Claude fuite du code source : l'effet papillon déclenché par un fichier .map

Rédigé par : Claude

I. Origine

Dans la nuit du 31 mars 2026, une publication sur X a déclenché une vive onde de choc au sein de la communauté des développeurs.

Chaofan Shou, un stagiaire d’une société de sécurité blockchain, a découvert qu’un fichier de source map était inclus dans le paquet npm officiel d’Anthropic, exposant ainsi l’intégralité du code source de Claude Code au public sur Internet. Il a aussitôt rendu cette découverte publique sur X, en y joignant un lien de téléchargement direct.

Ce billet a explosé au sein de la communauté des développeurs comme une fusée éclairante. En quelques heures, plus de 512 000 lignes de code TypeScript ont été mises en miroir sur GitHub, et des milliers de développeurs les ont analysées en temps réel.

Il s’agit de la deuxième grande fuite d’informations majeure subie par Anthropic en moins d’une semaine.

Juste cinq jours plus tôt (le 26 mars), une erreur de configuration du CMS d’Anthropic a rendu publics près de 3 000 fichiers internes, dont des brouillons d’articles de blog relatifs au modèle « Claude Mythos », qui devait être publié.

II. Comment la fuite s’est-elle produite ?

La cause technique de cet incident est presque risible : la racine du problème est qu’un fichier de source map (.map) a été inclus par erreur dans le paquet npm.

Ces fichiers servent à faire correspondre le code de production compressé et obscurci au code source original, afin de faciliter le repérage des numéros de lignes erronés lors du débogage. Or, dans ce fichier .map, figure un lien pointant vers un paquet zip hébergé dans le bucket de stockage Cloudflare R2 d’Anthropic.

Shou et d’autres développeurs ont simplement téléchargé directement ce paquet zip, sans aucune manœuvre de piratage. Le fichier était là, totalement public.

La version concernée est la v2.1.88 de @anthropic-ai/claude-code, accompagnée d’un fichier de source map JavaScript de 59,8 Mo.

Dans sa réponse à une déclaration de The Register, Anthropic reconnaît : « Une version antérieure de Claude Code avait déjà connu une fuite similaire du code source en février 2025. » Cela signifie que la même erreur s’est produite deux fois en 13 mois.

Ironiquement, Claude Code dispose en interne d’un système appelé « Undercover Mode (mode d’infiltration) », conçu pour empêcher que des codes internes d’Anthropic ne se divulguent accidentellement dans les historiques de commits git… puis les ingénieurs ont empaqueté l’intégralité du code source dans un fichier .map.

Un autre moteur possible de l’incident est l’outil de la chaîne de build lui-même : Anthropic a acquis Bun en fin d’année, et Claude Code est précisément construit sur Bun. Le 11 mars 2026, quelqu’un a soumis un rapport de bug dans le système de suivi des issues de Bun (#28001), indiquant que Bun génère et affiche encore des source maps en mode production, ce qui contredit les affirmations de la documentation officielle. Cet issue est toujours ouvert à ce jour.

À cela, la réponse officielle d’Anthropic est brève et mesurée : « Aucun utilisateur ni aucune donnée ou preuve n’a été impliqué ou divulgué. Il s’agit d’une erreur humaine dans le processus de publication et d’empaquetage, et non d’une faille de sécurité. Nous mettons en œuvre des mesures pour empêcher que ce type d’incident ne se reproduise. »

III. Qu’a-t-on divulgué ?

Taille du code

Le contenu de cette fuite couvre environ 1 900 fichiers et plus de 500 000 lignes de code. Il ne s’agit pas de poids de modèle, mais de la réalisation technique de l’intégralité de la « couche logicielle » de Claude Code : notamment le framework d’appel d’outils, l’orchestration de multi-agents, le système de permissions, le système de mémoire, et d’autres architectures essentielles.

Feuille de route des fonctionnalités non publiées

C’est la partie la plus stratégique de cette fuite.

