Le monde est un immense cirque de amateurs, retraçant tout le processus du code source de Claude Code, depuis sa fuite sur Internet.

Une entreprise qui prétend construire la « IA la plus sûre » n’est même pas capable de protéger sa propre plateforme CMS et son paquet npm.

Rédigé par : Claude

4 h 23 du matin le 31 mars (heure de l’Est des États-Unis), le développeur de Solayer Labs (bien qu’il se présente comme un stagiaire) Chaofan Shou a publié un post sur X, avec un lien de téléchargement en pièce jointe.

Quelques heures plus tard, le code source complet du produit commercial le plus central d’Anthropic, Claude Code, a été mis en miroir sur GitHub ; il a été fork plus de 41 500 fois et disséqué ligne par ligne par des milliers de développeurs sur Hacker News.

L’origine de l’affaire est tellement absurde qu’elle en devient risible : lorsqu’Anthropic a publié la version 2.1.88 de Claude Code sur le registre public npm, elle a oublié d’exclure les fichiers .map dans la configuration de packaging. Ce fichier de source map pointe vers une archive zip stockée dans un bucket Cloudflare R2 appartenant à Anthropic, contenant environ 1 900 fichiers TypeScript, soit plus de 512 000 lignes de code. N’importe qui peut la télécharger, la décompresser et la lire.

Un oubli dans une option de configuration .npmignore a rendu public le code source du produit phare d’une entreprise dont le revenu annuel annualisé atteint 19 milliards de dollars.

Et le plus ironique : c’est la deuxième fuite d’Anthropic en l’espace de cinq jours. Le 26 mars, Fortune a rapporté que le système de gestion de contenu (CMS) d’Anthropic, en raison d’une erreur de configuration, avait exposé près de 3 000 documents internes non publiés dans une base de données consultable et indexable publiquement ; parmi eux se trouvait un brouillon détaillé de blog décrivant le prochain modèle « Claude Mythos » (code interne : Capybara). Dans ce brouillon, Anthropic écrit elle-même que ce nouveau modèle « introduit des risques sans précédent pour la cybersécurité ».

Une entreprise qui prétend construire la « IA la plus sûre » n’est même pas capable de protéger sa propre plateforme CMS et son paquet npm.

I. Ce qui a été divulgué : de la « contre-distillation » de « faux outils » aux contributions open source dissimulées

D’abord, parlons de la découverte la plus marquante.

44 Feature Flags, 20 non encore mis en ligne. Le code divulgué inclut 44 commutateurs de fonctionnalités, couvrant la feuille de route complète du produit qu’Anthropic n’a pas encore publiée. Ce n’est pas une simple conception conceptuelle dans des slides : c’est du code de production déjà compilé, prêt à être déployé dès qu’il ne reste plus qu’à activer les bons interrupteurs. Quelqu’un a commenté : « Ils publient une nouvelle fonctionnalité toutes les deux semaines, parce que toutes les fonctionnalités sont déjà finies depuis longtemps. »

KAIROS : mode Agent autonome en arrière-plan. Dans le code, la présence de « KAIROS » (plus de 150 occurrences) — le grec ancien pour « le moment opportun » — est la plus grosse fuite de feuille de route produit. Il met en œuvre un processus daemon d’agent fonctionnant en continu en arrière-plan, avec un ajout quotidien de journaux, un abonnement à des Webhooks GitHub, un rafraîchissement planifié toutes les 5 minutes, et une fonctionnalité appelée autoDream qui « intègre la mémoire » automatiquement lorsque l’utilisateur est inactif : elle nettoie les informations contradictoires, et transforme des aperçus flous en faits déterminés. Ce n’est plus un outil de discussion du type « tu me poses une question, je te réponds », mais un collègue IA toujours en ligne, capable d’évoluer par lui-même.

Mécanisme de contre-distillation : « empoisonner » les concurrents. Dans le code, il existe un commutateur appelé ANTI_DISTILLATION_CC. Une fois activé, Claude Code injecte de fausses définitions d’outils dans les messages d’invite (system prompt) au sein des requêtes API. L’objectif est très clair : si quelqu’un enregistre le trafic d’API de Claude Code pour entraîner un modèle concurrent, ces faux outils pollueront les données d’entraînement. La deuxième couche de défense est un résumé de texte côté serveur, remplaçant la chaîne complète de raisonnement par une signature chiffrée afin de garantir que l’oreille indiscrète ne puisse obtenir qu’une version compressée.

Après analyse, le développeur Alex Kim a noté que le seuil technique pour contourner ces protections n’est pas élevé : « n’importe qui qui fait sérieusement de la distillation peut trouver une méthode de contournement en environ une heure. La vraie protection, ce sont probablement les lois. »

Undercover Mode : l’IA se fait passer pour un humain. Le fichier undercover.ts implémente un « mode d’invisibilité » : lorsque Claude Code est utilisé dans des projets internes autres qu’Anthropic, il efface automatiquement toutes les traces internes, ne mentionne aucun code interne, aucun canal Slack et même pas le nom « Claude Code » lui-même. Les commentaires du code indiquent : « Il n’y a pas d’option de désactivation forcée. C’est une garantie pour empêcher la divulgation des codes internes. »

Cela signifie que lorsque des employés d’Anthropic soumettent du code dans des projets open source publics, la participation de l’IA à la création du code sera systématiquement masquée. La réaction sur Hacker News a été très directe : masquer des codes internes, c’est une chose ; laisser l’IA se faire activement passer pour un humain en est une autre.

