Claude Code fuite du code source : l'effet papillon déclenché par un fichier .map

Rédigé par : Claude

I. Origine

Dans la nuit du 31 mars 2026, une publication sur X a déclenché une véritable tempête dans la communauté des développeurs.

Chaofan Shou, un stagiaire d’une société de sécurité blockchain, a découvert qu’un fichier source map était inclus dans le package npm officiel d’Anthropic, exposant ainsi l’intégralité du code source de Claude Code au grand public. Il a alors rendu cette découverte publique sur X, en y joignant un lien direct de téléchargement.

Ce billet a explosé dans la communauté des développeurs comme un signal lumineux. En quelques heures, plus de 512k lignes de code TypeScript ont été mises en miroir sur GitHub, et des milliers de développeurs les ont analysées en temps réel.

C’est le deuxième incident majeur de divulgation d’informations survenu chez Anthropic en moins d’une semaine.

Juste cinq jours plus tôt (le 26 mars), une erreur de configuration CMS chez Anthropic avait rendu publics près de 3 000 fichiers internes, dont des brouillons d’articles de blog pour le modèle « Claude Mythos » qui devait être publié.

II. Comment la fuite s’est-elle produite ?

La cause technique de cet incident est à la fois absurde et révélatrice — la cause profonde est qu’un fichier source map (.map) a été inclus par erreur dans le package npm.

Le but de ce type de fichier est de faire correspondre le code source compressé et obscurci de production au code source original, afin de faciliter le repérage des numéros de lignes d’erreur lors du débogage. Or, dans ce fichier .map, figure un lien pointant vers un paquet compressé zip stocké dans le propre bucket de stockage Cloudflare R2 d’Anthropic.

Shou et d’autres développeurs ont téléchargé directement ce paquet zip, sans aucune méthode de piratage. Le fichier était simplement là, entièrement public.

La version concernée est v2.1.88 de @anthropic-ai/claude-code, qui inclut un fichier de JavaScript source map de 59,8 Mo.

Dans sa réponse à une déclaration de The Register, Anthropic reconnaît : « Une version antérieure de Claude Code a également connu une fuite similaire de code source en février 2025. » Cela signifie que la même erreur s’est produite deux fois en 13 mois.

Ironiquement, Claude Code contient un système appelé « Undercover Mode (mode infiltration) », conçu pour empêcher que les codes internes d’Anthropic ne se retrouvent accidentellement divulgués dans l’historique des commits git… puis les ingénieurs ont empaqueté l’intégralité du code source dans un fichier .map.

Un autre moteur possible de l’incident est l’outil lui-même : Anthropic a acquis Bun en fin d’année, et Claude Code est précisément construit à partir de Bun. Le 11 mars 2026, quelqu’un a soumis un rapport de bug dans le système de suivi des issues de Bun (#28001), indiquant que Bun générait et affichait encore des source maps en mode production, ce qui contredit la version officielle de la documentation. Cette issue reste ouverte à ce jour.

À cela, la réponse officielle d’Anthropic est brève et contenue : « Aucun n’a été impliqué ou divulgué : données ou identifiants d’utilisateurs. C’est une erreur humaine dans un processus d’empaquetage lors de la publication, ce n’est pas une vulnérabilité de sécurité. Nous mettons en place des mesures afin d’éviter que de tels incidents ne se reproduisent. »

III. Qu’est-ce qui a été divulgué ?

Taille du code

Le contenu de cette fuite couvre environ 1 900 fichiers et plus de 500k lignes de code. Ce n’est pas des poids de modèle, mais l’ensemble de la « couche logicielle » de Claude Code — l’implémentation d’ingénierie complète, incluant le framework d’appel d’outils, l’orchestration multi-agents, le système de permissions, le système de mémoire, et d’autres éléments d’architecture essentiels.

Feuille de route des fonctionnalités non publiées

C’est la partie la plus précieuse sur le plan stratégique de cette fuite.

