Innhold Vis
Claude Code source-koden ble utilsiktet publisert på npm 31. mars 2026 da Anthropic ved en feil la ved en 59,8 MB source map-fil i versjon 2.1.88 av pakken @anthropic-ai/claude-code. Innen timer var 512 000 linjer TypeScript speilet på GitHub og analysert av tusenvis av utviklere. Det Anthropic kaller en «pakkeringsfeil forårsaket av menneskelig svikt» har nå satt selskapet i en situasjon der konkurrenter, hackere og nysgjerrige kan lese hva de egentlig holder på med.
Jeg skrev om selve lekkasjen da den skjedde, og en dag senere om at noen gjenbygget hele Claude Code til en fungerende executable fra sourcemap-filen. Men det virkelig interessante er ikke at koden lekket – det er hva koden faktisk inneholder. Det er her det blir virkelig morsomt.
For Anthropic hadde skjult ganske mye i den kodebasen. En alltid-på bakgrunnsagent. Et virtuelt kjæledyr. En «Undercover»-modus. Anti-destillasjons-triks. Og 108 feature flags som ikke er dokumentert noe sted. La oss gå gjennom det som faktisk er verdt å vite.
Undercover-modus: Claude som skjult agent
Den kanskje mest kontroversielle oppdagelsen er noe som kalles «Undercover»-modus. Systemprompten i kildekoden sier eksplisitt: «You are operating UNDERCOVER… Your commit messages MUST NOT contain ANY Anthropic-internal information. Do not blow your cover.»
Hva betyr dette i praksis? Når Claude Code jobber i åpen kildekode-prosjekter på GitHub og andre offentlige repositories, er den aktivt designet for å ikke avsløre at det er Anthropics AI som genererer koden. Interne kodenavner som «Capybara» og «Tengu» er blokkert fra å dukke opp i commits. Det hele er satt opp med et «NO force-OFF»-flagg – altså en mekanisme som ikke kan skrus av.
Ironi kan man ikke ta fra dem: en hemmelighetsmodus designet for å ikke blåse coveret ble avslørt nettopp fordi de glemte å ekskludere en debuggingsfil fra npm-pakken.
Er dette problematisk? Det avhenger av perspektivet ditt. Teknisk sett er det ikke så annerledes enn at en konsulent leverer kode uten å nevne hvilke verktøy de brukte. Men det finnes nok folk som vil mene at et AI-verktøy som aktivt skjuler sin opprinnelse i offentlige repositories bør dokumenteres tydeligere.
Hva er KAIROS – den alltid-på agenten?
Dette er den mest ambisiøse oppdagelsen. KAIROS er en bakgrunnsdaemon – en agent som kjører kontinuerlig mens du jobber, observerer hva du gjør, og bygger opp sin egen hukommelse over tid.
Kodebasen avslører at KAIROS:
- Lagrer append-only daglige logger over observasjoner
- Kjører automatiske handlinger basert på kontekst
- Utfører «dreaming»-prosesser mens du er inaktiv – konsoliderer hukommelse, fjerner logiske motstridigheter, og konverterer vage innsikter til «absolutte fakta»
- Har en /dream-kommando for manuell minnedestillasjon
- Integrerer med GitHub webhooks og cron-oppgaver (5-minutters sykler)
AutoDream-logikken er spesielt interessant. Systemet er designet for å sammenflette spredte observasjoner og rydde opp i selvmotsigelser – litt som søvn gjør for menneskelig hukommelse, ifølge hypotesen. Dette er en fundamentalt annerledes tilnærming enn dagens reaktive AI-verktøy der du starter en samtale, gjør noe, og avslutter.
KAIROS er ikke tilgjengelig for vanlige brukere ennå – det er låst bak interne feature flags. Men at arkitekturen allerede er i koden antyder at dette er nærmere enn folk tror.
Buddy: Tamagotchi i kodeeditoren din
Okay, dette er litt rart. I kodebasen finner man et komplett system for et virtuelt AI-kjæledyr kalt «Buddy». Vi snakker om:
- 18 species: and, drage, axolotl, capybara, sopp, spøkelse og mer
- Sjeldenhetsnivåer: fra Common til Legendary (1% dropp-rate), pluss «shiny»-varianter
- 5 stats: Debugging, Patience, Chaos, Wisdom og Snark
- Deterministisk generering basert på bruker-ID – samme bruker får samme Buddy hver gang
- Kosmetikk: hatter og tilbehør
Interne kodekommentarer antyder at en teaser var planlagt for 1.-7. april, med full lansering i mai 2026. Det er selvfølgelig litt morsomt at dette ble avslørt 31. mars – en dag før teaser-vinduet skulle åpne.
