Claude Code fuite du code source : l'effet papillon déclenché par un fichier .map

Rédigé par : Claude

I. Origines

Dans la nuit du 31 mars 2026, un tweet a provoqué un véritable tollé au sein de la communauté des développeurs.

Chaofan Shou, un stagiaire d’une société de sécurité blockchain, a découvert qu’un fichier de source map était inclus dans le package npm officiel d’Anthropic, exposant ainsi l’intégralité du code source de Claude Code au grand public. Il a aussitôt publié cette découverte sur X, en y joignant un lien de téléchargement direct.

Ce post a explosé dans la communauté des développeurs comme un feu d’artifice. En quelques heures, plus de 512k lignes de code TypeScript ont été mises en miroir sur GitHub et analysées en temps réel par des milliers de développeurs.

Il s’agit de la deuxième grande affaire de fuite d’informations majeures survenue chez Anthropic en moins d’une semaine.

Juste cinq jours plus tôt (le 26 mars), une erreur de configuration d’un CMS d’Anthropic avait rendu publics près de 3 000 fichiers internes, dont des brouillons d’articles de blog destinés à la prochaine publication du modèle « Claude Mythos ».

II. Comment la fuite s’est-elle produite ?

La cause technique de l’incident est presque risible : la raison profonde était qu’un fichier de source map (.map) avait été inclus par erreur dans le package npm.

Ces fichiers servent à renvoyer le code de production compressé et obscurci vers le code source original, afin de faciliter le repérage des numéros de lignes erronés lors du débogage. Or, dans ce fichier .map, figure un lien pointant vers un archive compressé stocké dans le propre bucket Cloudflare R2 d’Anthropic.

Shou et d’autres développeurs ont directement téléchargé ce fichier zip, sans aucune manœuvre de piratage. Le fichier était simplement là, entièrement accessible au public.

La version concernée était la v2.1.88 de @anthropic-ai/claude-code, accompagnée d’un fichier source map JavaScript de 59,8 Mo.

Dans sa réponse à une déclaration de The Register, Anthropic reconnaît : « Une version antérieure de Claude Code a également connu une fuite similaire de code source en février 2025. » Cela signifie que la même erreur s’est produite deux fois en 13 mois.

Ironiquement, Claude Code comporte un système appelé « Undercover Mode (mode d’infiltration) », conçu pour empêcher que les codes internes d’Anthropic ne se retrouvent accidentellement révélés dans les historiques de commits git… puis des ingénieurs ont empaqueté l’intégralité du code source dans un fichier .map.

Un autre facteur possible de l’incident pourrait être l’outil lui-même : Anthropic a acquis Bun en fin d’année, et Claude Code est précisément construit sur Bun. Le 11 mars 2026, quelqu’un a soumis un rapport de bug dans le système de suivi des issues de Bun (#28001), indiquant que Bun générait encore et affichait des source maps en mode production, contrairement à ce qu’affirme la documentation officielle. Cet issue reste ouvert à ce jour.

À cela, la réponse officielle d’Anthropic, brève et mesurée : « Aucun client ni aucune donnée ou information d’identification n’a été concerné ou divulgué. Il s’agit d’une erreur humaine dans un processus de publication/emballage, pas d’une vulnérabilité de sécurité. Nous mettons en œuvre des mesures pour empêcher que ce type d’incident ne se reproduise. »

III. Qu’est-ce qui a été divulgué ?

Taille du code

Le contenu de cette fuite couvre environ 1 900 fichiers et plus de 500k lignes de code. Ce n’est pas le poids du modèle, mais l’ensemble de la « couche logicielle » de Claude Code : l’implémentation d’ingénierie du produit, comprenant notamment le framework d’appels d’outils, l’orchestration multi-agents, le système de permissions, le système de mémoire, et d’autres architectures clés.

Feuille de route de fonctionnalités non publiées

C’est la partie la plus stratégique de cette fuite.

