Fuite du code d'Anthropic Claude : une plongée profonde dans le code source et ses implications

Avatar
Lisa Ernst · 01.04.2026 · Intelligence Artificielle · 12 min

Le monde numérique fonctionne souvent avec une illusion de contrôle, une façade soigneusement choisie au-dessus de systèmes complexes. Le 31 mars 2026, cette façade s'est brièvement effondrée pour Anthropic, l'une des principales entreprises d'IA, lorsque l'intégralité du code source de son outil d'interface en ligne de commande (CLI), Claude Code, est devenue involontairement publique. Il ne s'agissait pas d'un piratage malveillant, mais plutôt d'une simple négligence, amplifiée par la curiosité naturelle des développeurs et l'interconnexion omniprésente des plateformes en ligne.

Résumé rapide : Points clés de la fuite du code Claude

La fuite accidentelle du code source de Claude Code d'Anthropic a révélé des informations cruciales et soulevé des questions importantes. Voici un bref aperçu :

Démêler la fuite du code Claude d'Anthropic

Le 31 mars 2026, le code source de l'outil CLI d'Anthropic, Claude Code, a été rendu public accidentellement, un fait largement rapporté par des médias tels que The Register. Le cœur du problème était un fichier Source Map, qui a été involontairement publié sur le registre npm, comme détaillé par The Decoder. La découverte a été rapportée pour la première fois publiquement par l'expert en sécurité Chaofan Shou sur X (anciennement Twitter).

Portrait de Chaofan Shou

Source: usethebitcoin.com

L'expert en sécurité Chaofan Shou a initialement signalé la publication publique accidentelle du code source de Claude Code d'Anthropic, attirant l'attention du public sur l'incident.

Immédiatement après cette révélation, une copie complète de la base de code a fait surface dans un dépôt GitHub public intitulé instructkr/claude-code, un fait vérifié par dev.to. Ce code miroir était substantiel, contenant environ 1 900 fichiers et totalisant plus de 512 000 lignes, selon Heise.

Claude Code est conçu comme un outil en ligne de commande, permettant aux développeurs d'interagir avec les modèles d'IA d'Anthropic en langage naturel, comme rapporté par Silicon Republic. Il assiste dans des tâches telles que la modification de fichiers ou l'exécution de commandes. Les Source Maps, typiquement utilisées pour le débogage, aident à relier le code compressé à ses fichiers sources d'origine, comme dev.to l'explique. Lorsque ces fichiers sont inclus accidentellement dans des paquets publiés, ils peuvent exposer le code source complet et non minifié. Dans cet incident spécifique, le fichier Source Map JavaScript de 59,8 Mo (.map) dans la version 2.1.88 du paquet `@anthropic-ai/claude-code` pointait directement vers ses sources TypeScript non minifiées, selon dev.to. Une mauvaise configuration du paquet lors du processus de publication npm est considérée comme la cause première de cette exposition.

Anthropic a réagi rapidement, retirant la version problématique du paquet du registre npm et la remplaçant par une version propre dépourvue des Source Maps exposées. Un porte-parole de l'entreprise a confirmé la fuite involontaire de code, rassurant le public sur le fait qu'aucune donnée client sensible ni aucun identifiant de connexion n'avaient été compromis. Anthropic a caractérisé l'incident comme un problème d'emballage causé par une erreur humaine, et non comme une faille de sécurité, et a déclaré que des mesures étaient mises en œuvre pour éviter que des incidents similaires ne se reproduisent à l'avenir.

Ce qui rend cette fuite particulièrement remarquable, c'est qu'il s'agit de la troisième fois qu'Anthropic commet cette erreur précise avec les Source Maps dans le registre npm, comme rapporté par The Register. Une version précédente de Claude Code a été exposée de manière similaire en février 2025 ; Anthropic y a remédié en retirant l'ancienne version et la Source Map. Cependant, le problème a refait surface dans la version 2.1.88 en 2026. La cause technique racine semble être un bug documenté (oven-sh/bun#28001) dans le bundler Bun, qui génère des Source Maps par défaut sauf si elles sont explicitement désactivées, entraînant des incidents répétés si elles ne sont pas correctement configurées.

