Claude Code fuite du code source : l'effet papillon déclenché par un fichier .map

Rédigé par : Claude

I. Origines

Le 31 mars 2026, à l’aube, une publication sur X a provoqué un véritable tollé dans la communauté des développeurs.

Chaofan Shou, un stagiaire d’une entreprise de sécurité blockchain, a découvert qu’un fichier source map était inclus dans le paquet npm officiel d’Anthropic, exposant ainsi l’intégralité du code source de Claude Code au public. Il a alors rendu cette découverte publique sur X, en y joignant un lien de téléchargement direct.

Ce billet a explosé dans la communauté des développeurs comme une fusée éclairante. En quelques heures, plus de 512k lignes de code TypeScript ont été répliquées sur GitHub et analysées en temps réel par des milliers de développeurs.

C’est la deuxième grande fuite d’informations majeures survenue chez Anthropic en moins d’une semaine.

Cinq jours plus tôt, le 26 mars, une erreur de configuration du CMS d’Anthropic a rendu publics près de 3 000 fichiers internes, incluant des brouillons d’articles de blog destinés à être publiés pour le modèle « Claude Mythos ».

II. Comment la fuite s’est-elle produite ?

Les raisons techniques de cet incident prêtent presque à sourire : la cause première est qu’un fichier source map (.map) a été inclus par erreur dans le paquet npm.

Le rôle de ce type de fichier est de faire correspondre le code source de production compressé et obscurci au code source original, afin de faciliter le repérage des numéros de lignes en cas de débogage. Or, dans ce fichier .map, figure un lien pointant vers un paquet zip stocké dans le bucket Cloudflare R2 d’Anthropic.

Shou et d’autres développeurs ont téléchargé directement ce paquet zip, sans aucune méthode de piratage. Le fichier était simplement là, totalement public.

La version concernée est v2.1.88 de @anthropic-ai/claude-code, accompagnée d’un fichier JavaScript source map de 59,8 Mo.

Dans sa réponse à une déclaration de The Register, Anthropic reconnaît : « Une version antérieure de Claude Code a également connu une fuite similaire de code source en février 2025. » Cela signifie que la même erreur s’est produite deux fois en 13 mois.

Ironie du sort : au sein de Claude Code, il existe un système appelé « Undercover Mode (mode d’infiltration) », conçu pour empêcher que des identifiants internes d’Anthropic ne se retrouvent accidentellement divulgués dans l’historique des commits git… puis des ingénieurs ont empaqueté l’ensemble du code source dans un fichier .map.

Un autre facteur déclencheur possible est la chaîne d’outils elle-même : à la fin de l’année, Anthropic a acquis Bun, et Claude Code est justement construit sur Bun. Le 11 mars 2026, quelqu’un a soumis un rapport de bug dans le système de suivi des issues de Bun (#28001), indiquant que Bun génère et affiche encore des source maps en mode production, ce qui contredit la version officielle des documents. Cet issue est encore ouvert à ce jour.

En réponse, le communiqué officiel d’Anthropic est bref et mesuré : « Aucun code utilisateur ni aucune donnée ou clé d’authentification n’a été impliqué ou divulgué. Il s’agit d’une erreur humaine dans le processus de publication et d’emballage, et non d’une faille de sécurité. Nous mettons en place des mesures pour empêcher que ce type d’incident ne se reproduise. »

III. Qu’est-ce qui a été divulgué ?

Échelle du code

Le contenu de cette fuite couvre environ 1 900 fichiers et plus de 500k lignes de code. Ce n’est pas le poids du modèle : il s’agit de la mise en œuvre du « niveau logiciel » entier de Claude Code — y compris le cadre d’appel des outils, l’orchestration multi-agents, le système de permissions, le système de mémoire, ainsi que d’autres architectures clés.

Feuille de route des fonctionnalités non publiées

C’est la partie la plus stratégique de cette fuite.

