IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Anthropic expose accidentellement 512 000 lignes du code source de Claude Code : la feuille de route secrète d'une IA à 380 milliards de dollars est désormais publique

Le , par Stéphane le calme
17 commentaires

48PARTAGES

7  0 
En quelques heures, une erreur de configuration dans un pipeline de build a rendu publiques plus de 512 000 lignes de TypeScript constituant le cœur de Claude Code, l'outil de programmation assistée par IA d'Anthropic. Le chercheur en sécurité qui a découvert la fuite n'a eu qu'à suivre un lien dans un fichier de débogage pour accéder à l'intégralité du projet. Depuis, le dépôt GitHub de sauvegarde a été forké plus de 41 500 fois. La communauté des développeurs a désormais accès à la feuille de route d'une entreprise valorisée à 380 milliards de dollars.

Tout a commencé dans la nuit du 31 mars 2026. Un ingénieur d'Anthropic pousse une mise à jour de routine du paquet npm de Claude Code. Dans l'archive publiée se glisse un fichier source map ; un artefact de débogage de 59,8 mégaoctets dont la vocation première est de relier le code minifié et obfusqué à son code source original, pour faciliter l'identification des bogues en développement. En production, ce type de fichier n'a rien à faire dans un paquet distribué publiquement.

Ce fichier map contenait une référence au code source TypeScript non obfusqué, qui pointait vers une archive ZIP hébergée sur un bucket Cloudflare R2 appartenant à Anthropic, un bucket accessible sans authentification. Il suffisait de suivre le lien.

Moins de trois heures après la publication, le chercheur en sécurité Chaofan Shou repère l'anomalie et la signale sur X. Six heures plus tard, quelqu'un a sauvegardé l'intégralité des 512 000 lignes de TypeScript sur GitHub. L'entreprise retire rapidement le paquet fautif, mais internet n'a pas attendu.

Le dépôt public de sauvegarde dépasse rapidement 1 100 étoiles et 1 900 forks. L'auteur original du dépôt, conscient des risques juridiques liés à l'hébergement de propriété intellectuelle d'Anthropic, finit par remplacer le contenu par un portage Python de Claude Code. Cela n'empêche pas les copies de proliférer.

Anthropic a confirmé l'incident dans un communiqué lapidaire transmis à The Register : il s'agissait d'un problème d'empaquetage provoqué par une erreur humaine, non d'une faille de sécurité. Aucune donnée client ni aucun identifiant n'ont été exposés. L'entreprise précise qu'elle déploie des mesures pour éviter toute récurrence.


L'architecture interne d'un outil de production sérieux

La fuite révèle d'abord l'ampleur réelle du projet. Environ 1 900 fichiers TypeScript, plus de 512 000 lignes de code, une quarantaine d'outils intégrés, une cinquantaine de commandes slash. Ce n'est pas une couche de vernis posée sur une API de chat : Claude Code est une plateforme de développement à part entière.

L'outil tourne sur le runtime Bun plutôt que Node.js, et utilise React via la bibliothèque Ink pour le rendu de l'interface dans le terminal, une interface en composants avec gestion d'état, exactement comme une application web. Le moteur de requêtes, qui gère l'ensemble des appels à l'API LLM, du streaming, du cache et de l'orchestration, représente à lui seul 46 000 lignes de code.

L'architecture repose sur un système de plugins : chaque fonctionnalité (lecture de fichiers, exécution de commandes bash, récupération de pages web, intégration LSP) est un outil discret soumis à un système de permissions. Une couche de communication bidirectionnelle connecte les extensions EDI (VS Code, JetBrains) à l'interface ligne de commande via des canaux authentifiés par JWT.

L'ingénieur allemand Gabriel Anhaia, qui a publié une analyse détaillée du code exposé, résume la leçon à en tirer pour tout développeur : un seul fichier .npmignore mal configuré, ou un champ files oublié dans le package.json, suffit à tout exposer. Il recommande d'utiliser npm pack --dry-run avant chaque publication pour vérifier le contenu exact de l'archive distribuée.


La feuille de route involontairement rendue publique

La partie la plus stratégiquement sensible de la fuite n'est pas ce qu'Anthropic a livré à ses utilisateurs : c'est ce que l'entreprise avait déjà construit sans encore le rendre disponible.

