Claude Code a été divulgué par une erreur humaine ayant entraîné la fuite du code source. L’éditeur officiel a confirmé qu’il s’agissait d’un problème d’emballage. Des développeurs sud-coréens l’ont réécrit très vite en version open source en Python, puis ont aspiré 50 000 étoiles sur GitHub en seulement deux heures, établissant un nouveau record.
Fuite soudaine du code source de Claude Code : que s’est-il passé ?
L’outil d’écriture de code par IA Claude Code, très populaire au sein de la branche d’Anthropic, a connu récemment un incident de fuite accidentelle du code source au cours des 24 dernières heures : des développeurs sud-coréens ont rapidement « réimplanté » et réécrit une version en Python, puis l’ont mise en open source ; et elle est devenue, sur GitHub, le projet ayant atteint le plus vite les 50 000 étoiles.
Pourquoi le code source de Claude Code a-t-il été divulgué ? D’après les retours de Kuberwastaken, ainsi que ceux publiés par le magazine Fortune, la cause racine tient à une mauvaise configuration pendant le processus de publication du logiciel. Cette fuite du code source de Claude Code a exposé environ 1 900 fichiers, pour un total atteignant jusqu’à 500 000 lignes de code.
Les développeurs expliquent que, lorsqu’un ingénieur publie un paquet de logiciel en JavaScript ou TypeScript sur le registre d’npm, les outils de build génèrent généralement automatiquement un fichier correspondant au code source (.map). Ces fichiers servent principalement de passerelle : ils permettent aux développeurs, lorsqu’ils subissent des plantages avec le code de production compressé une fois déployé, de remonter jusqu’aux lignes exactes du fichier source d’origine.
Mais le processus de publication d’Anthropic n’a pas exclu ces fichiers de correspondance, ce qui a eu pour effet d’intégrer le code source complet de Claude Code comme une chaîne de caractères dans des fichiers au format JSON. En termes simples : en exécutant une commande de téléchargement, n’importe qui peut facilement obtenir l’intégralité du code, y compris les constantes internes, les invites système et toutes les annotations.
Source des images : Kuberwastaken/GitHub Fuite accidentelle du code source de Claude Code
Roy Paz, chercheur senior en sécurité de l’IA chez LayerX Security, avait d’abord indiqué que cela ressemblait à une erreur humaine, et qu’il semblerait que quelqu’un, pendant la publication, ait contourné les mécanismes de vérification de sécurité habituels ; cependant, Anthropic a ensuite nié la version selon laquelle des mécanismes de sécurité auraient été contournés.
Les développeurs sud-coréens lancent en un temps record la version réécrite « Claw Code »
Moins d’une journée après l’explosion de l’incident de fuite du code source de Claude Code, le développeur sud-coréen Sigrid Jin (instructkr) a publié sur GitHub une toute nouvelle version entièrement écrite en langage Python : « Claw Code ».
Sigrid Jin affirme que la « Claw Code » réécrite reproduit parfaitement le modèle d’architecture du cadre d’agents de Claude Code, et indique avoir adopté une mise en œuvre de type chambre blanche (net room design), afin de garantir qu’aucun code source propriétaire d’Anthropic n’a été copié.
Dès la publication du projet, la communauté mondiale des développeurs s’est emballée : en seulement 2 heures, il a dépassé 50 000 étoiles, devenant le projet open source le plus rapide de l’histoire à atteindre ce cap.
Source des images : Sigrid Jin (instructkr) Les développeurs sud-coréens « réimplantent » rapidement et réécrivent en version Python « Claw Code » puis l’ouvrent au public : le projet qui obtient le plus vite 50 000 étoiles sur GitHub.
Par ailleurs, Sigrid Jin a ajouté qu’à l’heure actuelle, un travail de migration de la version en langage Rust était en cours sur la branche dev/rust, avec une fusion prévue dès aujourd’hui vers la branche principale.
Il souligne que la version implémentée en Rust fournit un environnement d’exécution de cadre plus rapide, doté de caractéristiques de sécurité mémoire ; à l’avenir, cela deviendra également la version finale retenue pour ce projet.
Le Claw Code migré utilise des outils de workflow pour faciliter le développement
Sigrid Jin a aussi, sur la page GitHub, fait un retour sur le processus de développement : à l’époque, la nouvelle de la fuite du code source de Claude Code a plongé toute la communauté des développeurs dans une frénésie. À ce moment-là, sa petite amie sud-coréenne était très inquiète : de savoir s’il risquait, en téléchargeant sur son ordinateur et en enregistrant le code source divulgué, de se retrouver face à des poursuites judiciaires d’Anthropic.
Sous cette pression, il a décidé de s’asseoir immédiatement et de migrer les fonctions essentielles vers Python, du début, puis d’avoir poussé le code avant le lever du soleil.
Ce processus de développement en mode accéléré s’appuie entièrement sur un outil de workflow construit par un autre développeur, Yeachan Heo, à savoir oh-my-codex, pour assurer une collaboration de bout en bout.
Sigrid Jin utilise le mode équipe de cet outil pour effectuer, en parallèle, des revues de code, et pour lancer un cycle de vérification continu via un schéma spécifique, et a finalement réussi à produire une version Python disposant d’une base de tests.
Lors d’une interview accordée auparavant au « Wall Street Journal », Sigrid Jin a révélé qu’il était lui-même un utilisateur intensif d’outils d’IA : l’an dernier, il aurait consommé jusqu’à 25 milliards de tokens de Claude Code rien qu’à titre personnel.
Anthropic confirme la fuite, mais ne répond pas à savoir si les actes du public sont illégaux
Concernant l’incident de fuite du code source de Claude Code, un porte-parole d’Anthropic a confirmé au média technologique « The Register » qu’une version publiée de Claude Code contenait bien une partie du code source interne ; tout en soulignant qu’aucune donnée client ni aucun identifiant n’a été impliqué ou divulgué dans cet incident.
Le porte-parole a indiqué qu’il s’agissait d’un problème d’emballage lors de la publication causé par une erreur humaine, sans qu’aucune faille de cybersécurité n’ait été exploitée par des hackers ; pour l’instant, l’entreprise déploie des mesures associées afin d’éviter que des situations similaires ne se reproduisent.
Toutefois, à l’heure actuelle sur GitHub, « sauvegarder » le code source de Claude Code, ou bien le réécrire dans d’autres langages de programmation, est-ce que cela pourrait déclencher des controverses liées à la propriété intellectuelle ? Lorsque les médias demandent à Anthropic si la société exigerait des utilisateurs qu’ils suppriment les dépôts GitHub concernés, l’entreprise n’a pas fourni de commentaires supplémentaires, au-delà de la déclaration officielle.
Lecture complémentaire :
Des utilisateurs de cybersécurité « à nu » chez un grand fabricant de drones chinois ? Il a fait de l’ingénierie inverse avec Claude et a obtenu le contrôle des équipements du monde entier