Processus de garde autonome KAIROS : ce code de fonctionnalité, mentionné plus de 150 fois, provient de l’expression grecque ancienne « le bon moment », et représente le changement fondamental vers « l’agent en arrière-plan permanent ». KAIROS inclut un processus nommé autoDream, qui exécute une « intégration de la mémoire » lorsque l’utilisateur est inactif — en fusionnant des observations fragmentées, en éliminant des contradictions logiques, et en consolidant des intuitions floues en faits déterministes. Lorsque l’utilisateur revient, le contexte de l’Agent est déjà nettoyé et hautement pertinent.

Codes internes du modèle et données de performance : le contenu divulgué confirme que Capybara est le code interne d’une variante de Claude 4.6, Fennec correspond à Opus 4.6, tandis que Numbat, encore non publié, est toujours en phase de test. Les commentaires du code révèlent aussi que Capybara a un taux de 29-30 % d’énoncés faux, contre 16,7 % pour v4, ce qui représente une régression.

Mécanisme d’anti-distillation (Anti-Distillation) : le code contient un indicateur de fonctionnalité nommé ANTI_DISTILLATION_CC. Une fois activé, Claude Code injecte de fausses définitions d’outils dans les requêtes d’API, dans le but de polluer les données de trafic d’API que les concurrents pourraient utiliser pour entraîner leurs modèles.

Liste des fonctionnalités bêta de l’API : le fichier constants/betas.ts révèle toutes les fonctionnalités bêta que Claude Code négocie avec l’API, y compris une fenêtre de contexte de 1 million de tokens (context-1m-2025-08-07), le mode AFK (afk-mode-2026-01-31), la gestion du budget de tâche (task-budgets-2026-03-13) et toute une série de capacités qui n’ont pas encore été rendues publiques.

Un système de partenaires virtuels de type Pokémon intégré : le code renferme même une suite complète de système de partenaires (Buddy), comprenant des raretés d’espèces, des variantes brillantes, des attributs générés de manière procédurale, ainsi que des « descriptions d’âme » rédigées par Claude lors de la première incubation. Les types de partenaires sont déterminés par un générateur pseudo-aléatoire déterministe basé sur le hachage de l’ID utilisateur : le même utilisateur obtient toujours le même partenaire.

IV. Une attaque concurrente de la chaîne d’approvisionnement

Cet incident n’est pas isolé. Dans la même fenêtre temporelle que la fuite du code source, le paquet axios sur npm a subi une attaque indépendante de la chaîne d’approvisionnement.

Entre 00 h 21 et 03 h 29 UTC le 31 mars 2026, si vous installiez ou mettiez à jour Claude Code via npm, vous pourriez involontairement introduire une version malveillante contenant un cheval de Troie d’accès à distance (RAT) (axios 1.14.1 ou 0.30.4).

Anthropic conseille aux développeurs concernés de considérer l’hôte comme totalement compromis, de faire tourner (rotater) toutes les clés, puis de réinstaller le système d’exploitation.

Le chevauchement temporel de ces deux incidents rend la situation encore plus confuse et dangereuse.

V. Impact pour l’industrie

Dommage direct pour Anthropic

Pour une entreprise dont le chiffre d’affaires annualisé s’élève à 19 milliards de dollars et qui est en phase de croissance rapide, cette fuite ne constitue pas seulement une défaillance de sécurité : c’est une perte de propriété intellectuelle à dimension stratégique.

Au moins une partie des capacités de Claude Code ne provient pas du grand modèle de langage de base lui-même, mais du « cadre » logiciel construit autour du modèle — il indique comment le modèle doit utiliser des outils, et fournit des garde-fous et des instructions essentiels pour encadrer le comportement du modèle.

Ces garde-fous et ces instructions sont désormais visibles, clairement, par les concurrents.

Avertissement pour tout l’écosystème des outils d’AI Agent

Cette fuite ne fera pas s’effondrer Anthropic, mais elle fournit à tous les concurrents un manuel d’ingénierie gratuit : comment construire des agents d’IA de programmation de niveau production, et quelles orientations d’outils méritent un investissement prioritaire.

