Fuite du code source d’Anthropic 2026 : l’interface en ligne de commande Claude Code exposée via une erreur de source map npm

Anthropic a accidentellement expédié l’intégralité du code source de son CLI Claude Code dans un package npm public, exposant environ 512 000 lignes de Typescript à quiconque y prête attention.

La fuite npm de Claude Code révèle des fonctionnalités non publiées, dont KAIROS, BUDDY et les essaims d’agents

La société a confirmé l’incident le 31 mars 2026, s’exprimant auprès de Venture Beat, et l’a attribué à une erreur humaine dans le processus d’empaquetage de la mise en ligne. La version 2.1.88 de @anthropic-ai/claude-code a été publiée avec un fichier de source map Javascript de 59,8 Mo. En gros, un artefact de débogage qui rétablissait le code de production minifié jusqu’au Typescript d’origine, lequel renvoyait directement à une archive zip accessible publiquement située sur le propre stockage Cloudflare R2 d’Anthropic.

Personne n’a eu besoin de pirater quoi que ce soit. Le fichier était simplement là.

Le chercheur en sécurité Chaofan Shou, un stagiaire dans le cabinet de sécurité blockchain Fuzzland, a repéré le problème et a publié le lien direct du bucket sur X. En l’espace de quelques heures, des dépôts miroirs sont apparus sur Github, certains accumulant des dizaines de milliers d’étoiles avant que les takedowns DMCA de Claude Code par Anthropic ne tombent. Des membres de la communauté avaient déjà commencé à supprimer la télémétrie, à désactiver des indicateurs de fonctionnalités cachés, et à rédiger des réimplementations en environnement clean-room en Python et Rust pour contourner les préoccupations liées au droit d’auteur.

La cause première était simple : le bundler de Bun génère des source maps par défaut, et aucune étape de build n’a exclu ou désactivé l’artefact de débogage avant la publication. Une entrée manquante dans .npmignore ou le champ files dans package.json aurait empêché tout cela.

Ce que les développeurs ont trouvé était détaillé. Les ~1 900 fichiers Typescript couvraient la logique d’exécution des outils, les schémas de permissions, les systèmes de mémoire, la télémétrie, les invites système et les indicateurs de fonctionnalités — une vue complète de l’ingénierie sur la façon dont Anthropic construit un outil de codage agentique prêt pour la production. La télémétrie scanne les invites à la recherche de grossièretés comme signal de frustration, mais ne consigne pas des conversations utilisateur complètes ni du code. Un « mode undercover » demande à l’IA de supprimer les références aux noms de code internes et aux détails du projet des commits git et des pull requests.

Plusieurs fonctionnalités non publiées étaient derrière des indicateurs. KAIROS est décrit comme un daemon d’arrière-plan toujours actif qui surveille les fichiers, journalise les événements et exécute un processus de consolidation de mémoire « dreaming » pendant les périodes d’inactivité. BUDDY est un animal de terminal avec 18 espèces — dont un capybara — portant des statistiques telles que DEBUGGING, PATIENCE et CHAOS. ULTRAPLAN planifie des sessions de planification multi-agents à distance de 10 à 30 minutes. COORDINATOR MODE permet à un seul agent d’engendrer et de gérer des agents workers en parallèle.

Anthropic a indiqué à Venture Beat que l’incident ne concernait aucune donnée client sensible, aucune identité de connexion, et aucune compromission des poids du modèle ni de l’infrastructure d’inférence. « C’était un problème d’empaquetage de mise en ligne causé par une erreur humaine », a déclaré l’entreprise, ajoutant qu’elle déploie des mesures pour empêcher une répétition.

Ces mesures devront peut-être aller vite. C’est la deuxième fois que la même erreur se produit. Une fuite de source map presque identique s’est produite avec une version antérieure de Claude Code en février 2025.

L’incident du 31 mars est aussi survenu en même temps qu’une attaque distincte de la chaîne d’approvisionnement npm visant le package axios, active entre 00:21 et 03:29 UTC. Les développeurs qui ont installé ou mis à jour Claude Code via npm pendant cette fenêtre sont invités à auditer leurs dépendances et à faire tourner leurs identifiants. Anthropic recommande son installateur natif plutôt que npm à l’avenir.

Le contexte compte ici. Cinq jours plus tôt, le 26 mars, une mauvaise configuration d’un CMS chez Anthropic avait exposé environ 3 000 fichiers internes couvrant des détails sur le modèle non publié « Claude Mythos », là encore attribué à une erreur humaine. Deux divulgations accidentelles significatives en moins d’une semaine soulèvent des questions sur l’hygiène de publication dans une entreprise dont les outils sont activement utilisés pour écrire et expédier du code à grande échelle.

Le code source divulgué reste disponible sous des formes archivées et miroirs malgré l’application active des retraits. Anthropic n’a pas publié de post-mortem plus large ni de déclaration publique au-delà de son commentaire à Venture Beat.

Aucune donnée utilisateur n’a été exposée. Les modèles de base Claude ne sont pas affectés. Le plan pour construire un concurrent de Claude Code est toutefois désormais considérablement plus facile à assembler.

FAQ 🔎

• Q: La fuite du code source de Claude Code était-elle un piratage ? Non — Anthropic a confirmé que l’exposition résultait d’une erreur d’empaquetage, et non d’une violation de sécurité ni d’un accès non autorisé.
• Q: Qu’est-ce qui a réellement été exposé dans la fuite npm d’Anthropic ? Environ 512 000 lignes de TypeScript couvrant le CLI de Claude Code, y compris la télémétrie, les indicateurs de fonctionnalités, les fonctionnalités cachées et l’architecture d’agents — pas les poids de modèle ni les données clients.
• Q: Mes données sont-elles en danger à cause de l’incident npm de Claude Code ? Anthropic affirme que non : aucune donnée utilisateur ni aucun identifiant n’ont été exposés ; les développeurs qui ont installé via npm pendant la fenêtre d’attaque de la chaîne d’approvisionnement axios en parallèle devraient auditer leurs dépendances et faire tourner les identifiants.
• Q: Anthropic a-t-il déjà divulgué du code source ? Oui — une fuite de source-map presque identique impliquant une version antérieure de Claude Code s’est produite en février 2025, ce qui fait de ce nouvel incident le deuxième en environ 13 mois.