Fuite épique : 51,2 millions de lignes de code source Claude Code open-sourcées

Auteur : Yang Chen, sur la scène de Wall Street (华尔街见闻)

Anthropic a été confronté à un incident de fuite de code à une échelle qu’on peut qualifier de la plus grande dans l’industrie. Le code source complet de Claude Code a été exposé au grand jour à la suite d’une erreur élémentaire côté emballage (plus de 510 000 lignes de code TypeScript, plus de 40 modules d’outils, ainsi que plusieurs fonctionnalités centrales non encore publiées, le tout “à poil” face aux développeurs du monde entier).

C’est à la fois un accident et un avertissement. Bien que la fuite n’ait pas touché les poids du modèle central de Claude ni les données des utilisateurs, elle a entièrement révélé la logique d’architecture interne de Claude Code, la conception des instructions système (“system prompts”) et le mécanisme d’appel des outils, tout en mettant également au grand public plusieurs fonctionnalités non encore publiées et des logiques de sécurité potentielles.

Des professionnels estiment que cet événement va comprimer de manière substantielle le seuil de connaissance pour l’ingénierie des AI Agents, accélérant ainsi l’évolution de la concurrence dans tout l’écosystème développeur.

Il est toutefois à noter que ce n’est pas la première fois qu’Anthropic commet ce type d’erreur. En février 2025, une version antérieure de Claude Code avait déjà été exposée en raison d’une négligence du même type concernant les source maps ; cette nouvelle fuite a davantage déclenché des doutes du public sur la maturité de la sécurité de la chaîne d’approvisionnement logicielle de cette star de l’IA dont la valorisation dépasse 18 milliards de dollars.

Un fichier .map qui déclenche 510 000 lignes de code

Le chercheur de la société de sécurité blockchain Fuzzland, Chaofan Shou, a d’abord révélé l’affaire sur X. Dans le paquet logiciel officiel npm d’Anthropic, @anthropic-ai/claude-code, version 2.1.88, un fichier cli.js.map d’environ 60MB s’est retrouvé par erreur dans le contenu publié.

Dans le fichier cli.js.map, on trouve deux tableaux clés : sources (liste des chemins de fichiers) et sourcesContent (contenu complet des sources correspondantes). Les deux tableaux sont indexés l’un sur l’autre. Cela signifie que quiconque n’a qu’à télécharger ce fichier JSON pour extraire intégralement tout le code source original, avec un niveau d’accès extrêmement faible.

D’après l’analyse, ce fichier source map contient au total le contenu de 4756 fichiers source, dont 1906 sont des fichiers source TypeScript/TSX propres à Claude Code, et les 2850 autres proviennent de dépendances node_modules. L’ensemble représente plus de 512 000 lignes de code.

Dans les quelques heures suivant la révélation de l’incident, le nombre d’étoiles des dépôts miroirs sur GitHub a rapidement dépassé 5000. Anthropic a retiré cette source map du paquet npm. Cependant, les premières versions du paquet npm ont été archivées par plusieurs parties, et le contenu correspondant continue de circuler dans la communauté des développeurs.

Le panorama de l’architecture exposé pour la première fois

Le code source reconstitué fournit au public la vue la plus complète à ce jour de l’architecture de Claude Code.

Le code montre que Claude Code construit l’interface terminal à l’aide de React et du framework Ink, s’exécute sur l’exécution Bun, et repose sur une boucle REPL au cœur, qui prend en charge l’entrée en langage naturel et les commandes au format slash. En dessous, il interagit avec l’API LLM via un système d’outils.

Côté couche d’outils, le code comprend plus de 40 modules indépendants, couvrant les opérations de lecture/écriture de fichiers, l’exécution de commandes Bash, l’intégration du protocole LSP et la génération de capacités pour des sous-agents. Cela forme une “boîte à outils universelle” complète en termes de fonctionnalités.

Au niveau de l’inférence, un fichier central nommé QueryEngine.ts compte jusqu’à 46 000 lignes de code. Il prend en charge l’ensemble du traitement de la logique d’inférence, le comptage des tokens et la boucle de “chaîne de pensée”.

Au niveau multi-agents, dans la fuite on retrouve les modules coordinator (coordinateur multi-agents) et bridge ; ce dernier est chargé de relier VS Code et des IDE grand public tels que JetBrains, montrant ainsi que Claude Code a déjà des capacités d’ingénierie en matière de collaboration multi-machines et d’intégration poussée dans des environnements de développement.

