#ClaudeCode500KCodeLeak

1 avril 2026, Anthropic, la société de sécurité en IA derrière la famille de modèles Claude, a accidentellement exposé le code source presque complet de son produit phare pour développeurs, Claude Code. L’incident n’a pas été le résultat d’une cyberattaque, d’un insider malveillant ou d’une intrusion sophistiquée. C’était une erreur d’emballage. Un seul fichier mal placé livré à un registre public, et en quelques heures, le monde de l’IA se retrouvait à analyser plus de 500 000 lignes de code propriétaire.

Comment cela s’est produit

Lorsque Anthropic a publié la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm public, le processus de build a involontairement inclus un fichier de carte source JavaScript de 59,8 mégaoctets, spécifiquement cli.js.map, avec le reste du package. Les fichiers de carte source sont des artefacts de débogage. Ils servent à relier le code bundlé, minifié ou compilé à la source originale lisible par l’humain. Ce sont des outils strictement internes et ne doivent jamais être livrés aux utilisateurs finaux ou apparaître sur des registres publics de packages.

Le problème est que ce fichier de carte source particulier ne pointait pas vers du code obfusqué ou compilé — il faisait référence à des fichiers source TypeScript non obfusqués. Quiconque téléchargeait le package npm et savait comment utiliser les cartes source pouvait reconstruire la base de code TypeScript d’origine sous une forme lisible et entièrement navigable. C’est exactement ce qui s’est produit.

Un chercheur en sécurité affilié à Solayer Labs, postant sous le pseudonyme @Fried_rice sur X, aurait été le premier à identifier et déballer l’exposition. En peu de temps, un dépôt GitHub est apparu, hébergeant ce qui était présenté comme la source reconstruite — environ 512 000 lignes de code TypeScript réparties sur environ 1 900 fichiers. Le dépôt a été forké rapidement avant qu’Anthropic ne puisse réagir.

Ce qui se trouvait réellement à l’intérieur

La fuite n’a pas exposé les poids du modèle sous-jacent de Claude, les données d’entraînement ou les identifiants clients. Anthropic l’a confirmé directement. Mais ce qui a été exposé, c’est probablement la chose la plus sensible suivante : une vue détaillée de l’architecture de Claude Code, de la façon dont il traite l’intention de l’utilisateur, comment il communique avec les modèles, et ce qui se construit en coulisses.

Plusieurs découvertes ont rapidement circulé parmi les développeurs et chercheurs analysant le code.

Des références à des modèles non encore publiés ont été trouvées dans tout le code. Les noms Opus 4.7 et Sonnet 4.8 sont apparus, ainsi que des noms de code internes Capybara et Mythos — ce dernier ayant déjà été partiellement révélé quelques jours plus tôt via un incident séparé où des articles de blog non publiés et de la documentation étaient accidentellement restés accessibles dans un cache de données public. Les noms Mythos et Capybara semblaient faire référence au même modèle à venir, et le code leaké a confirmé que le lancement était en cours de préparation active.

Une fonctionnalité décrite en interne comme ultraplan a été découverte dans le code. Il semble s’agir d’un mode multi-agent asynchrone conçu pour des sessions de recherche prolongées, avec des fenêtres d’achèvement estimées entre dix et trente minutes. L’implication est que Claude Code était en train d’être construit pour coordonner plusieurs instances d’agents sur des tâches longues, une capacité architecturale importante qui n’avait pas été divulguée publiquement.

Il y avait aussi des références à quelque chose appelé Kairos, décrit dans le code comme un agent proactif toujours actif, un processus en arrière-plan pouvant initier des actions sans demande explicite de l’utilisateur. De plus, une fonctionnalité appelée autoDream semblait être un système de consolidation de mémoire, probablement destiné à aider l’agent à conserver le contexte ou à résumer automatiquement l’historique des sessions.

La découverte la plus inattendue était peut-être quelque chose nommé en interne le Buddy System, qui semblait modéliser une forme de comportement de compagnon IA, avec des attributs suivant le chaos et le sarcasme. Que ce soit une vraie fonctionnalité produit ou une expérience interne, cela reste flou, mais cela a attiré une attention considérable en ligne.

Du côté sécurité et télémétrie, le code révélait que Claude Code enregistre certaines expressions utilisateur, y compris des phrases profanes comme wtf et ffs, et les marque comme is_negative dans son pipeline analytique. Plus structurellement significatif, la constatation que les garde-fous de cybersécurité de Claude Code sont implémentés sous forme de chaînes de prompt en texte clair plutôt que par une logique codée en dur, ce qui signifie qu’ils sont en principe remplaçables ou modifiables sans modifications profondes du système. La base de code contenait également plus de 44 drapeaux de fonctionnalités, la plupart cachés de la documentation publique.

Le code montrait aussi que plus de 120 noms d’outils pour développeurs étaient codés en dur pour un traitement spécial dans le produit, suggérant que Claude Code avait été délibérément ajusté pour reconnaître et interagir différemment avec des intégrations spécifiques.

Réactions communautaires et forks

La communauté de développeurs a réagi rapidement. En quelques heures après la mise en ligne du dépôt, plusieurs projets dérivés sont apparus.

