Claude Code fuite du code source : l'effet papillon déclenché par un fichier .map

Rédaction : Claude

I. Origine

Dans la nuit du 31 mars 2026, une publication sur X a déclenché une énorme onde de choc dans la communauté des développeurs.

Chaofan Shou, un stagiaire d’une entreprise de sécurité blockchain, a découvert qu’un paquet npm officiel d’Anthropic contenait un fichier de source map, exposant ainsi l’intégralité du code source de Claude Code au grand public. Il a aussitôt rendu cette découverte publique sur X, en y joignant un lien direct de téléchargement.

Ce message a explosé dans la communauté des développeurs comme une fusée éclairante. En quelques heures, plus de 512k lignes de code TypeScript ont été mises en miroir sur GitHub, et des milliers de développeurs les ont analysées en temps réel.

Il s’agit de la deuxième grande affaire de fuite d’informations chez Anthropic en moins d’une semaine.

Cinq jours plus tôt (le 26 mars), une erreur de configuration CMS d’Anthropic avait entraîné la publication d’environ 3 000 fichiers internes, dont un billet de blog en brouillon pour le modèle « Claude Mythos », destiné à être publié.

II. Comment la fuite s’est-elle produite ?

La cause technique de cet incident est presque risible — la raison fondamentale est qu’un fichier de source map (.map) a été inclus par erreur dans le paquet npm.

Le rôle de ce type de fichier est de renvoyer le code de production compressé et obfusqué vers le code source original, afin de faciliter le repérage des numéros de ligne lors du débogage. Or, dans ce fichier .map, figure un lien pointant vers un paquet zip stocké dans le propre compartiment Cloudflare R2 d’Anthropic.

Shou et d’autres développeurs ont téléchargé directement ce paquet zip, sans aucune méthode de piratage. Le fichier était simplement là, totalement accessible publiquement.

La version en cause est la v2.1.88 de @anthropic-ai/claude-code, qui inclut un fichier de source map JavaScript de 59,8 Mo.

Dans sa réponse à la déclaration de The Register, Anthropic reconnaît : « Une version antérieure de Claude Code a également connu une fuite similaire de code source en février 2025. » Cela signifie que la même erreur s’est produite deux fois en 13 mois.

Ironiquement, Claude Code dispose en interne d’un système appelé « Undercover Mode (mode d’infiltration) », conçu précisément pour empêcher que les codes internes d’Anthropic ne soient exposés par inadvertance dans l’historique des commits git… puis les ingénieurs ont empaqueté l’intégralité du code source dans un fichier .map.

Un autre facteur possible de l’accident pourrait être l’outillage lui-même : à la fin de l’année, Anthropic a racheté Bun, et Claude Code est précisément construit sur Bun. Le 11 mars 2026, quelqu’un a soumis un rapport de bug dans le système de suivi des issues de Bun (#28001), indiquant que Bun génère et affiche toujours des source maps en mode production, ce qui contredit l’affirmation de la documentation officielle. Cet issue reste ouvert à ce jour.

À cela, la réponse officielle d’Anthropic est brève et mesurée : « Aucun des données utilisateur ou des identifiants n’a été concerné ou divulgué. Il s’agit d’une erreur humaine dans le processus de publication et d’empaquetage, et non d’une vulnérabilité de sécurité. Nous mettons en œuvre des mesures pour empêcher que de tels incidents se reproduisent. »

III. Qu’est-ce qui a été divulgué ?

Taille du code

Le contenu divulgué couvre environ 1 900 fichiers, et plus de 500k lignes de code. Ce n’est pas des poids de modèle : il s’agit de l’implémentation d’« couche logicielle » complète de Claude Code — comprenant le framework d’appel d’outils, l’orchestration multi-agents, le système de permissions, le système de mémoire, ainsi que d’autres architectures centrales.

Feuille de route des fonctionnalités non publiées

C’est la partie la plus précieuse sur le plan stratégique de cette fuite.

