La fuite du code de Claude d'Anthropic révèle des outils d'agents autonomes et des modèles non publiés, ainsi que le Claude Code.

Anthropic a révélé l’intégralité du code source de Claude Code après qu’un fichier de source map mal configuré a été publié sur npm, offrant un aperçu rare de l’un des produits commerciaux les plus importants de l’entreprise.

Le fichier, regroupé avec la version 2.1.88, contenait près de 60 Mo de documentation interne, dont environ 512 000 lignes de TypeScript sur 1 906 fichiers. Chaofan Shou, un ingénieur logiciel en stage chez Solayer Labs, a d’abord signalé la fuite, qui s’est rapidement propagée sur X et GitHub tandis que des développeurs commençaient à examiner le code.

La divulgation a montré comment Anthropic a construit Claude Code pour rester dans le rythme pendant de longues sessions de développement. L’une des constatations les plus claires était un système de mémoire en trois couches centré sur un fichier léger appelé MEMORY.md, qui stocke de brèves références au lieu d’informations complètes. Des notes de projet plus détaillées sont enregistrées séparément et n’est récupérées que lorsque c’est nécessaire, tandis que l’historique des sessions passées est recherché de manière sélective plutôt que chargé en une seule fois. Le code indique aussi au système de vérifier sa mémoire par rapport au code réel avant d’agir, une conception visant à réduire les erreurs et les hypothèses erronées.

Le code source suggère également qu’Anthropic développe une version plus autonome de Claude Code que celle que les utilisateurs voient actuellement. Une fonctionnalité citée à plusieurs reprises sous le nom KAIROS semble décrire un mode démon (daemon) dans lequel l’agent peut continuer à fonctionner en arrière-plan au lieu d’attendre des sollicitations directes.

Un autre processus, appelé autoDream, semble gérer la consolidation de la mémoire pendant les périodes d’inactivité en réconciliant les contradictions et en convertissant des observations provisoires en faits vérifiés. Les développeurs qui ont examiné le code ont aussi trouvé des dizaines de drapeaux de fonctionnalités cachés, notamment des références à l’automatisation du navigateur via Playwright.

La fuite a également exposé des noms internes de modèles et des données de performance. D’après la source, Capybara désigne une variante de Claude 4.6, Fennec correspond à une version Opus 4.6, et Numbat reste en phase de tests avant lancement.

Des benchmarks internes cités dans le code indiquaient que la dernière version de Capybara présentait un taux de fausses affirmations de 29 % à 30 %, contre 16,7 % lors d’une itération précédente. La source faisait aussi référence à une contrepartie en matière d’assertivité conçue pour empêcher le modèle de devenir trop agressif lors du refactoring du code utilisateur.

L’une des divulgations les plus sensibles concerne une fonctionnalité décrite comme Undercover Mode. L’invite système récupérée suggère que Claude Code pourrait être utilisé pour contribuer à des dépôts open source publics sans révéler qu’une IA a été impliquée. Les instructions indiquent spécifiquement au modèle d’éviter de divulguer des identifiants internes, y compris des noms de code Anthropic, dans des messages de commit ou dans des journaux git publics.

Les documents divulgués ont aussi mis en évidence le moteur de permissions d’Anthropic, la logique d’orchestration pour les workflows multi-agents, des systèmes de validation bash et l’architecture des serveurs MCP, offrant aux concurrents un aperçu détaillé du fonctionnement de Claude Code. La divulgation pourrait aussi donner aux attaquants une feuille de route plus claire pour concevoir des dépôts destinés à exploiter le modèle de confiance de l’agent. Le texte collé indique qu’un développeur avait déjà commencé à réécrire des parties du système en Python et Rust sous le nom Claw Code dans les heures qui ont suivi la fuite.

L’exposition de la source coïncidait avec une attaque distincte de la chaîne d’approvisionnement impliquant des versions malveillantes du paquet npm axios distribuées le 31 mars. Les développeurs qui ont installé ou mis à jour Claude Code via npm pendant cette période auraient pu également récupérer la dépendance compromise, qui, selon les rapports, contenait un cheval de Troie d’accès à distance. Des chercheurs en sécurité ont exhorté les utilisateurs à vérifier leurs fichiers lock, à faire tourner les identifiants, et, dans certains cas, à envisager une réinstallation complète du système d’exploitation sur les machines concernées.

L’incident marque le deuxième cas connu, en environ treize mois, dans lequel Anthropic a exposé des détails techniques internes sensibles, après un épisode antérieur en février 2025 concernant des informations de modèles non publiées.

Après la dernière faille, Anthropic a désigné son installateur binaire autonome comme la méthode privilégiée pour installer Claude Code, car il contourne la chaîne de dépendances npm. Les utilisateurs qui restent sur npm ont été invités à s’en tenir à des versions sûres vérifiées publiées avant le paquet compromis.

                    **Divulgation :** Cet article a été édité par Estefano Gomez. Pour en savoir plus sur la façon dont nous créons et évaluons le contenu, consultez notre Politique éditoriale.