Anthropic laisse fuiter 512 000 lignes de Claude Code sur npm

Quelques jours à peine après avoir laissé fuiter les détails de Mythos, son futur modèle IA, Anthropic récidive avec une boulette d'une toute autre envergure : le code source complet de Claude Code, son outil de coding en ligne de commande, s'est retrouvé exposé sur le registre npm.

Le .map du trésor

Le 31 mars 2026, le chercheur en sécurité Chaofan Shou a repéré qu'un fichier cli.js.map de 60 Mo avait été inclus dans la version 2.1.88 du package @anthropic-ai/claude-code sur npm. Ce type de fichier, un source map, sert normalement à faire le lien entre le JavaScript compilé et le code source original lors du débogage. Sauf qu'ici, le champ sourcesContent embarquait l'intégralité du code TypeScript d'origine.

Le coupable : Bun, le runtime JavaScript utilisé par Claude Code, qui génère les source maps par défaut lors du bundling. Il suffit d'oublier de les exclure dans la configuration du package (un .npmignore ou un champ files dans package.json) pour tout expédier sur le registre public.

Un oubli que tout développeur qui a déjà publié un package npm peut comprendre, même si ça pique un peu plus quand on s'appelle Anthropic.

Le code source reconstitué pèse environ 1 900 fichiers TypeScript pour plus de 512 000 lignes de code, avec une quarantaine d'outils intégrés et une cinquantaine de commandes slash. Côté architecture, on découvre que Claude Code tourne sur Bun (pas Node.js), utilise React avec Ink pour le rendu terminal, et s'appuie sur Zod 4 pour la validation.

Pour ceux qui veulent creuser, un développeur a publié un reverse engineering de Claude Code qui recense les systèmes non documentés, les fonctionnalités cachées, les feature flags (les interrupteurs qui permettent d'activer ou désactiver des fonctionnalités à la volée) et les variables d'environnement.

Claude ne dort jamais

Mais le plus intéressant, ce sont les fonctionnalités non encore annoncées qui se cachaient dans le code.

En tête : Kairos (du grec ancien signifiant "le moment opportun"), un mode daemon qui permettrait à Claude Code de tourner en arrière-plan de façon permanente. L'agent effectuerait de la consolidation de mémoire pendant les périodes d'inactivité, fusionnant ses observations et convertissant ses hypothèses en faits vérifiés. Une sorte de rêve artificiel, en somme (qui a dit creepy ?).

Autre découverte : un mode Undercover, pensé pour les contributions discrètes aux dépôts open source.

Le prompt système trouvé dans le code demande au modèle de ne laisser filtrer aucune information interne d'Anthropic dans les messages de commit ou les titres de pull requests. Autrement dit, Claude contribue déjà au code open source, et il a pour consigne de ne pas se faire repérer.

Déjà vu (littéralement)

Le plus cocasse dans cette histoire, c'est qu'il ne s'agit même pas d'une première.

En février 2025, une fuite quasi identique avait déjà exposé le code source d'une version antérieure de Claude Code via le même mécanisme. Et quelques jours avant cette nouvelle fuite, c'est le modèle Mythos (alias Capybara), décrit comme plus puissant qu'Opus, qui avait été révélé via un CMS mal configuré.

Trois fuites en un an pour le labo qui fait de la sécurité son argument principal de vente : le timing est perfectible.

Sans grande surprise, des copies du code source ont été sauvegardées sur GitHub quasi instantanément, et le dépôt le plus populaire a accumulé près de 30 000 étoiles et plus de 41 500 forks avant qu'Anthropic ne dégaine les demandes de retrait DMCA.

Le porte-parole de l'entreprise a précisé qu'aucune donnée client ni aucun identifiant n'avait été exposé, qualifiant l'incident de "problème de packaging causé par une erreur humaine", pas de faille de sécurité.