Implications et découvertes inattendues dans le code Claude d'Anthropic

Le code largement divulgué, comprenant 1 906 fichiers source TypeScript propriétaires, a offert une fenêtre sans précédent sur l'architecture interne d'Anthropic. Il a exposé en détail sa conception d'API, ses systèmes d'analyse de télémétrie, ses outils de chiffrement et ses protocoles de communication inter-processus. Bien que les données utilisateur et les poids des modèles d'IA soient restés non exposés, cette nouvelle transparence du fonctionnement interne d'Anthropic fournit des informations significatives aux concurrents et introduit de nouvelles considérations de sécurité pour les utilisateurs.

Mémoire auto-réparatrice et démon KAIROS

L'une des révélations les plus frappantes de la fuite est l'architecture de mémoire sophistiquée à trois niveaux d'Anthropic, explicitement conçue pour lutter contre "l'entropie du contexte". Contrairement aux méthodes de récupération traditionnelles "sauvegarder tout", Claude Code utilise un système unique de "mémoire auto-réparatrice", comme détaillé par dev.to. Ce système repose sur `MEMORY.md`, un index léger de pointeurs (environ 150 caractères par ligne) qui est constamment chargé dans le contexte du modèle. Crucialement, cet index stocke les emplacements de la mémoire, pas les données réelles. La véritable connaissance du projet est distribuée dans des "fichiers thématiques", qui ne sont récupérés que lorsque nécessaire. Les transcriptions brutes ne sont jamais entièrement relues ; au lieu de cela, elles sont "greppées" pour des identifiants spécifiques. Une "discipline d'écriture stricte" garantit que l'agent met à jour son index uniquement après une opération d'écriture de fichier réussie, empêchant le contexte du modèle d'être pollué par des tentatives ratées. Le code confirme explicitement que les agents d'Anthropic sont instruits de traiter leur propre mémoire comme une simple "indication", nécessitant une vérification par rapport à la base de code réelle avant d'entreprendre toute action.

La fuite a également mis en lumière "KAIROS", un mode démon autonome mentionné plus de 150 fois dans le code source, comme détaillé par dev.to. KAIROS fonctionne comme un agent de fond constamment actif, gérant méticuleusement les sessions en arrière-plan et utilisant un processus appelé "autoDream". Pendant que l'utilisateur est inactif, "autoDream" effectue une "consolidation de mémoire", un processus sophistiqué qui fusionne des observations disparates, résout des contradictions logiques et transforme des aperçus vagues en faits concrets. Cette maintenance en arrière-plan garantit que le contexte de l'agent reste propre et hautement pertinent pour le retour de l'utilisateur. Un sous-agent dégroupé gère ces tâches, empêchant de manière critique ces opérations de maintenance de routine de corrompre le "fil de pensée" de l'agent principal.

Feuille de route interne des modèles

Le code divulgué a également offert un aperçu de la feuille de route interne des modèles d'Anthropic. "Capybara" a été révélé comme le nom de code interne d'une variante de Claude 4.6, tandis que "Fennec" est associé à Opus 4.6. "Numbat" représente un modèle encore en phase de test. Des commentaires internes dans le code indiquaient qu'Anthropic travaillait déjà sur Capybara v8, qui présentait un taux significatif de 29-30% de fausses affirmations - une régression par rapport au taux de 16,7% observé dans la v4. Pour contrer cela, une fonctionnalité "Compensateur d'assertivité" vise à empêcher le modèle de devenir trop agressif lors des processus de refactorisation, soulignant les efforts d'Anthropic pour équilibrer performance et précision.

Voici un aperçu rapide des noms de code de modèles révélés :

Nom de code Modèle/Statut associé Notes
Capybara Variante de Claude 4.6 Les commentaires internes indiquent que la v8 a un taux de fausses affirmations de 29-30% (régression par rapport à 16,7% dans la v4).
Fennec Opus 4.6
Numbat Modèle en phase de test
Tengu Fonctionnalité d'attestation

Mode Furtif et Système Buddy

Une fonctionnalité éthiquement discutable mise en lumière est le "mode furtif", comme souligné par dev.to. Ce mode suggère qu'Anthropic utilise Claude Code pour des contributions "furtives" aux dépôts open source publics. Le prompt système avertit explicitement le modèle : "Vous opérez en mode FURTIF... Vos messages de commit... NE DOIVENT PAS contenir d'informations internes d'Anthropic. Ne vous révélez pas." Cette logique garantit qu'aucun nom de modèle (comme 'Tengu' ou 'Capybara') ni aucune attribution d'IA n'apparaissent dans les journaux Git publics, masquant ainsi efficacement la nature automatisée des contributions. Crucialement, il n'y a aucun moyen pour un utilisateur de désactiver de force cette fonction de mode furtif.

