Je viens de voir une info dans le groupe, Anthropic a encore laissé échapper ses secrets😂

Le dernier package npm de Claude Code, v2.1.88, publié hier, a été découvert avec un fichier source map de 60MB dans le package. Les connaisseurs savent que dès qu’on met ça en ligne, c’est comme si on livrait directement le code TypeScript source.
J’ai regardé les données : la version précédente v2.1.87 faisait seulement 17MB, et cette version a explosé à 31MB, décompressée elle atteint 60MB. 1906 fichiers sources, bien rangés, incluant API interne, système de télémétrie, outils de cryptographie, communication IPC, tout a été déchiffré.
Ce qui est encore plus fou ? Ce n’est pas la première fois. Lors de la première sortie en février dernier, ils avaient déjà laissé passer une erreur, puis ils ont corrigé discrètement. Et voilà qu’un an plus tard, ils retombent dans le même piège. Un stagiaire à blâmer ou un bug dans le script de build, on ne sait pas, mais faire la même erreur deux fois, c’est vraiment abusé.
Sur GitHub, quelqu’un a déjà organisé le code source, le dépôt ghuntley a presque 1000 étoiles. Bien sûr, la fuite concerne le code du client CLI, les poids du modèle et les données utilisateur n’ont pas été affectés, donc pas de risque direct pour les utilisateurs ordinaires.
Mais ce qui est intéressant, c’est que — une entreprise d’IA qui écrit ses propres outils de code a laissé échapper son propre code. D’une certaine manière, ça devient un cas classique pour la “sécurité de l’IA”.
Les amis qui font de l’audit dans le secteur peuvent aller fouiller, voir s’il n’y a pas des “œufs de Pâques” cachés.
Ne me demandez pas ce que j’en pense, mais je trouve que cette histoire ouvre une fenêtre d’audit gratuite pour les white hats. Quant à Anthropic, ils doivent probablement faire un bon récapitulatif de leur processus CI/CD.
Ce n’est pas un conseil d’investissement, juste une observation. 🍉