ClaudeCode500KCodeLeak

Choc dans le monde de l'IA : Anthropic fuit accidentellement 500 000 lignes de code source de l'outil Claude Code

Le 31 mars 2026, la société d'IA Anthropic a accidentellement divulgué plus de 500 000 lignes de code source de son assistant de codage populaire, l'outil en ligne de commande Claude Code (CLI), provoquant un choc majeur dans le monde de la technologie. L'incident a été enregistré comme un problème d'emballage résultant entièrement d'une erreur humaine, plutôt que d'une cyberattaque ou d'une faille de sécurité.

Comment la fuite s'est-elle produite ?

Tout a commencé avec la sortie du package npm 2.1.88 pour l'outil Claude Code. Un fichier "carte source" de 59,8 Mo, utilisé dans le processus de développement et normalement non destiné à l'utilisateur final, a été accidentellement inclus lors de l'emballage. Ce fichier contenait tout le code source TypeScript original de l'outil, des commentaires de développeurs, et même des fonctionnalités cachées qui n'avaient pas encore été publiées.

Le bug a été découvert pour la première fois par le chercheur en sécurité chinois Chaofan Shou, qui a partagé ses découvertes sur les réseaux sociaux. En quelques secondes, le code a été copié et diffusé sur diverses plateformes. Bien qu'Anthropic ait immédiatement retiré le package et commencé à envoyer des notices de violation de droits d'auteur, il était trop tard.

Qu'est-ce qui a été divulgué, qu'est-ce qui est resté sécurisé ?

Bien que l'ampleur de la fuite soit considérable, une distinction critique doit être faite :

Fuit : l'architecture de l'agence, la logique de planification des tâches, le système de gestion de la mémoire, et de nombreuses nouvelles fonctionnalités encore inédites pour les utilisateurs, qui peuvent être considérées comme le cerveau de Claude Code. Au total, plus de 512 000 lignes de code réparties dans environ 2 000 fichiers ont été rendues publiques.

Non fuité : surtout, les poids du modèle, les données d'entraînement, et la technologie AI centrale qui constituent la base du modèle Claude ne font pas partie de cette fuite. La fuite ne concerne que la logique opérationnelle de l'outil de développement. Trésors cachés déterrés du code

Les développeurs examinant le code fuit ont découvert de nombreuses fonctionnalités cachées et innovantes sur lesquelles Anthropic travaillait. Les plus remarquables sont :

Buddy : un "animal de compagnie" AI de style Tamagotchi qui apparaît dans le terminal lors du codage. Cette fonctionnalité gamifie le processus de codage en réagissant aux actions du développeur et inclut des types avec différents niveaux de rareté.
KAIROS : un agent autonome qui travaille en permanence en arrière-plan. Même lorsque l'utilisateur ne travaille pas, il analyse le projet, optimise la mémoire, et peut effectuer de manière indépendante des tâches de planification à long terme.
Mode undercover : une fonctionnalité ironique conçue pour effacer toute trace de l'utilisation de l'IA par les employés d'Anthropic tout en contribuant à des projets open-source.
Protections anti-distillation : des mécanismes de "poisoning" conçus pour empêcher les modèles d'IA rivaux de copier la logique de fonctionnement de Claude Code.

Quels seront les effets ?

Cette fuite représente un coup dur pour la réputation d'Anthropic, mais pourrait aussi marquer un tournant pour l'industrie de l'IA. Des concurrents ( tels que Cursor, Devin, et Aider ) ont désormais l'opportunité d'examiner directement l'architecture avancée de l'agent de Claude Code et d'intégrer des technologies similaires dans leurs propres produits. De plus, connaître les détails du code fuit ouvre la porte à des acteurs malveillants pour créer des packages contrefaits et lancer des attaques sur la chaîne d'approvisionnement contre les développeurs.

Anthropic a confirmé que l'incident était une erreur d'emballage et qu'aucune donnée client n'a été divulguée. Cependant, cet événement met en lumière la complexité et la valeur de la technologie d'agents IA développée en coulisses, démontrant les conséquences énormes d'un moment d'inattention.