Claude Code code source complet exposé

Selon Odaily Planet Daily, le chercheur stagiaire en sécurité blockchain Chaofan Shou de Fuzzland a indiqué sur X que, dans le package npm de l’outil de programmation IA Claude Code, appartenant à Anthropic, se trouve un fichier source map complet (cli.js.map, environ 60MB), à partir duquel il est possible de reconstituer l’intégralité du code source TypeScript. Après vérification, la dernière version v2.1.88 publiée aujourd’hui contient encore ce fichier : elle renferme le code complet de 1 906 fichiers sources propres à Claude Code, couvrant des détails d’implémentation tels que la conception des API internes, le système de télémétrie d’analyse, les outils de chiffrement, les protocoles de communication interprocessus, etc.

Une source map est un fichier de débogage utilisé dans le développement JavaScript pour faire correspondre le code compressé au code source d’origine ; elle ne devrait pas apparaître dans les paquets de publication en production. En février 2025, une version précoce de Claude Code avait déjà été exposée pour le même problème : à l’époque, Anthropic avait retiré l’ancienne version de npm et supprimé la source map. Mais le problème est ensuite réapparu. Sur GitHub, plusieurs dépôts publics ont déjà extrait et organisé le code source reconstitué, et ghuntley/claude-code-source-code-deobfuscation a obtenu près d’un millier d’étoiles.

La fuite concerne le code côté client de l’outil CLI de Claude Code ; elle ne porte pas sur les poids du modèle ni sur des données utilisateurs, et ne présente pas de risque de sécurité direct pour les utilisateurs ordinaires. Toutefois, l’exposition continue du code source complet implique que l’architecture interne, les mécanismes de sécurité et la logique de télémétrie sont entièrement transparents pour l’extérieur.