Calipia : le blog

La semaine dernière, le 31 mars, un chercheur en sécurité du nom de Chaofan Shou publie sur X un message laconique : le code source intégral de Claude Code vient d’être rendu accessible à tous, sans exploitation particulière, sans intrusion, sans même avoir besoin d’un compte premium. Un simple fichier de debug embarqué par erreur dans un package npm. Le tweet dépasse les 28 millions de vues. Le dépôt GitHub miroir frôle les 84 000 étoiles. Bienvenue dans la fuite de code la plus involontairement généreuse de l’histoire de l’IA…

Ce qui a fuité, techniquement

La version 2.1.88 de Claude Code publiée sur npm contenait un fichier source map de 59,8 Mo permettant de remonter jusqu’à l’intégralité du code source, soit près de 2 000 fichiers TypeScript et plus de 512 000 lignes de code. Pour rappel, les source maps sont des artefacts de débogage destinés à faire le lien entre le code compilé et le code source original. Ils n’ont strictement rien à faire dans un package de production publié sur un registre public.

Ce fichier pointait vers une archive hébergée dans un bucket Cloudflare R2 d’Anthropic, librement téléchargeable par quiconque. Ce qui a été mirrored, archivé, forké et disséqué en quelques heures par des milliers de développeurs aux quatre coins du monde.

La cause profonde ? Anthropic a acquis le runtime JavaScript Bun fin 2025, et Claude Code est construit dessus. Un bug connu de Bun (référence #28001, signalé le 11 mars 2026) provoque la génération de source maps même en mode production, contrairement à ce qu’indique la documentation. Le bug était ouvert depuis 20 jours avant l’incident.  En d’autres termes, l’outillage qu’Anthropic a racheté a contribué à exposer le produit qu’Anthropic vend. Difficile d’écrire un scénario plus désagréable.

Un harnais agent, pas un simple chatbot

Ce qui a le plus intéressé les architectes dans la communauté, c’est la structure interne de Claude Code. Au moins une partie des capacités de Claude Code ne provient pas du modèle de langage sous-jacent, mais du « harnais » logiciel qui l’entoure : un ensemble de couches d’orchestration, d’instructions et de garde-fous qui gouvernent le comportement de l’outil. 

La fuite révèle notamment un système de mémoire auto-réparatrice pour dépasser les contraintes de la fenêtre de contexte, un moteur de requêtes pour les appels API, un système d’orchestration multi-agents capable de déployer des sous-agents en essaim, ainsi qu’une couche de communication bidirectionnelle entre les extensions IDE et l’interface CLI. 

Ce n’est donc pas une interface de prompt sophistiquée. C’est une sorte de système d’exploitation pour agents (cela rappellera à certains les travaux de Microsoft là dessus…).

Les 44 drapeaux

Le code source contient 44 drapeaux de fonctionnalités en compilation conditionnelle. Au moins 20 d’entre eux activent des capacités entièrement développées et testées, mais absentes des versions publiques. Ce sont ces drapeaux qui représentent le vrai dommage pour Anthropic, car contrairement au code source, une feuille de route révélée ne peut pas être refactorisée.

Parmi les fonctionnalités les plus commentées :

KAIROS est sans doute la révélation la plus spectaculaire. Ce mode autonome transforme Claude Code en processus de fond persistant. Il reçoit des impulsions périodiques lui permettant de décider d’agir de manière proactive, maintient des journaux d’activité quotidiens en ajout seul, et respecte un budget bloquant de 15 secondes pour ne jamais interrompre le flux de travail du développeur. En clair : Claude qui travaille dans votre dos, pendant votre réunion du lundi matin.

Le mécanisme compagnon, baptisé autoDream, s’exécute comme un sous-agent lors des périodes d’inactivité. Il fusionne les observations, supprime les contradictions logiques et convertit les intuitions vagues en faits absolus. 