Processus autonome de garde KAIROS : ce code de fonctionnalité mentionné plus de 150 fois provient du grec ancien « kairos », « le moment opportun ». Il représente un changement fondamental de Claude Code vers un « agent d’arrière-plan permanent ». KAIROS inclut un processus nommé autoDream, qui exécute la « consolidation de la mémoire » lorsque l’utilisateur est inactif : il fusionne des observations fragmentées, élimine les contradictions logiques et transforme des intuitions floues en faits déterministes. Lorsque l’utilisateur revient, le contexte de l’Agent est déjà nettoyé et hautement pertinent.

Codes internes de modèles et données de performance : les contenus divulgués confirment que Capybara est le code interne d’une variante de Claude 4.6, Fennec correspond à Opus 4.6, et Numbat — encore non publié — est toujours en phase de test. Les commentaires du code révèlent également que Capybara a un taux de contre-vérités de 29-30 %, contre 16,7 % pour v4, ce qui constitue une régression.

Mécanisme d’anti-distillation (Anti-Distillation) : le code contient un indicateur de fonctionnalité nommé ANTI_DISTILLATION_CC. Lorsqu’il est activé, Claude Code injecte dans les requêtes d’API des définitions d’outils fictives, dans le but de contaminer les données de trafic d’API que des concurrents pourraient utiliser pour entraîner leurs modèles.

Liste des fonctionnalités bêta d’API : le fichier constants/betas.ts révèle toutes les fonctionnalités bêta d’API que Claude Code négocie avec l’API, y compris une fenêtre de contexte de 1 million de tokens (context-1m-2025-08-07), le mode AFK (afk-mode-2026-01-31), la gestion des budgets de tâches (task-budgets-2026-03-13), et une série d’autres capacités qui n’ont pas encore été rendues publiques.

Système de partenaires virtuels de type Pokémon intégré : le code cache même un système complet de partenaires virtuels (Buddy), incluant les raretés des espèces, des variantes brillantes, des attributs générés de manière procédurale, ainsi qu’une « description de l’âme » rédigée par Claude lors de la première incubation. Les types de partenaires sont déterminés par un générateur pseudo-aléatoire déterministe basé sur le hash de l’ID utilisateur : le même utilisateur obtient toujours le même partenaire.

IV. Une attaque par chaîne d’approvisionnement en parallèle

Cet événement n’est pas isolé. Dans la même fenêtre temporelle que la fuite du code source, le package axios sur npm a fait l’objet d’une attaque indépendante sur la chaîne d’approvisionnement.

Entre 00:21 et 03:29 UTC le 31 mars 2026, si vous installiez ou mettiez à jour Claude Code via npm, vous pouviez involontairement introduire une version malveillante contenant un cheval de Troie d’accès à distance (RAT) (axios 1.14.1 ou 0.30.4).

Anthropic recommande aux développeurs touchés de considérer les hôtes comme entièrement compromis, de faire tourner toutes les clés, puis de réinstaller le système d’exploitation.

Le chevauchement temporel entre ces deux incidents rend la situation encore plus confuse et dangereuse.

V. L’impact sur l’industrie

Dommages directs pour Anthropic

Pour une entreprise dont le revenu annuelisé atteint 19 milliards de dollars et qui est en pleine croissance rapide, cette fuite n’est pas seulement une défaillance de sécurité : c’est une perte de propriété intellectuelle à dimension stratégique.

Au moins une partie des capacités de Claude Code ne provient pas du modèle de grand langage sous-jacent lui-même, mais du « cadre logiciel » construit autour du modèle : il indique au modèle comment utiliser des outils et fournit des garde-fous importants ainsi que des instructions pour encadrer le comportement du modèle.

Ces garde-fous et instructions sont désormais visibles par les concurrents.

Avertissement pour l’écosystème d’outils pour agents IA dans son ensemble

Cette fuite ne fera pas chuter Anthropic, mais elle fournit à tous les concurrents un manuel de génie gratuit : comment construire des agents d’IA de programmation de niveau production, et quelles directions d’outils méritent d’être priorisées.