Un fork, nommé OpenCode, visait à supprimer les dépendances spécifiques à Claude et à les remplacer par un backend modulaire capable de router les requêtes vers n’importe quel grand modèle de langage, y compris GPT, Llama, et d’autres. L’objectif était d’utiliser les modèles d’architecture de Claude Code tout en rendant le système indépendant du modèle.

Un autre fork, nommé free-code, allait plus loin. Il supprimait la télémétrie, désactivait les couches de sécurité, et activait des fonctionnalités expérimentales. Pour éviter les suppressions DMCA, il était distribué via IPFS plutôt que par une plateforme d’hébergement centralisée.

Les deux forks ont soulevé des questions juridiques immédiates. Le code est une propriété intellectuelle propriétaire. La redistribution et l’utilisation dérivée sans licence constituent une violation du droit d’auteur dans la plupart des juridictions. Certains membres de la communauté ont souligné que même analyser le code en détail pouvait comporter un risque juridique selon les circonstances. Malgré cela, le code a continué à se répandre rapidement.

Contexte et incidents antérieurs

Le timing n’aurait pas pu être pire pour Anthropic. Quelques jours avant l’incident de la carte source, la société avait subi une autre fuite lorsqu’une documentation non publiée et des articles de blog sur le modèle Mythos avaient été accidentellement laissés accessibles dans un cache de données public. Cet incident était embarrassant. Celui-ci était beaucoup plus dommageable en termes de propriété intellectuelle.

Anthropic opère actuellement avec un chiffre d’affaires annuel estimé à 19 milliards de dollars en début 2026, et Claude Code a été cité comme générant environ 2,5 milliards de dollars de revenus récurrents annuels — un chiffre qui aurait plus que doublé au cours des premiers mois de l’année. Le produit est central dans la trajectoire commerciale de l’entreprise.

L’ironie soulignée par plusieurs commentateurs est que le responsable de Claude Code chez Anthropic avait publiquement déclaré fin 2025 que 100 % de ses contributions récentes au produit avaient été écrites par Claude Code lui-même. La communauté suggère que l’erreur d’emballage responsable de l’inclusion du fichier de carte source pourrait résulter de processus automatisés de build fonctionnant sans revue humaine suffisante — autrement dit, un produit en partie façonné par l’IA pourrait avoir été déjoué par la même automatisation. C’est spéculatif et non confirmé, mais la narration a fait mouche.

Une revue de code assistée par IA du code leaké, effectuée selon des rapports avec GPT-5.4 et un modèle Claude de haut niveau, a donné une note de 6,5 sur 10, avec une caractérisation du style spaghetti optimisé sous pression — c’est-à-dire que le code montrait des signes d’optimisation sous contrainte et de patchs itératifs plutôt qu’une conception de base propre.

Réponse d’Anthropic

Un porte-parole d’Anthropic a confirmé l’incident par une brève déclaration : plus tôt aujourd’hui, une version de Claude Code comprenait du code source interne. La société a précisé qu’aucune donnée client ni identifiant n’a été impliqué ou exposé. La version compromise du package npm a été rapidement retirée. Lorsqu’on lui a demandé si la société envisageait d’engager des poursuites légales contre ceux qui avaient publié ou forké les dépôts exposés, Anthropic a refusé de commenter au-delà de sa déclaration initiale.

Au début avril 2026, les notes de version publiques indiquaient toujours la version 2.1.88 comme la dernière version de Claude Code, et la voie de distribution npm était listée dans la documentation comme une voie de compatibilité dépréciée, suggérant que l’entreprise était déjà en train de migrer vers d’autres mécanismes de distribution.

Implications plus larges

Cet incident se situe à l’intersection de plusieurs conversations en cours dans l’industrie de l’IA.

Premièrement, il met en lumière les risques liés à la livraison d’outils de développement IA via des registres de packages publics sans pipelines de build renforcés. L’écosystème npm a une longue histoire d’expositions accidentelles, mais l’ampleur et la sensibilité de cette fuite sont inhabituelles.

Deuxièmement, il soulève des questions sur la façon dont les entreprises d’IA équilibrent rapidité et sécurité. Claude Code a connu une croissance exceptionnelle, et cette vitesse semble avoir contribué à un processus de build qui n’a pas détecté un artefact de débogage inclus dans une version publique.

Troisièmement, la présence de fonctionnalités cachées, de chaînes de sécurité remplaçables, et d’une télémétrie étendue dans le code leaké va probablement intensifier le contrôle sur la façon dont les outils de codage IA gèrent les données utilisateur et comment les mesures de sécurité sont réellement mises en œuvre au niveau technique plutôt qu’au niveau politique.

Quatrièmement, l’émergence de forks visant à supprimer la télémétrie et les couches de sécurité — même si cela soulève des questions légales — montre qu’une fois que des outils IA propriétaires sont exposés à ce niveau, la capacité pratique à contrôler leur utilisation en aval diminue rapidement.

Pour les concurrents, la fuite offre un aperçu rare et détaillé de l’un des produits de codage IA les plus performants et commercialement réussis jamais construits. Pour Anthropic, le travail consiste désormais à non seulement corriger un processus de build, mais aussi à évaluer quel avantage stratégique a été transféré définitivement dans le domaine public.