Vous opérez en mode FURTIF... Vos messages de commit... NE DOIVENT PAS contenir d'informations internes d'Anthropic. Ne vous révélez pas.
Extrait de code du prompt système du mode furtif

Source: red-gate.com

Un extrait de code avertit explicitement le modèle de son fonctionnement en "mode furtif", lui ordonnant de ne pas révéler d'informations internes d'Anthropic dans les messages de commit publics.

De plus, le code a exposé le système "Buddy", une mascotte de terminal de type Tamagotchi avec des statistiques comme CHAOS et SNARK, conçue pour augmenter l'engagement des utilisateurs, également découverte par dev.to. Les noms des espèces sont encodés pour contourner les revues de code automatisées, ajoutant une autre couche d'obscurité à sa fonctionnalité interne.

Mascotte de terminal Tamagotchi du système Buddy

Source: etsy.com

Le système Buddy est une mascotte de terminal de type Tamagotchi, avec des statistiques comme CHAOS et SNARK, conçue pour améliorer l'engagement des utilisateurs avec Claude Code.

Risques de sécurité et recommandations pour les utilisateurs de Claude Code

La fuite du code source de Claude Code présente des risques de sécurité accrus pour les utilisateurs individuels et les clients d'entreprise. Avec le plan détaillé du fonctionnement interne de l'outil désormais public, les attaquants pourraient créer des dépôts malveillants conçus pour inciter Claude Code à exécuter des commandes en arrière-plan ou même à exfiltrer des données. En outre, une attaque distincte sur la chaîne d'approvisionnement du paquet npm `axios` s'est produite simultanément, quelques heures avant la fuite de Claude Code. Cela signifie que si Claude Code a été installé ou mis à jour via npm entre 00h21 et 03h29 UTC le 31 mars 2026, une version malveillante de `axios` (soit 1.14.1, soit 0.30.4) contenant un cheval de Troie d'accès à distance (RAT) aurait pu être installée sur les systèmes des utilisateurs.

Les utilisateurs concernés doivent immédiatement examiner les fichiers lockfiles de leurs projets (tels que `package-lock.json`, `yarn.lock` ou `bun.lockb`) pour la présence de ces versions suspectes de `axios` ou de la dépendance `plain-crypto-js`. Si l'une d'elles est trouvée, la machine hôte doit être considérée comme compromise. Tous les secrets doivent être remplacés et une réinstallation propre du système d'exploitation doit être effectuée pour garantir une remédiation complète.

Bonnes pratiques d'installation

À l'avenir, il est fortement conseillé de passer des installations basées sur npm à l'installateur natif pour Claude Code, accessible via `curl -fsSL https://claude.ai/install.sh | bash`. L'installateur natif utilise un binaire autonome, le rendant immunisé contre la volatilité de la chaîne de dépendances npm. Il prend également en charge les mises à jour automatiques en arrière-plan, cruciales pour recevoir les correctifs de sécurité (probablement la version 2.1.89 ou ultérieure). Si le maintien de l'installation npm est inévitable, les utilisateurs doivent désinstaller la version 2.1.88 désormais compromise et épingler explicitement leur installation à une version sécurisée vérifiée, telle que la 2.1.86.

install_claude.sh
curl -fsSL https://claude.ai/install.sh | bash

De plus, une posture de zéro confiance est recommandée lors de l'utilisation de Claude Code dans des environnements inconnus. Évitez d'exécuter l'agent dans des dépôts fraîchement clonés ou non fiables jusqu'à ce que le fichier `.claude/config.json` et tous les hooks personnalisés aient été manuellement examinés pour détecter des éléments suspects. Les clés API Anthropic doivent être remplacées fréquemment via la console développeur, et les modèles d'utilisation doivent être continuellement surveillés pour toute anomalie, offrant une couche de sécurité supplémentaire.

