Un fichier source map de 59,8 Mo oublie dans un package npm. 512 000 lignes de TypeScript exposees au monde entier. Et pour la deuxieme fois en un an. Anthropic vient de livrer en clair l’integralite du code source de Claude Code, son outil CLI phare, a quiconque sait taper npm install.
Les faits : un .map qui change tout
Ce matin, a 4h23 heure de la cote Est, Chaofan Shou — stagiaire chez Solayer Labs et connu sur X sous le pseudo @Fried_rice — repere une anomalie dans la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm. Un fichier cli.js.map, normalement reserve au debogage interne, a ete publie avec le package. A l’interieur : 1 900 fichiers TypeScript, l’architecture complete de l’outil, et des dizaines de secrets industriels qu’Anthropic n’avait certainement pas prevu de partager.
La cause ? Le bundler Bun, utilise par Claude Code, genere des source maps par defaut. Quelqu’un a oublie de desactiver cette option. Quelqu’un, ou un processus de build mal configure — le resultat est le meme.
En quelques heures, le code est mirror sur GitHub. Le depot atteint 30 000 stars et plus de 40 000 forks. Internet n’oublie jamais.
Rappel : C’est la deuxieme fuite majeure chez Anthropic. En fevrier 2025, un incident similaire avait deja expose du code interne de Claude Code. Les « mesures supplementaires » promises a l’epoque n’ont visiblement pas suffi.
Ce que le code revele (et pourquoi ca fait mal)
Des noms de code pour des modeles non annonces
Le code source revele les noms internes des modeles d’Anthropic. Capybara designe un variant de Claude 4.6, Fennec correspond a Opus 4.6, et Numbat pointe vers un modele encore en phase de test. Plus embarrassant : des benchmarks internes montrent un taux de fausses affirmations de 29 a 30 % pour les dernieres iterations de Capybara. Le genre de chiffre qu’on prefere garder pour soi.
KAIROS : le mode daemon autonome
Reference plus de 150 fois dans le code, KAIROS represente un virage majeur pour Claude Code. Ce systeme de daemon autonome comprend trois composantes cles :
- autoDream : consolidation de la memoire pendant les periodes d’inactivite de l’utilisateur, ou l’IA resout des contradictions et transforme des observations vagues en faits structures
- Coordinator Mode : orchestration d’agents subordonnes
- Auto Mode : un classifieur IA qui decide automatiquement des permissions
En clair, Anthropic construit un agent qui travaille meme quand vous dormez. La question de la transparence se pose avec une acuite nouvelle.
44 feature flags et un Tamagotchi
Le code contient 44 fonctionnalites entierement construites mais cachees derriere des flags. Parmi les plus surprenantes : Buddy, un compagnon virtuel de type Tamagotchi integre au terminal, avec 18 especes, des niveaux de rarete, des variantes « shiny » et 5 statistiques dont CHAOS et SNARK. Le lancement etait prevu du 1er au 7 avril pour un teaser, avec un deploiement complet en mai 2026. On ne s’attendait pas a ca de la part d’une entreprise qui se positionne sur la securite de l’IA.
Le « Undercover Mode »
C’est peut-etre la revelation la plus derangeante. Le code contient des instructions explicites pour que Claude Code contribue anonymement a des depots open source publics. Les instructions demandent specifiquement de masquer l’identite IA et toute information interne d’Anthropic dans les commits. On savait que les entreprises tech utilisaient l’IA en interne. On ne savait pas qu’elles faisaient activement en sorte de le cacher dans des projets communautaires.
Coincidence troublante : Le meme jour, le package npm axios a ete compromis (versions 1.14.1 et 0.30.4), injectant un cheval de Troie (RAT). Si vous avez installe ou mis a jour Claude Code via npm le 31 mars entre 00h21 et 03h29 UTC, verifiez votre systeme.
Notre avis : l’arroseur arrose
Anthropic se presente comme l’entreprise responsable de l’IA. Celle qui prend la securite au serieux. Celle qui publie des papiers sur l’alignement pendant que ses concurrents foncent tete baissee. Et pourtant, pour la deuxieme fois, une erreur humaine triviale — un fichier .map oublie dans un build — expose l’integralite de leur propriete intellectuelle.
La reponse officielle d’Anthropic est rodee : « un probleme d’empaquetage cause par une erreur humaine, pas une faille de securite. Aucune donnee client exposee. » Techniquement exact. Strategiquement catastrophique.
Parce que ce n’est pas une question de donnees clients. C’est une question de credibilite. Comment faire confiance a une entreprise pour securiser des systemes d’IA autonomes quand elle ne parvient pas a configurer correctement un .npmignore ? L’ironie est d’autant plus mordante que le code revele un mode « Undercover » concu pour masquer l’implication de l’IA dans des projets open source — un manque de transparence en totale contradiction avec le discours affiche.
La fuite de KAIROS pose aussi des questions fondamentales. Un agent IA qui consolide sa memoire pendant votre absence, qui orchestre des sous-agents, qui decide lui-meme de ses permissions — tout cela etait cache derriere des feature flags, en attente d’activation. Les utilisateurs de Claude Code n’en savaient rien. Maintenant, tout le monde le sait.
Le vrai probleme n’est pas la fuite. C’est ce qu’elle revele sur l’ecart entre le discours et la pratique d’Anthropic.