Des fonctionnalités non publiées apparaissent par surprise

Dans cette fuite, la partie la plus suivie concerne peut-être plusieurs fonctionnalités jamais rendues publiques.

Le mode dont le code est nommé Kairos est la pièce la plus marquante. Le code indique qu’il s’agit d’un processus autonome de garde doté d’une durée de vie persistante, prenant en charge des sessions en arrière-plan et une intégration de la mémoire. Cela signifie que Claude peut fonctionner comme un agent IA en arrière-plan, en continu pour traiter les tâches et accumuler sa compréhension du projet.

Une autre série de système d’animaux électroniques, appelée “Buddy System”, est intégrée dans le code. Elle comprend 18 espèces, des niveaux de rareté, des variantes brillantes et des statistiques d’attributs — cette conception semble manifestement venir de la facétie d’ingénieurs d’Anthropic, au même titre que l’architecture cœur, dans le dépôt.

Au niveau de la conception des modes, le code révèle aussi “Coordinator Mode” (mode coordinateur), permettant à Claude de planifier l’exécution en parallèle des agents sous-jacents, ainsi que “Auto Mode”, un classificateur IA capable d’approuver automatiquement les permissions des outils, visant à simplifier les étapes de confirmation des actions.

Par ailleurs, une fonctionnalité nommée “Undercover Mode” (mode d’infiltration) a suscité des controverses — d’après la description du code, lorsque des employés d’Anthropic effectuent des opérations dans des dépôts publics, ce mode s’activerait automatiquement, effacerait les traces liées à l’IA dans l’historique des soumissions, et ne pourrait pas être désactivé manuellement.

Risques de sécurité et avertissement sur la chaîne d’approvisionnement

Des chercheurs en sécurité indiquent que, même si cette fuite ne concerne pas directement les poids du modèle ni des données de confidentialité des utilisateurs, les risques potentiels ne doivent pas être ignorés.

Selon des informations, le contenu divulgué expose entièrement la logique de sécurité interne, et pourrait révéler des vecteurs d’attaque tels que la falsification de requêtes côté serveur (SSRF). Cela offrira des points d’entrée pour des recherches de sécurité ultérieures. La communauté open source a déjà commencé à explorer des versions fork basées sur le code divulgué et à les combiner avec d’autres frameworks d’agents.

D’un point de vue du contexte industriel, npm est le plus grand dépôt de packages JavaScript au monde, traitant des millions de téléchargements par jour. De tels incidents d’empaquetage suggèrent que, tout en visant des cadences de publication rapides, les entreprises doivent renforcer les mécanismes de contrôle des fichiers sources dans les pipelines CI/CD.

L’avertissement direct pour tous les développeurs qui publient des packages npm est le suivant : avant la publication, vérifiez impérativement si les fichiers .map sont inclus dans les livrables. Un champ sourcesContent, une seule ligne, suffit à rendre tout le code source public.

Un tournant d’accélération pour l’écosystème des agents ?

En examinant l’impact sur l’industrie, la signification de cet événement pourrait dépasser de loin le simple incident technique.

La solution d’implémentation d’ingénierie complète pour les meilleurs AI Agents a été divulguée par surprise, ce qui réduira considérablement la barrière de connaissances dans ce domaine. Les développeurs peuvent apprendre et s’inspirer directement de la conception d’architecture de Claude Code, de la logique des prompts et du mécanisme d’appel des outils, ce qui réduit la durée d’exploration nécessaire pour un développement indépendant.

Parallèlement, cet événement confirme aussi par surprise les acquis techniques d’Anthropic dans l’orientation “Agent engineering” — que ce soit les mécanismes de coordination multi-agents ou la conception de processus de garde persistants en arrière-plan, tout montre une profondeur d’ingénierie allant au-delà de celle des produits comparables.

Claude Code, en tant qu’outil d’extension de l’écosystème d’Anthropic, s’adresse principalement aux développeurs professionnels et fait concurrence à des assistants de codage IA comme GitHub Copilot et Cursor. Le fait de rendre public le code source peut-il, dans un contexte où la pression concurrentielle s’intensifie, accélérer en retour l’innovation collective des architectures d’AI Agents au sein de l’industrie ? Le secteur observe de près sa réponse à venir.