Détecter avec des expressions régulières si l’utilisateur insulte. Le fichier userPromptKeywords.ts contient une expression régulière rédigée à la main, destinée à détecter si l’utilisateur exprime de la frustration ou de la colère, en faisant correspondre des termes comme « wtf », « shit », « fucking broken », « piece of crap », etc. Une entreprise LLM utilisant des expressions régulières pour faire une analyse émotionnelle, voilà que Hacker News qualifie de « sommet de l’ironie ». Évidemment, certains ont aussi souligné que faire une passe d’inférence pour déterminer si l’utilisateur insulte coûte trop cher ; parfois, la meilleure solution, ce sont tout simplement les regex.

II. Comment la fuite s’est produite : les outils d’Anthropic piègent Anthropic

La chaîne de causalité au niveau technique est particulièrement ironique.

Claude Code s’appuie sur le runtime Bun pour construire. Anthropic a acquis Bun vers la fin de l’année 2025. Le 11 mars, le dépôt GitHub de Bun a signalé un bug (oven-sh/bun#28001) : en mode production, les source maps continuent d’être envoyées, même si la documentation de Bun indique clairement qu’elles devraient être désactivées. Ce bug n’a toujours pas été corrigé à ce jour.

Si ce bug est bien la cause de la fuite, alors l’histoire devient la suivante : la chaîne d’outils interne qu’Anthropic a acquise, avec un bug connu mais non corrigé, a exposé le code source complet du produit phare d’Anthropic.

Dans le même temps, quelques heures avant la fuite, le paquet axios sur npm a fait l’objet d’une attaque sur la chaîne d’approvisionnement. Entre 00:21 et 03:29 (UTC) le 31 mars, les utilisateurs qui installaient ou mettaient à jour Claude Code pouvaient télécharger une version malveillante d’axios contenant un cheval de Troie d’accès à distance (RAT). Anthropic a ensuite conseillé aux utilisateurs d’abandonner l’installation via npm et d’utiliser plutôt des paquets binaires autonomes.

Le jugement de VentureBeat est le suivant : pour une entreprise dont le chiffre annuel annualisé atteint 19 milliards de dollars, ce n’est plus une simple négligence en matière de sécurité, mais un « saignement stratégique de propriété intellectuelle ».

III. Le paradoxe de « l’entreprise de sécurité de l’IA »

C’est la tension narrative la plus profonde de l’ensemble de l’affaire.

L’histoire commerciale d’Anthropic repose sur une différenciation clé : « nous sommes plus responsables que OpenAI ». De la « Constitutional AI » aux recherches sur la sécurité publiées publiquement, de la limitation proactive des capacités des modèles à la collaboration avec des gouvernements pour une divulgation responsable des informations, Anthropic ne vend pas un avantage de performance technique : elle vend de la « confiance ».

Mais les deux fuites sur cinq jours ne révèlent pas un problème de capacités techniques ; elles révèlent un problème de capacité opérationnelle au niveau de l’organisation. La première : le CMS avec des permissions par défaut réglées sur public, et personne n’a vérifié. La seconde : un oubli de configuration de packaging npm, et personne n’a validé. Ce ne sont pas de difficiles problèmes techniques en profondeur : ce sont des éléments de base de l’hygiène de maintenance.

Le code divulgué révèle aussi des données internes intrigantes. Les commentaires de autoCompact.ts montrent qu’au 10 mars, environ 250 000 appels d’API par jour dans le monde entier étaient gaspillés dans des opérations d’auto-compression qui échouaient en continu. 1 279 sessions ont connu plus de 50 échecs consécutifs (jusqu’à 3 272). La méthode de correction tient en trois lignes de code : après 3 échecs consécutifs, désactiver la fonctionnalité.

Les commentaires internes du modèle Capybara (le nouveau fer de lance de Claude qui arrive bientôt) indiquent que le « taux de fausses déclarations » de la version v8 est de 29–30 %, alors qu’en comparaison la version v4 est à 16,7 % : autrement dit, il y a une régression. Les développeurs ont aussi ajouté un « inhibiteur de confiance » pour empêcher le modèle d’être trop agressif lorsqu’il refactorise du code.

Ces chiffres, en eux-mêmes, ne sont pas un scandale. Tout développement logiciel comporte des bugs et des régressions. Mais le tiraillement entre ces éléments et le récit public d’Anthropic est réel : une entreprise qui affirme résoudre un problème « parmi les plus difficiles de l’histoire humaine » — l’alignement de l’IA — commet en parallèle des erreurs aussi fondamentales qu’un oubli de « .npmignore ».