Buddy er sannsynligvis et engagement-tiltak. Et kjæledyr som «vokser» mens du koder gir folk en grunn til å holde verktøyet åpent. Smart, om enn litt rart fra et selskap som ellers profilerer seg på seriøs AI-forskning.
Anti-destillasjons-tiltak: Anthropic beskytter modellen sin
Her er noe som vil interessere folk som jobber med AI-sikkerhet og modelltrening. Kodebasen avslører to lag med beskyttelse mot at konkurrenter bruker Claude Code-trafikk til å trene sine egne modeller:
1. Falske verktøy (Fake tools injection): Claude Code injiserer falske verktøydefinisjoner i API-trafikken. Ideen er at dersom noen prøver å lære av Claude Codes API-kall, vil de ende opp med å trene på forurenset data. Smart i teorien.
2. Connector-tekst-oppsummering: I stedet for å returnere fulle resonneringskjeder, returnerer systemet kryptografiske signaturer. Dette gjør det vanskeligere å lære av Claudes tankegang.
Problemet? Begge mekanismene er relativt enkle å omgå. En MITM-proxy som striper anti_distillation-feltet fra API-kall ville bypasse beskyttelsen. Og nå vet alle at beskyttelsen eksisterer og akkurat hvordan den fungerer.
Den tredje mekanismen er mer robust: native client attestation. Et cch=fbd0a-placeholder i API-headers erstattes med en beregnet hash av Buns native Zig HTTP-stack før forespørselen forlater prosessen. Dette kryptografisk beviser at forespørselen kommer fra den offisielle binæren – en teknisk håndhevelse mot tredjeparts klienter. Utviklerne som gjenbygget Claude Code fra sourcemap fikk nok noe å bryne seg på her.
Andre funn: frustrasjon, sikkerhet og 108 flagg
Lekkasjen avslørte også:
- Frustrasjon-deteksjon via regex: Claude Code bruker regex-mønstre for å matche banning og frustrerte uttrykk fra brukere – ikke en språkmodell, bare gammeldags mønstergjenkjenning. Enkelt, men effektivt.
- 23 bash-sikkerhetskontroller: Inkluderer blokkering av Zsh-builtins og forsvar mot zero-width space-injeksjon.
- Prompt cache-optimalisering: 14 sporede cache-break-vektorer med «sticky latches» for å holde kostnadene nede.
- 108 feature flags: Udokumenterte moduler inkluderer ULTRAPLAN (avlaster planlegging til Claude Opus i opptil 30 minutter), Coordinator Mode (en Claude-instans styrer parallelle arbeider-agenter), og mer.
ULTRAPLAN er spennende. 30 minutter med Opus-planlegging for et enkelt problem – det er en helt annen tilnærming til komplekse kodingsoppgaver enn det dagens brukere er vant til.
Hva betyr dette for Claude Code-brukere?
Det viktigste takeawayet er at Anthropic jobber med noe fundamentalt mer ambisiøst enn et kodeverktøy. KAIROS peker mot en fremtid der AI-agenter ikke er verktøy du åpner og lukker, men systemer som er kontinuerlig til stede i arbeidsflyten din – som kjenner prosjektet ditt, historien din, og tankegangen din over tid.
Om det er betryggende eller ikke avhenger litt av hva du tenker om å ha en alltid-på AI-prosess som logger alt du gjør og «drømmer» om det om natten.
Personvern-spørsmålene er reelle. The Register publiserte en analyse av hvor mye systeminfo Claude Code samler inn – det er en del. Med KAIROS ble dette enda mer relevant. Anthropic har foreløpig ikke kommentert de spesifikke funnene i detalj utover å bekrefte at lekkasjen skjedde og at «ingen sensitiv kundedata eller credentials var involvert.»
For konkurrentene er nok det strategiske kartet det mest verdifulle som lekket. Kode kan skrives om. Roadmaps avslører prioriteringer. Og Anthropics prioriteringer er nå meget klare: persistent agenter, alltid-på hukommelse, og engagement-mekanikker for å holde brukerne koblet til verktøyet. Spørsmålet er om konkurrentene rekker å kopiere det før Anthropic lanserer det.
Har du brukt Claude Code og tenkt på personvern-aspektene? Jeg er nysgjerrig på hva du mener om KAIROS-konseptet – er det spennende eller ubehagelig? Si gjerne noe i kommentarfeltet.