Processus autonome de protection KAIROS : ce code de fonctionnalité, mentionné plus de 150 fois, provient du grec ancien « le moment opportun ». Il représente un changement fondamental de Claude Code vers un « Agent en arrière-plan permanent ». KAIROS inclut un processus nommé autoDream, qui exécute une « intégration de la mémoire » quand l’utilisateur est inactif — en fusionnant des observations fragmentées, en éliminant des contradictions logiques, et en consolidant des intuitions floues en faits déterministes. Quand l’utilisateur revient, le contexte de l’Agent est déjà nettoyé et hautement pertinent.

Codes internes de modèles et données de performance : le contenu divulgué confirme que Capybara est un identifiant interne de la variante de Claude 4.6, que Fennec correspond à Opus 4.6, et que le Numbat non encore publié est toujours en test. Les commentaires du code révèlent aussi que Capybara a un taux d’énoncés fallacieux de 29–30 %, ce qui est en recul par rapport à v4 (16,7 %).

Mécanisme anti-distillation (Anti-Distillation) : le code contient un indicateur de fonctionnalité nommé ANTI_DISTILLATION_CC. Une fois activé, Claude Code injecte de fausses définitions d’outils dans les requêtes API, dans le but de polluer les données de trafic API que des concurrents pourraient utiliser pour entraîner leurs modèles.

Liste des fonctionnalités bêta de l’API : le fichier constants/betas.ts révèle toutes les fonctionnalités bêta que Claude Code et l’API négocient, y compris une fenêtre de contexte de 1 million de tokens (context-1m-2025-08-07), le mode AFK (afk-mode-2026-01-31), la gestion des budgets de tâches (task-budgets-2026-03-13), et une série d’autres capacités qui n’ont pas encore été dévoilées.

Système de partenaires virtuels de type « Pokémon », intégré : le code cache même un système complet de partenaires virtuels (Buddy), incluant la rareté des espèces, des variantes brillantes, des attributs générés de manière procédurale, ainsi que des « descriptions d’âme » rédigées par Claude lors de la première incubation. Les types de partenaires sont déterminés par un générateur pseudo-aléatoire déterministe fondé sur le hachage de l’ID utilisateur : un même utilisateur obtient toujours le même partenaire.

IV. Attaques de chaîne d’approvisionnement en parallèle

Cet événement n’est pas isolé. Dans la même fenêtre temporelle que la fuite du code source, le paquet axios sur npm a subi une attaque de chaîne d’approvisionnement distincte.

Entre 00:21 et 03:29 UTC le 31 mars 2026, si l’on installait ou mettait à jour Claude Code via npm, il était possible d’introduire involontairement une version malveillante contenant un cheval de Troie d’accès à distance (RAT) (axios 1.14.1 ou 0.30.4).

Anthropic recommande aux développeurs touchés de considérer l’hôte comme entièrement compromis, de faire une rotation de toutes les clés, puis de réinstaller le système d’exploitation.

Le chevauchement temporel entre ces deux incidents rend la situation encore plus confuse et dangereuse.

V. L’impact sur l’industrie

Dommages directs pour Anthropic

Pour une entreprise réalisant un chiffre d’affaires annuel annualisé de 19 milliards de dollars, en pleine croissance rapide, cette fuite n’est pas seulement une négligence de sécurité : c’est une perte stratégique de propriété intellectuelle.

Une partie au moins des capacités de Claude Code ne provient pas directement du modèle de langage de base lui-même, mais de « l’architecture-cadre » logicielle construite autour du modèle — elle indique au modèle comment utiliser des outils, tout en fournissant des garde-fous et des instructions essentiels pour encadrer le comportement du modèle.

Ces garde-fous et instructions sont désormais visibles noir sur blanc par les concurrents.

Alerte pour l’écosystème des outils d’AI Agent dans son ensemble

Cette fuite ne coulera pas Anthropic, mais elle fournit à tous les concurrents un manuel d’ingénierie gratuit : comment construire des Agents de programmation IA de niveau production, et quelles orientations d’outils valent un investissement prioritaire.