Processus de garde autonome KAIROS : ce code de fonctionnalité, mentionné plus de 150 fois, vient du grec ancien « le moment opportun » ; il représente un changement fondamental de Claude Code vers un « Agent en arrière-plan permanent ». KAIROS inclut un processus nommé autoDream, qui exécute une « intégration de la mémoire » quand l’utilisateur est inactif : fusionner des observations fragmentées, éliminer des contradictions logiques, et transformer des intuitions floues en faits déterministes. Quand l’utilisateur revient, le contexte de l’Agent est déjà nettoyé et hautement pertinent.

Codes internes des modèles et données de performance : le contenu divulgué confirme que Capybara est le code interne d’une variante de Claude 4.6, tandis que Fennec correspond à Opus 4.6 ; et le Numbat, qui n’a pas encore été publié, est toujours en phase de test. Les commentaires du code révèlent également que Capybara v8 présente un taux de 29 à 30 % d’énoncés faux, contre 16,7 % pour v4, soit un recul.

Mécanisme anti-distillation (Anti-Distillation) : le code contient un indicateur de fonctionnalité appelé ANTI_DISTILLATION_CC. Une fois activé, Claude Code injecte de fausses définitions d’outils dans les requêtes d’API, dans le but de polluer les données de trafic d’API que les concurrents pourraient utiliser pour entraîner leurs modèles.

Liste des fonctionnalités bêta de l’API : le fichier constants/betas.ts révèle toutes les fonctionnalités bêta que Claude Code et l’API négocient, y compris une fenêtre de contexte de 1 million de tokens (context-1m-2025-08-07), le mode AFK (afk-mode-2026-01-31), la gestion du budget des tâches (task-budgets-2026-03-13), ainsi qu’une série d’autres capacités non encore rendues publiques.

Système de partenaires virtuels de type Pokémon intégré : le code contient même un système complet de partenaires virtuels (Buddy), incluant la rareté des espèces, des variantes brillantes, des attributs générés de manière procédurale, ainsi qu’une « description de l’âme » rédigée par Claude lors de la première éclosion. Les types de partenaires sont déterminés par un générateur pseudo-aléatoire déterministe basé sur le hash de l’ID utilisateur : un même utilisateur reçoit toujours le même partenaire.

IV. Attaques de chaîne d’approvisionnement en concurrence

Cet incident n’a pas été isolé. Pendant la même fenêtre temporelle que la fuite du code source, le package axios sur npm a fait l’objet d’une attaque indépendante sur la chaîne d’approvisionnement.

Entre 00:21 et 03:29 UTC le 31 mars 2026, si vous avez installé ou mis à jour Claude Code via npm, vous auriez pu, sans le vouloir, introduire une version malveillante contenant un Trojan d’accès à distance (RAT) (axios 1.14.1 ou 0.30.4).

Anthropic recommande aux développeurs affectés de considérer l’hôte comme entièrement compromis, de faire tourner toutes les clés, puis de réinstaller le système d’exploitation.

Le chevauchement temporel de ces deux événements rend la situation encore plus confuse et dangereuse.

V. Impacts pour l’industrie

Dommages directs pour Anthropic

Pour une entreprise avec un chiffre d’affaires annuel annualisé de 19 milliards de dollars, en pleine période de croissance rapide, cette fuite n’est pas seulement une négligence en matière de sécurité : c’est une hémorragie stratégique de propriété intellectuelle.

Au moins une partie des capacités de Claude Code ne provient pas du modèle de langage grande taille sous-jacent lui-même, mais du « cadre » logiciel construit autour du modèle : il indique comment le modèle doit utiliser des outils et fournit des garde-fous importants ainsi que des instructions pour encadrer le comportement du modèle.

Ces garde-fous et ces instructions sont désormais clairement visibles par les concurrents.

Alerte pour l’ensemble de l’écosystème des outils d’AI Agent

Cette fuite ne va pas abattre Anthropic, mais elle fournit gratuitement à tous les concurrents un manuel d’ingénierie : comment construire des Agents de programmation IA prêts pour la production, et quelles directions d’outils méritent un investissement prioritaire.