La vraie valeur du contenu divulgué ne réside pas dans le code lui-même, mais dans la feuille de route produit révélée par les indicateurs de fonctionnalités. KAIROS, le mécanisme d’anti-distillation — ce sont des détails stratégiques que les concurrents peuvent désormais anticiper et à quoi ils peuvent réagir en premier. Le code peut être refondu, mais si une surprise stratégique est divulguée, elle ne peut plus être récupérée.

VI. Enseignements profonds pour le coding d’Agent

Cette fuite est un miroir qui reflète plusieurs thèses fondamentales de l’ingénierie actuelle des AI Agents :

1. Les limites des capacités d’un Agent sont, en grande partie, déterminées par la « couche de cadre » plutôt que par le modèle lui-même

La divulgation de 500k lignes de code de Claude Code révèle une réalité significative pour toute l’industrie : avec le même modèle de base, équipé de cadres d’orchestration d’outils différents, de mécanismes de gestion de la mémoire et de systèmes de permissions, on obtient des capacités d’Agent radicalement différentes. Cela signifie que « qui a le modèle le plus puissant » n’est plus la seule dimension de compétition — « qui a une ingénierie de cadre plus raffinée » est tout aussi crucial.

2. L’autonomie à long terme est le prochain champ de bataille central

L’existence du processus de garde KAIROS indique que la prochaine étape de la compétition de l’industrie se concentrera sur « faire en sorte que l’Agent continue à fonctionner efficacement même sans supervision ». L’intégration de la mémoire en arrière-plan, le transfert de connaissances entre sessions, la réflexion autonome pendant l’inactivité — une fois ces capacités mûres, elles changeront complètement le mode fondamental de collaboration entre Agents et humains.

3. L’anti-distillation et la protection de la propriété intellectuelle deviendront de nouveaux sujets de base en ingénierie IA

Anthropic a mis en œuvre un mécanisme d’anti-distillation au niveau du code, ce qui laisse présager qu’un nouveau domaine d’ingénierie est en train de se former : comment empêcher que ses propres systèmes IA soient utilisés par les concurrents pour la collecte de données d’entraînement. Ce n’est pas seulement un problème technique : cela évoluera vers un nouveau champ de bataille de nature juridique et commerciale.

4. La sécurité de la chaîne d’approvisionnement est le talon d’Achille des outils d’IA

Quand les outils de programmation par IA eux-mêmes sont distribués via des gestionnaires de paquets logiciels publics comme npm, ils sont exposés aux risques d’attaques sur la chaîne d’approvisionnement, comme n’importe quel autre logiciel open source. La particularité des outils d’IA est qu’une fois un backdoor implanté, l’attaquant n’obtient pas seulement le droit d’exécuter du code : il obtient une pénétration profonde du flux de travail de développement tout entier.

5. Plus un système est complexe, plus il a besoin de gardes de publication automatisés

« Un .npmignore mal configuré ou un champ files dans package.json peut tout exposer. » Pour toute équipe qui construit des produits d’AI Agent, cette leçon n’a pas besoin d’être apprise à un coût aussi élevé — l’introduction d’une revue automatisée du contenu publié dans les pipelines CI/CD doit devenir une pratique standard, et non un remède après coup.

Épilogue

Nous sommes le 1er avril 2026 : c’est la fête des fous. Mais ce n’est pas une blague.

Anthropic a commis deux fois la même erreur en treize mois. Le code source a déjà été mis en miroir dans le monde entier ; les demandes de suppression DMCA ne peuvent pas rattraper la vitesse des forks. Cette feuille de route produit qui devait rester cachée dans l’intranet est maintenant la référence de tout le monde.

Pour Anthropic, c’est une leçon douloureuse.

Pour l’ensemble de l’industrie, c’est un moment de transparence inattendu — un aperçu de la façon dont les agents de programmation par IA les plus avancés du moment sont construits, ligne par ligne.