Processus de garde autonome KAIROS : le code d’assignation de cette fonctionnalité, mentionné plus de 150 fois, provient du grec ancien « kairos », signifiant le « moment opportun ». Il représente un changement fondamental de Claude Code vers un « Agent en arrière-plan permanent ». KAIROS inclut un processus nommé autoDream, qui exécute la « consolidation de la mémoire » lorsque l’utilisateur est inactif — en fusionnant des observations fragmentées, en éliminant les contradictions logiques et en transformant des intuitions floues en faits déterministes. Lorsque l’utilisateur revient, le contexte de l’Agent est déjà nettoyé et hautement pertinent.

Codes d’assignation internes de modèles et données de performance : le contenu divulgué confirme que Capybara est un code d’assignation interne d’une variante de Claude 4.6, Fennec correspond à Opus 4.6, tandis que Numbat, non encore publié, est toujours en phase de test. Les commentaires du code révèlent en outre que Capybara v8 affiche un taux de fausses déclarations de 29 à 30 %, ce qui constitue une régression par rapport à 16,7 % pour v4.

Mécanisme anti-distillation (Anti-Distillation) : le code contient un indicateur de fonctionnalité nommé ANTI_DISTILLATION_CC. Une fois activé, Claude Code injecte de fausses définitions d’outils dans les requêtes API, dans le but de polluer les données de trafic API que les concurrents pourraient utiliser pour entraîner leurs modèles.

Liste des fonctionnalités Beta d’API : le fichier constants/betas.ts révèle toutes les fonctionnalités beta que Claude Code négocie avec l’API, notamment une fenêtre de contexte de 1 million de tokens (context-1m-2025-08-07), le mode AFK (afk-mode-2026-01-31), la gestion de budget de tâches (task-budgets-2026-03-13), et un ensemble d’autres capacités qui n’ont pas encore été rendues publiques.

Système de partenaires virtuels de type Pokémon intégré : le code cache même un système complet de partenaires virtuels (Buddy), incluant la rareté des espèces, des variantes brillantes, des attributs générés de manière procédurale, ainsi que des « descriptions d’âme » rédigées par Claude lors de la première incubation. Les types de partenaires sont déterminés par un générateur de pseudo-aléatoire déterministe basé sur le hachage de l’ID utilisateur : le même utilisateur reçoit toujours le même partenaire.

IV. Une attaque par chaîne d’approvisionnement en parallèle

Cet événement ne s’est pas produit isolément. Dans la même fenêtre temporelle que la fuite du code source, le paquet axios sur npm a subi une attaque par chaîne d’approvisionnement distincte.

Entre 00:21 et 03:29 UTC le 31 mars 2026, si vous installiez ou mettiez à jour Claude Code via npm, vous auriez pu — sans le vouloir — introduire une version malveillante contenant un cheval de Troie d’accès à distance (RAT) (axios 1.14.1 ou 0.30.4).

Anthropic recommande aux développeurs touchés de considérer l’hôte comme entièrement compromis, de faire une rotation de toutes les clés, puis de réinstaller le système d’exploitation.

Le chevauchement temporel entre ces deux incidents rend la situation encore plus confuse et dangereuse.

V. L’impact sur l’industrie

Dommages directs pour Anthropic

Pour une entreprise avec un chiffre d’affaires annualisé de 19 milliards de dollars, en pleine phase de croissance rapide, cette fuite n’est pas seulement une défaillance de sécurité : c’est une perte de propriété intellectuelle à dimension stratégique.

Au moins une partie des capacités de Claude Code ne provient pas du modèle de langage grand public sous-jacent lui-même, mais d’un « cadre » logiciel construit autour du modèle — il indique comment le modèle utilise des outils, et fournit des garde-fous et des instructions importants pour encadrer le comportement du modèle.

Ces garde-fous et instructions sont désormais visibles très clairement par les concurrents.

Avertissement pour tout l’écosystème d’outils d’AI Agent

Cette fuite ne va pas couler Anthropic, mais elle offre à tous les concurrents un manuel d’ingénierie gratuit — comment construire des Agents de programmation IA prêts pour la production, et quelles orientations d’outils valent un investissement prioritaire.