La véritable valeur de la fuite ne réside pas dans le code lui-même, mais dans la feuille de route produit révélée par les indicateurs de fonctionnalités. KAIROS, le mécanisme d’anti-distillation : ce sont des détails stratégiques que les concurrents peuvent désormais anticiper et auxquels ils peuvent réagir en premier. Le code peut être refactorisé, mais une surprise stratégique une fois divulguée ne peut plus être récupérée.

VI. Enseignements profonds pour le codage d’Agents

Cette fuite est un miroir qui reflète plusieurs thèses centrales de l’ingénierie actuelle des agents IA :

1. Les limites des capacités d’un Agent sont largement déterminées par la « couche cadre », et non par le modèle lui-même

L’exposition des 500 000 lignes de code de Claude Code révèle un fait qui compte pour toute l’industrie : avec le même modèle de base, mais des cadres d’orchestration d’outils, des mécanismes de gestion de la mémoire et des systèmes de permissions différents, on obtient des Agents aux capacités radicalement différentes. Cela signifie que « qui a le modèle le plus performant » n’est plus le seul axe de concurrence : « qui a le cadre d’ingénierie le plus abouti » est tout aussi crucial.

2. L’autonomie à long terme est le prochain champ de bataille central

L’existence du processus de garde KAIROS montre que, pour la prochaine étape, la concurrence de l’industrie se concentrera sur « faire en sorte que l’Agent continue à fonctionner efficacement même sans supervision ». La consolidation de mémoire en arrière-plan, la migration de connaissances entre sessions, le raisonnement autonome en période d’inactivité : une fois ces capacités mûries, elles transformeront profondément le mode fondamental de collaboration entre Agents et humains.

3. L’anti-distillation et la protection des droits de propriété intellectuelle deviendront de nouveaux sujets fondamentaux d’ingénierie IA

Anthropic a implémenté le mécanisme d’anti-distillation au niveau du code, ce qui annonce qu’un nouveau domaine d’ingénierie est en train de se former : comment empêcher que ses propres systèmes d’IA soient utilisés par les concurrents pour collecter des données d’entraînement. Ce n’est pas seulement un problème technique : cela deviendra un nouveau champ de bataille pour des enjeux juridiques et commerciaux.

4. La sécurité de la chaîne d’approvisionnement est le talon d’Achille des outils IA

Quand les outils de programmation IA sont distribués via des gestionnaires de paquets logiciels publics comme npm, ils font face aux mêmes risques que les autres logiciels open source : des attaques sur la chaîne d’approvisionnement. Or, la particularité des outils IA est qu’une fois qu’un backdoor y est implanté, l’attaquant n’obtient pas seulement un droit d’exécution de code : il parvient à une pénétration profonde de l’ensemble du flux de travail de développement.

5. Plus un système est complexe, plus il faut automatiser les gardes de publication

« Une .npmignore mal configurée, ou le champ files dans package.json, peut tout exposer. » Pour toute équipe qui construit un produit d’Agents IA, cette leçon n’a pas besoin d’être apprise à un coût aussi élevé : l’intégration d’un examen automatisé du contenu à publier dans les pipelines CI/CD devrait devenir une pratique standard, plutôt qu’une mesure de rattrapage après coup.

Épilogue

Nous sommes le 1er avril 2026, jour du poisson d’avril. Mais ce n’est pas une blague.

Anthropic a commis deux fois la même erreur en treize mois. Le code source a déjà été mis en miroir à l’échelle mondiale, et les demandes de suppression DMCA ne peuvent pas rattraper la vitesse des forks. Cette feuille de route produit, qui devait rester cachée dans le réseau interne, est maintenant une référence pour tout le monde.

Pour Anthropic, c’est une leçon douloureuse.

Pour toute l’industrie, c’est un moment de transparence inattendu : il nous permet d’observer comment, aujourd’hui, l’agent de programmation IA le plus avancé est construit, ligne par ligne.