La fuite du code de Claude d'Anthropic révèle des outils d'agents autonomes et des modèles non publiés, ainsi que le Claude Code.

Anthropic a exposé l’intégralité du code source de Claude Code après qu’un fichier de source map mal configuré a été publié sur npm, offrant un aperçu rare de l’un des produits commerciaux les plus importants de l’entreprise.

Le fichier, regroupé avec la version 2.1.88, contenait près de 60 mégaoctets de matériel interne, incluant environ 512 000 lignes de TypeScript sur 1 906 fichiers. Chaofan Shou, un ingénieur logiciel en stage chez Solayer Labs, a d’abord signalé la fuite, qui s’est rapidement propagée sur X et GitHub pendant que des développeurs se mettaient à examiner la base de code.

La divulgation a montré comment Anthropic a construit Claude Code pour rester dans le tempo lors de longues sessions de codage. L’une des constatations les plus claires concernait un système de mémoire en trois couches centré sur un fichier léger appelé MEMORY.md, qui stocke des références courtes au lieu d’informations complètes. Des notes de projet plus détaillées sont enregistrées séparément et intégrées uniquement quand c’est nécessaire, tandis que l’historique des sessions passées est recherché de façon sélective plutôt que chargé en une seule fois. Le code indique aussi au système de vérifier sa mémoire par rapport au code réel avant d’agir, une conception visant à réduire les erreurs et les hypothèses erronées.

Le source suggère également qu’Anthropic développe une version plus autonome de Claude Code que celle que les utilisateurs voient actuellement. Une fonctionnalité citée à plusieurs reprises sous le nom KAIROS semble décrire un mode démon (daemon) dans lequel l’agent peut continuer à fonctionner en arrière-plan au lieu d’attendre des invites directes.

Un autre processus, appelé autoDream, semble gérer la consolidation de la mémoire pendant les périodes d’inactivité en réconciliant les contradictions et en convertissant des observations provisoires en faits vérifiés. Les développeurs qui examinaient aussi le code ont trouvé des dizaines de drapeaux de fonctionnalités cachés, y compris des références à l’automatisation du navigateur via Playwright.

La fuite a également exposé des noms de modèles internes et des données de performance. D’après le source, Capybara fait référence à une variante de Claude 4.6, Fennec correspond à une version Opus 4.6, et Numbat reste en tests avant lancement.

Les benchmarks internes cités dans le code ont montré la dernière version de Capybara avec un taux de fausses affirmations de 29 % à 30 %, contre 16,7 % dans une itération précédente. Le source mentionne aussi un contrepoids de fermeté (assertiveness) conçu pour empêcher le modèle de devenir trop agressif lors du refactoring du code utilisateur.

L’une des divulgations les plus sensibles concernait une fonctionnalité décrite comme Undercover Mode. L’invite système récupérée suggère que Claude Code pourrait être utilisé pour contribuer à des dépôts open source publics sans révéler que de l’IA était impliquée. Les instructions indiquent spécifiquement au modèle d’éviter de divulguer des identifiants internes, y compris des noms de code d’Anthropic, dans les messages de commit ou les journaux git publics.

Les éléments divulgués ont aussi exposé le moteur de permissions d’Anthropic, la logique d’orchestration pour les workflows multi-agents, les systèmes de validation bash, et l’architecture du serveur MCP, donnant aux concurrents un aperçu détaillé du fonctionnement de Claude Code. La divulgation pourrait aussi fournir aux attaquants une feuille de route plus claire pour créer des dépôts conçus pour exploiter le modèle de confiance de l’agent. Le texte collé indique qu’un développeur avait déjà commencé à réécrire des parties du système en Python et Rust sous le nom Claw Code dans les heures qui ont suivi la fuite.

L’exposition de la source coïncidait avec une attaque distincte sur la chaîne d’approvisionnement impliquant des versions malveillantes du package axios npm distribuées le 31 mars. Les développeurs ayant installé ou mis à jour Claude Code via npm pendant cette période ont peut-être aussi importé la dépendance compromise, qui, selon les rapports, contenait un cheval de Troie d’accès à distance. Des chercheurs en sécurité ont exhorté les utilisateurs à vérifier leurs lockfiles, à faire tourner (rotate) leurs identifiants, et, dans certains cas, à envisager une réinstallation complète du système d’exploitation sur les machines concernées.

L’incident marque le deuxième cas connu, en environ treize mois, au cours desquels Anthropic a exposé des détails techniques internes sensibles, après un épisode antérieur en février 2025 impliquant des informations sur un modèle non publié.

Après la dernière brèche, Anthropic a désigné son installateur binaire autonome comme la méthode préférée pour installer Claude Code, car il contourne la chaîne de dépendances npm. Les utilisateurs qui restent sur npm ont été invités à épingler des versions sûres vérifiées publiées avant le package compromis.

                    **Divulgation :** Cet article a été édité par Estefano Gomez. Pour en savoir plus sur notre façon de créer et d’évaluer le contenu, consultez notre politique éditoriale.