Es wird vermutlich nicht das korrekte Forum sein, aber da ich hier schon mehrfach über meine eigene KI gesprochen habe, grundsätzliches zu KI und Home Assistant, und ich noch immer den Satz im Ohr habe „Es liegt in der Verantwortung derer, die sich mit KI auskennen, die anderen zu warnen" – SFML ist eine klassische lokale Transformer-KI, ähnlich wie Grok, Claude oder ChatGPT, nur vieeeeeel kleiner und lokal.
Da ich hier viele Diskussionen gelesen habe, wie einige von euch Claude Code nutzen um Home Assistant zu kontrollieren und zu konfigurieren, und in Beiträgen zu SFML immer wieder beschrieben wird, wie Claude Code zu Rate gezogen wird – ist das Folgende hier doch irgendwie richtig platziert. Sollte ein Admin es anders sehen – bitte einfach verschieben!
Worum geht’s…
Wie ihr sicherlich mitbekommen habt, wurde der komplette Quellcode und die Roadmap von Claude Code (dem KI-Coding-Tool von Anthropic) am 31.03.2026 durch einen Fehler, versehentlich veröffentlicht. Der Schaden für Anthropic ist groß – aber das ist nicht das eigentliche Problem!!
Das Problem ist ein zeitgleich, aber unabhängig aufgetretener Supply-Chain-Angriff auf das npm-Paket axios.
Wer Claude Code via npm am 31. März zwischen 00:21 und 03:29 UTC installiert oder aktualisiert hat, könnte eine kompromittierte axios-Version (1.14.1 oder 0.30.4) mit einem Remote Access Trojan (RAT) gezogen haben. In diesem Fall: Lock-Files prüfen, Credentials rotieren, System neu aufsetzen.
Prüfschritte ob ihr betroffen seid:
Im Terminal folgendes eingeben:
1. Welche Claude Code-Version nutzt du?
claude --version
Ist die Ausgabe 2.1.88 → sofort updaten:
npm install -g @anthropic-ai/claude-code@latest
Sichere Versionen sind 2.1.86 oder älter, sowie alles neuer als 2.1.88.
2. Zur Sicherheit noch breiter suchen – das kompromittierte axios direkt im Claude Code-Paket:
find $(npm root -g) -path "*/axios/package.json" 2>/dev/null | xargs grep '"version"' 2>/dev/null
find $(npm root -g) -name "plain-crypto-js" 2>/dev/null
Sind die Ausgaben im Terminal leer → kein Handlungsbedarf!
Gleiche Schritte direkt in Studio Code Server // Visual Studio code //…
Beispiel VS Code und Studio Server (HA):
find ~/.vscode/extensions -name "plain-crypto-js" 2>/dev/null
Und nach den bösen axios-Versionen schauen
find ~/.vscode/extensions -path "*/axios/package.json" 2>/dev/null | xargs grep '"version"' 2>/dev/null