La véritable valeur de la fuite ne réside pas dans le code lui-même, mais dans la feuille de route produit révélée par les indicateurs de fonctionnalités. KAIROS, mécanisme anti-distillation : ce sont des détails stratégiques que les concurrents peuvent désormais prévoir et auxquels ils peuvent réagir en avance. Le code peut être refondu, mais une surprise stratégique une fois divulguée, elle ne se récupère pas.

VI. Enseignements profonds pour le codage d’Agent

Cette fuite est un miroir qui reflète plusieurs thèses centrales de l’ingénierie actuelle des AI Agents :

1. Les limites des capacités d’un Agent sont, dans une large mesure, déterminées par la « couche de framework », plus que par le modèle lui-même

La divulgation de 500k lignes de code de Claude Code révèle une réalité qui compte pour l’ensemble de l’industrie : le même modèle sous-jacent, associé à différents cadres d’orchestration d’outils, des mécanismes de gestion de la mémoire et des systèmes de permissions, produira des capacités d’Agent radicalement différentes. Cela signifie que « qui a le modèle le plus puissant » n’est plus le seul axe de compétition : « qui a une ingénierie de framework plus raffinée » devient tout aussi crucial.

2. L’autonomie de longue portée est le prochain champ de bataille clé

L’existence du processus de garde KAIROS montre que la prochaine étape de la concurrence du secteur se concentrera sur « faire en sorte que l’Agent continue à travailler efficacement sans supervision humaine ». L’intégration de la mémoire en arrière-plan, la migration des connaissances entre sessions, la réflexion autonome quand l’utilisateur est inactif : une fois ces capacités mûries, elles transformeront en profondeur le mode de collaboration de base entre les Agents et les humains.

3. Anti-distillation et protection de la propriété intellectuelle deviendront une nouvelle matière fondamentale de l’ingénierie IA

Anthropic implémente le mécanisme anti-distillation au niveau du code, ce qui indique qu’un nouveau domaine d’ingénierie se forme : comment empêcher que ses propres systèmes d’IA soient utilisés par des concurrents pour la collecte de données d’entraînement. Ce n’est pas seulement un problème technique ; cela évoluera aussi en un nouveau terrain de bataille juridique et commercial.

4. La sécurité de la chaîne d’approvisionnement est le talon d’Achille des outils d’IA

Quand les outils de programmation IA eux-mêmes sont distribués via des gestionnaires de paquets logiciels publics comme npm, ils se retrouvent, comme tout autre logiciel open source, exposés aux risques d’attaques sur la chaîne d’approvisionnement. Et la particularité des outils d’IA réside dans le fait qu’une fois une porte dérobée implantée, l’attaquant n’obtient pas seulement le droit d’exécuter du code : il obtient une pénétration profonde de l’ensemble du flux de travail de développement.

5. Plus un système est complexe, plus il a besoin de gardiens de publication automatisés

« Un .npmignore mal configuré ou le champ files dans package.json peut tout exposer. » Pour toute équipe qui construit des produits d’AI Agent, cette leçon n’a pas besoin d’un coût aussi élevé pour être apprise : l’introduction dans le pipeline CI/CD d’une revue automatisée du contenu publié devrait devenir une pratique standard, plutôt qu’un simple recours après coup pour colmater une brèche.

Épilogue

Nous sommes le 1er avril 2026, jour de la fête des fous. Mais ce n’est pas une blague.

Anthropic a commis la même erreur deux fois en treize mois. Le code source a déjà été mis en miroir partout dans le monde, et les requêtes de suppression DMCA ne peuvent pas suivre la vitesse des forks. La feuille de route produit qui devait rester dissimulée dans un réseau interne est désormais la référence de tous.

Pour Anthropic, c’est une leçon douloureuse.

Pour l’ensemble de l’industrie, c’est un moment inattendu de transparence : un moment qui nous permet d’observer exactement comment les AI Agents de programmation IA les plus avancés d’aujourd’hui sont construits, ligne par ligne.