La fuite du code de Claude d'Anthropic révèle des outils d'agents autonomes et des modèles non publiés, ainsi que le Claude Code.

Anthropic a exposé le code source complet de Claude Code après qu’un fichier de source map mal configuré a été publié sur npm, offrant un aperçu rare de l’un des produits commerciaux les plus importants de l’entreprise.

Le fichier, regroupé avec la version 2.1.88, contenait près de 60 mégaoctets de matériel interne, y compris environ 512 000 lignes de TypeScript sur 1 906 fichiers. Chaofan Shou, un ingénieur logiciel stagiaire chez Solayer Labs, a d’abord signalé la fuite, qui s’est rapidement propagée sur X et GitHub tandis que des développeurs commençaient à examiner la base de code.

La divulgation a montré comment Anthropic a construit Claude Code pour rester dans le bon rythme pendant de longues sessions de codage. L’une des conclusions les plus claires était un système de mémoire en trois couches centré sur un fichier léger appelé MEMORY.md, qui stocke de courtes références plutôt que des informations complètes. Des notes de projet plus détaillées sont enregistrées séparément et n’est importées que lorsque c’est nécessaire, tandis que l’historique des sessions passées est recherché de manière sélective plutôt que chargé en une seule fois. Le code indique aussi au système de vérifier sa mémoire par rapport au code réel avant d’agir, un choix de conception destiné à réduire les erreurs et les hypothèses erronées.

La source suggère également qu’Anthropic développe une version plus autonome de Claude Code que celle que les utilisateurs voient actuellement. Une fonctionnalité citée à plusieurs reprises sous le nom KAIROS semble décrire un mode démon (daemon) dans lequel l’agent peut continuer à fonctionner en arrière-plan plutôt que d’attendre des sollicitations directes.

Un autre processus, appelé autoDream, semble gérer la consolidation de la mémoire pendant les périodes d’inactivité en réconciliant les contradictions et en convertissant des observations provisoires en faits vérifiés. Les développeurs qui ont examiné le code ont aussi découvert des dizaines de drapeaux de fonctionnalités cachés, y compris des références à l’automatisation du navigateur via Playwright.

La fuite a également révélé des noms de modèles internes et des données de performance. D’après la source, Capybara désigne une variante de Claude 4.6, Fennec correspond à une version d’Opus 4.6, et Numbat reste en phase de test avant lancement.

Des benchmarks internes cités dans le code ont montré que la version la plus récente de Capybara affiche un taux de fausses affirmations de 29% à 30%, contre 16,7% lors d’une itération précédente. La source a aussi mentionné un contrepoids à l’assertivité conçu pour empêcher le modèle de devenir trop agressif lors du refactoring du code utilisateur.

L’une des divulgations les plus sensibles concernait une fonctionnalité décrite comme Undercover Mode. Le prompt système récupéré suggère que Claude Code pourrait être utilisé pour contribuer à des dépôts publics open source sans révéler qu’une IA a été impliquée. Les instructions indiquent spécifiquement au modèle d’éviter de divulguer des identifiants internes, y compris les noms de code d’Anthropic, dans des messages de commit ou des journaux git publics.

Les documents divulgués ont aussi mis au jour le moteur de permissions d’Anthropic, la logique d’orchestration pour des flux de travail multi-agents, des systèmes de validation bash et l’architecture du serveur MCP, offrant aux concurrents un aperçu détaillé de la manière dont Claude Code fonctionne. La divulgation pourrait aussi donner aux attaquants une feuille de route plus claire pour créer des dépôts conçus pour exploiter le modèle de confiance de l’agent. Le texte collé indique qu’un développeur avait déjà commencé à réécrire des parties du système en Python et Rust sous le nom Claw Code dans les heures qui ont suivi la fuite.

L’exposition de la source a coïncidé avec une attaque distincte sur la chaîne d’approvisionnement impliquant des versions malveillantes du paquet npm axios distribuées le 31 mars. Les développeurs qui ont installé ou mis à jour Claude Code via npm au cours de cette période ont aussi pu télécharger la dépendance compromise, qui, selon les rapports, contenait un cheval de Troie d’accès à distance. Des chercheurs en sécurité ont exhorté les utilisateurs à vérifier leurs fichiers de verrouillage (lockfiles), à faire tourner les identifiants, et, dans certains cas, à envisager une réinstallation complète du système d’exploitation sur les machines concernées.

L’incident marque le deuxième cas connu, sur environ treize mois, dans lequel Anthropic a exposé des détails techniques internes sensibles, après un épisode précédent en février 2025 impliquant des informations de modèles non publiées.

Après la dernière brèche, Anthropic a désigné son installateur binaire autonome comme la méthode préférée pour installer Claude Code, car il contourne la chaîne de dépendances npm. Les utilisateurs qui restent sur npm ont été invités à « pinner » vers des versions sûres vérifiées publiées avant le paquet compromis.

                    **Divulgation :** Cet article a été édité par Estefano Gomez. Pour plus d’informations sur la façon dont nous créons et examinons le contenu, consultez notre Politique éditoriale.