Claude Code code source complet exposé

Nouvelles du quotidien Odaily Planet, édition du jour : Le stagiaire chercheur de la société de sécurité blockchain Fuzzland, Chaofan Shou, a indiqué sur X que le paquet npm de l’outil de programmation IA Claude Code, appartenant à Anthropic, contient un fichier source map complet (cli.js.map, environ 60MB), à partir duquel il est possible de reconstituer tout le code source TypeScript. Après vérification, la dernière version v2.1.88 publiée aujourd’hui contient encore ce fichier : elle renferme le code intégral des 1 906 fichiers sources propres à Claude Code, couvrant des détails d’implémentation tels que la conception des API internes, le système de télémétrie d’analyse, les outils de chiffrement, les protocoles de communication interprocessus, etc.

Un source map est un fichier de débogage utilisé en développement JavaScript pour faire correspondre le code compressé au code source original. Il ne devrait pas apparaître dans les paquets de mise en production. En février 2025, une version antérieure de Claude Code avait déjà été révélée pour le même problème : à l’époque, Anthropic avait supprimé l’ancienne version depuis npm et supprimé le source map. Mais le problème est ensuite réapparu : sur GitHub, plusieurs dépôts publics ont déjà extrait et organisé le code source reconstitué ; parmi eux, ghuntley/claude-code-source-code-deobfuscation a obtenu près de mille étoiles.

Les données divulguées correspondent au code d’implémentation côté client de l’outil CLI de Claude Code : elles ne concernent ni les poids du modèle ni les données des utilisateurs. Pour les utilisateurs ordinaires, il n’existe donc pas de risque de sécurité direct. Toutefois, la divulgation continue du code source intégral signifie que l’architecture interne, les mécanismes de sécurité et la logique de télémétrie sont entièrement transparents pour le public.