ULTRAPLAN offre, lui, une capacité de planification externalisée vers une session cloud distante fonctionnant avec Opus 4.6, avec jusqu’à 30 minutes de temps de réflexion dédié. Pour les tâches vraiment complexes qui méritent qu’on y réfléchisse longtemps.

Undercover Mode a suscité le plus de débat éthique. Un prompt système injecté ordonne à l’outil : « You are operating UNDERCOVER in a PUBLIC/OPEN-SOURCE repository. Your commit messages, PR titles, and PR bodies MUST NOT contain ANY Anthropic-internal information. Do not blow your cover. »  Ce mode est utilisé par les employés d’Anthropic pour contribuer à des projets open source publics sans laisser de trace de leur implication. La communauté Apache, Fedora et la Linux Foundation encouragent l’attribution des contributions IA. Anthropic l’automatise dans l’autre sens 🙂

Et pour alléger l’atmosphère : BUDDY est un système de compagnon de type Tamagotchi avec 18 espèces, des niveaux de rareté allant de commun à légendaire et des statistiques incluant DEBUGGING, PATIENCE, CHAOS, WISDOM et SNARK. Anthropic avait prévu une blague de poisson d’avril, mais la vraie blague s’est avérée être la fuite elle-même.

Les mécanismes anti-concurrence révélés

Les mécanismes anti-distillation, conçus pour empêcher les concurrents d’entraîner des modèles sur le trafic API de Claude Code, injectent de fausses définitions d’outils dans le prompt système et résument les chaînes de raisonnement pour masquer le processus de réflexion complet. L’intention est défensive. Le résultat ? Quiconque voulant sérieusement distiller à partir du trafic de Claude Code trouverait les contournements en une heure de lecture du code source. 

Le contexte aggravant : une semaine catastrophique

Cet incident est le second problème majeur d’Anthropic en moins d’une semaine. Des détails concernant le prochain modèle de l’entreprise, ainsi que d’autres données internes, avaient été laissés accessibles via le CMS de la société la semaine précédente. 

Pour Anthropic, qui affiche un revenu annualisé estimé à 19 milliards de dollars en mars 2026 et dont Claude Code représente 2,5 milliards (dont 80% provenant des entreprises), la fuite est plus qu’une défaillance de sécurité : c’est une hémorragie stratégique de propriété intellectuelle. 

La gestion de crise n’a pas non plus été exemplaire. Anthropic a involontairement provoqué la suppression de milliers de dépôts GitHub en émettant une notice DMCA qui a touché bien plus de dépôts que prévu, avant d’être contrainte de rétracter la majorité de ses demandes selon TechCrunch.

Ce que cela signifie pour les DSI

Pour les organisations qui utilisent ou évaluent Claude Code en production, plusieurs leçons méritent l’attention.

D’abord, la réalité de l’agent autonome est plus avancée qu’annoncée publiquement. Les 44 drapeaux cachés montrent qu’Anthropic dispose d’une longueur d’avance architecturale sur ce qu’il commercialise actuellement. KAIROS, en particulier, représente un changement de paradigme : passer d’un outil réactif à un daemon permanent.

Ensuite, les implications pour les équipes d’ingénierie en secteurs régulés méritent attention : les fonctionnalités comme l’Undercover Mode soulèvent des questions sur la transparence que l’AI Act européen (Articles 9, 17 et 25) commence à encadrer, même si Claude Code lui-même n’est pas aujourd’hui classé comme système à haut risque. 

Enfin, et c’est peut-être le message le plus universel : 512 000 lignes de code soigneusement conçues, 23 vérifications de sécurité bash, et un système de mémoire à trois niveaux ont été exposés à cause d’un fichier de configuration de packaging mal configuré. La sophistication de ce que vous construisez ne protège pas contre la négligence de comment vous le livrez.

Si les détails autour de ceci vous intéresse voici, je trouve, l’analyse technique la plus complète publiée à ce jour sur The New Stack : https://thenewstack.io/claude-code-source-leak/