● Les Numériques Télécom 📅 31/03/2026 à 16:20

"Une entreprise à qui vous confiez votre code ne sait pas sécuriser le sien" : tout le code source de Claude Code a fuité

Géopolitique 👤 Aymeric Geoffre-Rouland
Illustration
"Une entreprise à qui vous confiez votre code ne sait pas sécuriser le sien" : tout le code source de Claude Code a fuité Par Aymeric Geoffre-Rouland Publié le 31/03/26 à 16h20 Nos réseaux : Suivez-nous Commenter (1) 3 1 L'interface terminal de Claude Code, l'outil en ligne de commande d'Anthropic dont l'intégralité du code source a fuité le 31 mars 2026 via un fichier de débogage oublié dans son paquet npm.© Robert WayCe 31 mars 2026, Chaofan Shou, chercheur chez Fuzzland, a repéré dans le paquet officiel de Claude Code publié sur le registre npm un fichier de débogage de 59,8 Mo.Ce type de fichier, normalement réservé aux environnements de développement, permettait de remonter du code compressé et illisible jusqu'au code source original. Il pointait vers un espace de stockage cloud contenant l'archive complète du projet, en clair. En quelques heures, le code a été dupliqué sur GitHub, où il a dépassé les 1 100 étoiles et 1 900 forks.Claude code source code has been leaked via a map file in their npm registry! Code: https://t.co/jBiMoOzt8Gpic.twitter.com/rYo5hbvEj8— Chaofan Shou (@Fried_rice) March 31, 2026Ce que le code révèle sur les coulisses de Claude CodeL'exposition couvre environ 512 000 lignes de TypeScript réparties sur 1 906 fichiers. On y découvre une quarantaine d'outils modulaires dotés de couches de permissions granulaires, un moteur de requêtes de 46 000 lignes dédié aux appels vers les modèles d'IA, et un système d'interface terminal sur mesure.Plus révélateur : le code contient des indicateurs renvoyant à des fonctionnalités non publiées. KAIROS désigne un mode d'assistant persistant et autonome, capable de tourner en arrière-plan et d'agir de manière proactive. ULTRAPLAN permet de déléguer une tâche de planification complexe à un serveur distant propulsé par Opus 4.6, avec un budget de réflexion allant jusqu'à 30 minutes. Un mécanisme baptisé autoDream assure la consolidation de la mémoire en tâche de fond.Le dépôt GitHub miroir du code source fuité de Claude Code, quelques heures après la découverte. On y distingue l'arborescence complète du projet : assistant, buddy, coordinator, plugins, query... 400 étoiles et 809 forks en trois heures.© GitHub/KuberwastakenOn trouve même un compagnon virtuel de type Tamagotchi, BUDDY, doté de 18 espèces et de niveaux de rareté. Une entreprise à qui vous confiez votre code ne sait pas sécuriser le sien [...] L'ironie est totale.Deuxième fuite en cinq jours pour AnthropicL'incident résulte d'une omission dans la configuration du paquet distribué, qui n'excluait pas les fichiers de débogage de la publication. L'ironie a été abondamment relevée par la communauté : le code contenait un module nommé "Undercover Mode", conçu précisément pour empêcher la fuite d'informations internes dans les contributions publiques.Anthropic a réagi en poussant une mise à jour corrective et en retirant les anciennes versions du registre. L'entreprise a précisé qu'aucune donnée client, aucun poids de modèle ni aucune donnée d'entraînement n'avaient été compromis : seule la couche logicielle installée localement par les développeurs était concernée.L'épisode survient d'ailleurs 5 jours après une autre fuite, provoquée le 26 mars par une erreur de configuration de son système de gestion de contenus, qui avait exposé des brouillons d'articles et des détails sur un modèle non publié, "Claude Mythos". Deux failles opérationnelles en moins d'une semaine, pour une entreprise qui place la sécurité au coeur de son discours : la séquence laissera des traces. Suivez toute l'actualité des Numériques sur Google Actualités et sur la chaîne WhatsApp des Numériques Envie de faire encore plus d'économies ? Découvrez nos codes promo sélectionnés pour vous.
← Retour