La vraie valeur de ce qui a été divulgué ne réside pas dans le code lui-même, mais dans la feuille de route produit révélée par les indicateurs de fonctionnalités. KAIROS, le mécanisme anti-distillation — ce sont des détails stratégiques que les concurrents peuvent désormais anticiper et à partir desquels ils peuvent réagir en avance. Le code peut être refondu, mais une surprise stratégique une fois divulguée ne peut plus être récupérée.

VI. Enseignements profonds pour le coding d’Agent

Cette fuite est un miroir qui met en évidence plusieurs thèses essentielles de l’ingénierie actuelle des AI Agents :

1. Les limites des capacités d’un Agent sont, dans une large mesure, déterminées par la « couche de cadre », et non par le modèle lui-même

L’exposition de 500k lignes de code de Claude Code révèle un fait significatif pour l’ensemble de l’industrie : le même modèle de base, associé à différents cadres d’orchestration d’outils, mécanismes de gestion de mémoire et systèmes de permissions, produit des capacités d’Agent radicalement différentes. Cela signifie que « qui a le modèle le plus puissant » n’est plus le seul axe de concurrence — « qui a une ingénierie de cadre plus raffinée » est tout aussi crucial.

2. L’autonomie à long terme est le prochain champ de bataille central

L’existence du processus de garde KAIROS montre que la prochaine étape de la concurrence dans l’industrie se concentrera sur « permettre à l’Agent de continuer à fonctionner efficacement sans supervision humaine ». La consolidation de mémoire en arrière-plan, la migration des connaissances entre sessions, la réflexion autonome en période d’inactivité — une fois ces capacités mûries, elles transformeront entièrement le mode fondamental de collaboration entre les Agents et les humains.

3. Anti-distillation et protection de la propriété intellectuelle deviendront de nouveaux sujets fondamentaux pour l’ingénierie IA

Anthropic a mis en œuvre un mécanisme anti-distillation au niveau du code, ce qui laisse présager qu’un nouveau domaine d’ingénierie est en train de se former : comment empêcher ses propres systèmes d’IA d’être utilisés par des concurrents pour collecter des données d’entraînement. Ce n’est pas seulement un problème technique : cela évoluera aussi vers un nouveau champ de bataille pour le droit et la stratégie commerciale.

4. La sécurité de la chaîne d’approvisionnement est le talon d’Achille des outils d’IA

Lorsque les outils de programmation IA eux-mêmes sont distribués via des gestionnaires de paquets logiciels publics comme npm, ils font face au même risque d’attaques par chaîne d’approvisionnement que les autres logiciels open source. La spécificité des outils d’IA réside toutefois dans le fait qu’une fois qu’ils ont été intégrés avec un backdoor, l’attaquant n’obtient pas seulement le droit d’exécuter du code : il parvient à une pénétration en profondeur de tout le flux de travail de développement.

5. Plus un système est complexe, plus il faut des gardes automatisés lors de la publication

« Un .npmignore mal configuré, ou le champ files dans package.json, peuvent tout exposer. » Pour toute équipe qui construit un produit d’AI Agent, cette leçon n’a pas besoin d’être apprise à un coût aussi élevé — l’intégration dans la chaîne CI/CD d’une revue automatisée du contenu publié doit devenir une pratique standard, plutôt qu’une mesure de rattrapage après avoir laissé un problème se produire.

Épilogue

Nous sommes le 1er avril 2026, le jour des farces. Mais ce n’est pas une blague.

Anthropic a commis la même erreur deux fois en treize mois. Le code source a déjà été mis en miroir à l’échelle mondiale, et les requêtes de suppression DMCA ne peuvent pas rattraper la vitesse des forks. Cette feuille de route produit, qui aurait dû rester dissimulée dans le réseau interne, est désormais une référence pour tout le monde.

Pour Anthropic, c’est une leçon douloureuse.

Pour l’ensemble de l’industrie, c’est un moment de transparence inattendu — il nous permet d’observer comment, exactement, les AI Agents de programmation IA les plus avancés du moment sont construits, ligne par ligne.