La véritable valeur de la fuite ne réside pas dans le code lui-même, mais dans la feuille de route produit révélée par les indicateurs de fonctionnalités. KAIROS, le mécanisme anti-distillation : ce sont des détails stratégiques que les concurrents peuvent désormais anticiper et auxquels ils peuvent réagir en avance. Le code peut être refactorisé, mais une surprise stratégique une fois divulguée ne peut plus être récupérée.

VI. Enseignements approfondis pour la programmation d’Agents

Cette fuite est un miroir qui reflète plusieurs thèses centrales de l’ingénierie actuelle des AI Agents :

1. Les limites des capacités d’un Agent sont déterminées en grande partie par la « couche-cadre », et non par le modèle lui-même

La divulgation de 500k lignes de code de Claude Code révèle un fait significatif pour toute l’industrie : le même modèle de base, associé à différents cadres d’orchestration d’outils, à des mécanismes de gestion de la mémoire et à des systèmes de permissions, produit des capacités d’Agent radicalement différentes. Cela signifie que « qui a le modèle le plus puissant » n’est plus la dimension de compétition unique — « qui a une ingénierie de cadre plus raffinée » devient tout aussi crucial.

2. L’autonomie à long terme constitue le prochain champ de bataille central

L’existence du processus de garde KAIROS montre que la prochaine étape de la compétition industrielle se concentrera sur « faire en sorte que l’Agent continue à fonctionner efficacement même sans supervision humaine ». L’intégration de la mémoire en arrière-plan, la migration de connaissances entre sessions, la déduction autonome pendant les périodes d’inactivité — une fois ces capacités mûries, elles changeront complètement le mode de collaboration de base entre Agent et humains.

3. Anti-distillation et protection de la propriété intellectuelle deviendront de nouveaux sujets fondamentaux en ingénierie IA

En mettant en œuvre un mécanisme anti-distillation au niveau du code, Anthropic annonce un nouveau domaine d’ingénierie en formation : comment empêcher les systèmes IA propres d’être utilisés par les concurrents pour collecter des données d’entraînement. Ce n’est pas uniquement un problème technique : cela évoluera en un nouveau champ de bataille fait de lois et de duels commerciaux.

4. La sécurité de la chaîne d’approvisionnement est le talon d’Achille des outils d’IA

Lorsque les outils de programmation IA eux-mêmes sont distribués via des gestionnaires de paquets logiciels publics comme npm, ils font face aux mêmes risques d’attaques sur la chaîne d’approvisionnement que les autres logiciels open source. La particularité des outils IA est que, une fois qu’un backdoor y est implanté, l’attaquant ne récupère pas seulement un droit d’exécution de code : il obtient une pénétration profonde de l’ensemble du flux de travail de développement.

5. Plus un système est complexe, plus il faut des gardes de publication automatisés

« Un .npmignore mal configuré ou le champ files dans package.json peut exposer tout. » Pour toute équipe qui construit un produit d’AI Agent, cette leçon n’exige pas un coût aussi élevé pour être apprise : l’introduction d’une revue automatisée des contenus publiés dans les pipelines CI/CD devrait devenir une pratique standard, plutôt qu’une mesure de rattrapage après avoir tiré les leçons dans la douleur.

Épilogue

Nous sommes le 1er avril 2026, la fête des fous. Mais ce n’est pas une blague.

Anthropic a commis la même erreur deux fois en treize mois. Le code source a déjà été répliqué dans le monde entier, et les requêtes de suppression DMCA ne peuvent pas rattraper la vitesse des forks. La feuille de route produit, censée rester enfouie dans un réseau interne, est désormais une référence pour tout le monde.

Pour Anthropic, c’est une leçon douloureuse.

Pour l’ensemble de l’industrie, c’est un moment de transparence imprévu — qui nous permet d’observer comment les AI Agents de programmation IA les plus avancés du moment sont construits, ligne après ligne.