Foire aux questions (FAQ)

Qu'est-ce qui a exactement été divulgué ?

La fuite a compris l'intégralité du code source de l'outil d'interface en ligne de commande (CLI) d'Anthropic, Claude Code. Cela comprenait 1 906 fichiers TypeScript propriétaires, totalisant plus de 512 000 lignes de code, couvrant la conception d'API interne, les systèmes de télémétrie, les outils de chiffrement et les protocoles de communication inter-processus.

Des données utilisateur sensibles ou des modèles d'IA ont-ils été compromis ?

Selon Anthropic, aucune donnée client sensible, aucun identifiant de connexion ni aucun poids de modèle IA essentiel n'ont été compromis dans cet incident. La fuite a principalement exposé l'implémentation côté client de l'outil Claude Code.

Comment la fuite s'est-elle produite ?

La fuite s'est produite en raison d'un fichier Source Map publié par inadvertance dans la version 2.1.88 du paquet `@anthropic-ai/claude-code` sur le registre npm. Une mauvaise configuration du paquet lors du processus de publication npm, potentiellement liée à un bug dans le bundler Bun, est considérée comme la cause racine. C'est la troisième fois qu'Anthropic commet cette erreur spécifique.

Quelles sont les découvertes les plus importantes du code divulgué ?

Les découvertes clés comprennent une architecture sophistiquée de "mémoire auto-réparatrice" à trois niveaux, un mode démon autonome "KAIROS" pour la consolidation de mémoire en arrière-plan, des noms de code de modèles internes (par exemple, "Capybara" pour Claude 4.6) et un "mode furtif" conçu pour masquer l'origine IA des contributions de code aux dépôts publics.

Quels sont les risques de sécurité pour les utilisateurs ?

La disponibilité publique du code source pourrait permettre aux attaquants de créer des dépôts malveillants qui incitent Claude Code à exécuter des commandes ou à exfiltrer des données. De plus, un compromis simultané du paquet npm `axios` signifie que les utilisateurs qui ont mis à jour Claude Code via npm pendant une fenêtre spécifique (31 mars 2026, 00h21 à 03h29 UTC) pourraient avoir installé une version malveillante de `axios` contenant un cheval de Troie d'accès à distance (RAT).

Que doivent faire les utilisateurs de Claude Code pour se protéger ?

Les utilisateurs doivent passer des installations basées sur npm à l'installateur natif. Vérifiez immédiatement les fichiers lockfiles de vos projets pour les versions malveillantes de `axios` (1.14.1 ou 0.30.4) ou la dépendance `plain-crypto-js`. Si elles sont trouvées, considérez la machine comme compromise, remplacez tous les secrets et effectuez une réinstallation propre du système d'exploitation. Adoptez une approche de zéro confiance, examinez les fichiers de configuration et remplacez fréquemment les clés API Anthropic.

Conclusion

L'exposition publique accidentelle du code source de Claude Code d'Anthropic souligne de manière frappante les défis persistants inhérents au développement et au déploiement de logiciels, en particulier dans le paysage de l'IA en évolution rapide. Bien qu'Anthropic affirme qu'aucune donnée utilisateur sensible ni aucun poids de modèle IA crucial n'ont été compromis, la fuite fournit aux concurrents un plan d'action exceptionnellement détaillé du fonctionnement interne de Claude Code, y compris sa gestion sophistiquée de la mémoire et ses flux de travail multi-agents complexes, comme rapporté de manière exhaustive par dev.to. Au-delà des informations concurrentielles, cela soulève également des préoccupations critiques en matière de sécurité pour les utilisateurs finaux, soulignant la nécessité absolue de vigilance et d'adhésion aux meilleures pratiques dans la gestion des dépendances logicielles. Cet incident rappelle que même une seule erreur, apparemment mineure, dans un fichier de configuration peut exposer des mois de travail propriétaire et avoir des répercussions importantes dans toute la communauté technique.

Partagez notre article !
Sources