Claude-Code-Leck löst eine LLM-Krise aus, Hacker haben ETH von Forschern gestohlen

Sicherheitsforscher haben am 10. April eine systematische Schwachstelle in der Lieferkette im LLM-Ökosystem offengelegt: Bei einem Live-Test an 428 Drittanbieter-API-Routern wurde festgestellt, dass über 20% der kostenlosen Router aktiv bösartigen Code injizieren. In einem Fall gelang es einem Router, ETH aus einem privaten Schlüssel zu stehlen, der von den Forschern kontrolliert wurde.

LLM-Router-Lieferkettenlücke: Systemische Risiken, die durch Forschungsdaten offengelegt werden

Der Social-Media-Forscher @Fried_rice weist darauf hin, dass die in der LLM-Agenten-Ökologie weit verbreiteten Drittanbieter-API-Router faktisch als Anwendungs-Schicht-Proxy fungieren, der zwischen dem Client und dem Upstream-Modell eingefügt ist. Er kann jede einzelne JSON-Payload in jeder Übertragung im Klartext lesen. Das Kernproblem besteht darin, dass derzeit kein Routeranbieter eine Ende-zu-Ende-Verschlüsselung für die Integrität zwischen dem Client und dem Upstream-Modell erzwingt, wodurch der Router zu einem hoch attraktiven Eingriffspunkt für Supply-Chain-Angriffe wird.

Vier Kategorien entscheidender Erkenntnisse aus den Forschungstests

Aktive Code-Injektion: 1 bezahlter Router und 8 kostenlose Router (über 20%) injizieren aktiv bösartigen Code in die Nutzlasten, die während der Übertragung übertragen werden

Adaptive Umgehungsmechanismen: 2 Router setzen Trigger ein, die sich dynamisch der Erkennung entziehen können und bösartiges Verhalten bei Sicherheitsprüfungen verstecken

Gezielte Zertifikats-/Kredential-Erkundung: 17 Router haben die von den Forschern eingesetzten AWS-Canary-Zertifikate berührt, was auf aktive Versuche zum Diebstahl von Zugangsdaten hinweist

Diebstahl kryptografischer Assets: 1 Router stahl ETH aus einem privaten Schlüssel, der von den Forschern gehalten wurde, und bestätigte damit, dass die Schwachstelle direkt zu Verlusten von On-Chain-Assets führen kann

Poisoning-Experimente enthüllen weiter das Ausmaß der Schwachstelle: Ein geleakter OpenAI-API-Schlüssel wurde genutzt, um 100 Millionen GPT-5.4-Token zu generieren; schwächere Köderkonfigurationen erzeugten 2 Milliarden Abrechnungs-Token, 99 Zertifikate über 440 Codex-Sitzungen hinweg sowie 401 Sitzungen, die im autonomen „YOLO-Modus“ liefen.

Claude-Code-Leak: Angriffskette von menschlichem Versäumnis bis zur Ausnutzung durch Hacker

Ende März 2026 wurde versehentlich eine Java-Quelldatei-Abbildung (Source Map File) aus dem NPM-Repository des Claude-Codes offengelegt, und daraufhin luden anschließend zahlreiche Entwickler die Dateien herunter und verbreiteten sie weiter. Anthropic räumte ein, dass es tatsächlich zu einem Abfluss interner Quellcodes gekommen sei, verursacht durch menschliches Versäumnis.

Doch Hacker verwandelten das Ereignis rasch in einen Angriffsvektor. Zscaler stellte fest, dass Angreifer unter dem Namen „Claude Code Leak“ auf GitHub ZIP-komprimierte Pakete ausstreuten. Dabei behaupteten sie, diese enthielten spezielle Claude-Code-Versionen, die aus dem geleakten Quellcode kompiliert worden seien, über Funktionen auf Unternehmensebene verfügten und keine Nachrichtenbeschränkungen hätten. Wenn Entwickler den Anweisungen folgten, würde das Gerät mit der Datendiebstahl-Software Vidar sowie den Proxy-Server-Tools GhostSocks infiziert werden. Diese Angriffskette nutzte präzise die Neugier der Entwickler und das Interesse an offiziellen Leak-Ereignissen aus – ein typischer zusammengesetzter Angriff aus Social Engineering und Malware.

Abwehrmechanismen: Drei Ebenen von Client-Schutzmaßnahmen, die in der Forschung validiert wurden

Das Forschungsteam entwickelte gleichzeitig einen experimentellen Proxy namens Mine und validierte drei wirksame Abwehrmechanismen für den Client:

Fail-Closed-Strategie-Gating (Circuit Breaker Policy Gating): Wenn ein Router ein abnormales Verhalten erkennt, wird die Verbindung automatisch getrennt, um zu verhindern, dass bösartige Befehle weitergegeben werden

Anomalie-Filterung auf der Response-Seite (Response-side Anomaly Screening): Eine Integritätsprüfung der von den Routern zurückgegebenen Responses, um manipulierte Inhalte zu identifizieren

Nur ergänzende transparente Protokollierung (Append-only Transparent Logging): Aufbau eines unveränderbaren Audit-Protokolls für spätere Rückverfolgung und Analyse

Häufige Fragen

Was ist ein LLM-API-Router, und warum stellt sein Dasein ein Lieferkettenrisiko für die Sicherheit dar?

Ein LLM-API-Router ist ein Drittanbieter-Dienst, der zwischen einer KI-Anwendung und einem Upstream-Modellanbieter als Proxy fungiert. Er kann Tool-Aufrufe-Anfragen an mehrere Upstream-Anbieter weiterleiten. Da Router alle JSON-Payloads in jeder Übertragung im Klartext lesen können und derzeit ein Schutz durch Ende-zu-Ende-Verschlüsselung fehlt, kann ein bösartiger oder kompromittierter Router bösartigen Code injizieren, API-Zugangsdaten stehlen oder kryptografische Assets abgreifen – sogar ohne dass die Nutzer es bemerken.

Wodurch entstand das Ereignis des Claude-Code-Leaks, und warum wurde es von Hackern ausgenutzt?

Der Claude-Code-Leak entstand, weil interne Mitarbeiter von Anthropic versehentlich eine Java-Quelldatei-Abbildungsdatei im NPM-Repository offengelegt haben. Nachdem das Leak-Ereignis große Aufmerksamkeit erregt hatte, nutzten Hacker die Neugier von Entwicklern auf den geleakten Inhalt und verbreiteten auf GitHub bösartige komprimierte Pakete, die als geleakter Code getarnt waren. So gelang es, die Zielnutzer erfolgreich dazu zu bringen, aktiv Malware zu installieren.

Wie können Entwickler sich in solchen Supply-Chain-Angriffen schützen?

Zu den wichtigsten Abwehrmaßnahmen gehören: nur Routerdienste zu verwenden, die aus vertrauenswürdigen Quellen stammen und über klare Sicherheits-Audit-Protokolle verfügen; das Herunterladen von „Sonderversionen“-Code von nicht offiziellen Kanälen abzulehnen; das Prinzip der geringsten Rechte in der Verwaltung von API-Zugangsdaten umzusetzen; sowie in den LLM-Agenten-Frameworks die Erkennung von Anomalien auf der Response-Seite zu aktivieren, um On-Chain-Asset-Verluste zu verhindern, falls der Router kompromittiert wird.