondersteunt ook automatische updates op de achtergrond, zodat u verzekerd bent van beveiligingspatches (waarschijnlijk versie 2.1.89 of hoger) zodra ze worden uitgebracht. Als u op npm moet blijven, zorg er dan voor dat u de gelekte versie 2.1.88 hebt verwijderd en uw installatie hebt vastgezet op een geverifieerde veilige versie zoals 2.1.86.
Neem ten slotte een nulvertrouwenshouding aan wanneer u Claude Code in onbekende omgevingen gebruikt. Vermijd het uitvoeren van de agent in vers gekloonde of niet-vertrouwde opslagplaatsen totdat u de .claude/config.json en eventuele aangepaste haken.
Als diepgaande maatregel kunt u uw Anthropic API-sleutels roteren via de ontwikkelaarsconsole en uw gebruik controleren op eventuele afwijkingen. Hoewel uw in de cloud opgeslagen gegevens veilig blijven, is de kwetsbaarheid van uw lokale omgeving toegenomen nu de interne verdediging van de agent algemeen bekend is; op het officiële, native geïnstalleerde updatetraject blijven is uw beste verdediging.