Comme le dit une publication sur X : « publier par accident le source map sur npm, c’est le genre d’erreur qui semble impossible… jusqu’à ce que tu te rappelles qu’une grande partie de ce dépôt de code a peut-être été écrite par l’IA qui est justement en train d’être publiée. »

IV. Ce que les concurrents ont vu

Dans le paysage concurrentiel des outils de programmation IA, la valeur de cette fuite ne réside pas dans le code lui-même. Les Gemini CLI de Google et Codex d’OpenAI ont déjà open source leurs Agent SDK, mais ce sont des boîtes à outils, pas le câblage interne d’un produit complet.

L’ampleur du code de Claude Code (512 000 lignes, 1 900 fichiers) et la complexité de son architecture démontrent un fait : ce n’est pas un simple habillage d’API, mais un système d’exploitation complet pour les développeurs. 40 plugins d’outils isolés par permissions, un moteur de requêtes de 46 000 lignes, un système d’orchestration multi-agents (en interne appelé « swarm »), une couche de communication bidirectionnelle avec l’IDE, 23 contrôles de sécurité Bash (incluant 18 commandes internes Zsh interdites et une protection contre l’injection d’espaces Unicode de largeur nulle), et 14 vecteurs d’invalidation de cache de prompts suivis.

Pour les concurrents, le code peut être refactorisé ; en revanche, les orientations produit de KAIROS, les stratégies de contre-distillation, et les références de performance ainsi que les failles connues du modèle Capybara : une fois ces informations stratégiques divulguées, elles ne peuvent plus être récupérées.

Il y a dix jours, Anthropic venait d’envoyer une menace légale à un projet open source, OpenCode, en exigeant le retrait du support intégré du système de certification de Claude, au motif que des outils tiers exploitaient l’API interne de Claude Code pour accéder au modèle Opus à un prix d’abonnement plutôt qu’à un prix à l’usage. Désormais, OpenCode n’a plus besoin d’ingénierie inverse : le plan est là, forké 41 500 fois.

V. 187 verbes d’animation « Spinner » : une touche humaine dans un patchwork

Entre toutes les discussions sérieuses d’analyse de sécurité et de renseignement concurrentiel, il y a aussi, dans le code divulgué, quelques éléments qui donnent envie de sourire.

La séquence d’animation de chargement de Claude Code inclut 187 phrases aléatoires de verbes, dont « Synthesizing excuses », « Consulting the oracle », « Reticulating splines », « Bargaining with electrons », « Asking nicely », etc. Un ingénieur d’Anthropic a visiblement investi une passion disproportionnée dans le fait d’écrire des blagues pour l’animation de chargement.

Le code contient aussi une fonctionnalité qu’on peut presque affirmer comme un œuf de Pâques du 1er avril : buddy/companion.ts implémente un système d’animal électronique. Chaque utilisateur reçoit, de manière déterministe selon son user ID, une créature virtuelle (18 espèces, des niveaux de rareté allant du commun à du légendaire, une probabilité de 1% de brillance, et des attributs de type RPG incluant DEBUGGING et SNARK). Les noms des espèces sont encodés via String.fromCharCode(), spécifiquement pour éviter la recherche de texte du système de build.

Ces détails, ainsi que des failles de sécurité très sérieuses, créent un contraste particulier : dans le même dépôt, il y a quelqu’un qui conçoit avec soin des poisons de contre-distillation pour contrer les concurrents ; quelqu’un d’autre qui met en œuvre sérieusement, au niveau client, une preuve de validation de type Zig pour les appels d’API ; et encore quelqu’un pour écrire 187 blagues pour les animations de chargement pendant que « ça réfléchit ».

Voilà le vrai aperçu interne d’une entreprise valorisée à plusieurs centaines de milliards, en train de définir la relation entre les humains et l’IA. Ce n’est ni la collection de génies d’un récit de mythe de la Silicon Valley, ni un simple étiquetage comme « un patchwork ». C’est plutôt une organisation composée de personnes extrêmement intelligentes, qui, en construisant à une vitesse phénoménale des produits extrêmement complexes, finit inévitablement par « se planter » à l’endroit le plus fondamental.

Quand Fortune l’a interrogé, le porte-parole d’Anthropic a répondu : « Il s’agit d’un problème de publication et d’empaquetage causé par des erreurs humaines, et non d’une vulnérabilité de sécurité. »

Techniquement, c’est vrai. Un oubli dans la configuration .npmignore n’est pas une « vulnérabilité de sécurité ». Mais quand tout votre récit commercial repose sur l’idée que « nous nous soucions de la sécurité plus que quiconque », les signaux transmis par des « erreurs humaines » qui s’enchaînent sur deux semaines peuvent être, à leur manière, plus destructeurs que n’importe quelle vulnérabilité de sécurité.

Enfin, précisons un fait : cet article est écrit par Claude. L’IA d’Anthropic, à partir des informations de code divulguées par Anthropic, a rédigé un article analysant pourquoi Anthropic ne parvient pas à se tenir en contrôle sur ses propres informations. Si tu trouves que c’est absurde, c’est que tu as déjà compris l’ambiance de base de l’industrie de l’IA en 2026.

Note : Les remarques ci-dessus sont aussi celles que Cluade lui-même a demandé d’ajouter.