Le code source contient 44 drapeaux de fonctionnalités. Dans la version publique, certains de ces interrupteurs sont désactivés. Dans la version interne, ils sont actifs. Le code correspondant n'est pas expérimental : il est compilé et fonctionnel.

Parmi les fonctionnalités déjà construites et identifiées dans le code, plusieurs retiennent l'attention. Un système baptisé Kairos permettrait à Claude d'opérer de façon autonome en arrière-plan, surveillant des dépôts GitHub, suivant les pull requests et envoyant des notifications push. Un mode Coordinator permettrait à une instance de Claude d'orchestrer une équipe d'agents Claude secondaires, chacun disposant d'un jeu d'outils restreint et d'un espace de travail propre. Un module Agent Triggers donnerait à l'outil la capacité d'exécuter des tâches planifiées via des cron jobs et des webhooks externes.

La liste continue : une interface vocale complète utilisant le modèle de reconnaissance Deepgram Nova 3, une intégration Playwright permettant le contrôle d'un vrai navigateur (non pas du scraping, mais une interaction pilotée comme le ferait un humain), et un système de mémoire persistante qui survivrait aux redémarrages sans stockage externe.

La conclusion s'impose : Anthropic ne construit pas lentement ces fonctionnalités. Elles sont déjà prêtes. La cadence de publication (une nouveauté toutes les deux semaines environ) est un choix délibéré de rythme, non une contrainte technique. Cette stratégie de dévoilement progressif, désormais publiquement documentée, sera difficile à maintenir : les concurrents connaissent à présent l'agenda précis d'Anthropic.

Un animal de compagnie virtuel caché derrière du code...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

17 commentaires
Commenter Signaler un problème
OuftiBoy
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 01/04/2026 à 16:28
à toutes et tous,

En voilà une nouvelle surprenante, n'est-il pas ? Evidemment, c'est "une erreur humaine", on est bien obligé de les croire. Quoi, ils n'avaient pas un agent IA dernier cri super de la mort qui tue balèze et plus encore pour "automatiser" le processus ? C'est bête ça... Vite, vite, faisons une levée de fond de quelques milliards pour pouvoir régler ce léger soucis...

Quoi, leur "IA" est codée en "Typescript" ? Pas étonnant que ça consomme autant...

Quelle drôle d'époque...

BàV et Peace & Love.
6  0 
OuftiBoy
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 02/04/2026 à 14:09
à toutes et tous,

Citation Envoyé par Alex Voir le message
Anthropic émet des demandes de retrait pour violation du droit d'auteur afin de supprimer plus de 8 000 copies du code source de Claude Code, une fuite qu'Anthropic impute à une erreur humaine de ses employés

Quel est votre avis sur le sujet ?
Exactement le même que lorsque l'ami Sam défendait le droit à la propriété intellectuel pour son business IA, tout en trouvant normal d'avoir violé ce même droit d'auteur pour instruire son IA, en donnant comme raison qu'il n'était pas possible d'avancer sans cela. Anthropic fait ici exactement la même choses... Après s'être assis sur le droit d'auteur, ils veulent qu'on l'applique pour eux.

Que je sache, ces informations, cette fuite, n'est pas le résultat d'un vol. C'est eux qui ont rendu ces documents public. Attaquer ensuite ceux et celles qui ont récupéré ces documents publiés, sous peine d'ennuis (c'est le moins que l'on puisse dire) avec la justice, c'est l'hôpital qui se fout de la charité.

Où est la justice dans cette affaire ? Si je mets sur le trottoir, même par erreur, un frigo tout neuf au lieu du vieux frigo dont je voulais me débarrasser, pourrais-je attaquer en justice celui qui l'aura récupéré ? Je ne pense pas. Deux poids, deux mesures. Si ceux qui ont récupéré ces documents avancent le même argument que ces sociétés, disant qu'il n'était pas possible d'avancer sans cela, je ne pense pas qu'on leur donnera raison...

On va me dire que ce sujet, c'est du passé, que cela a été réglé, admis ou accepté. Mais je reste sur ma position. Si moi je commet un vol, et qu'on me rattrape deux ans plus tard, je ne pourrais pas me défendre en disant que c'est du passé...

Ce n'est que mon avis, chacun à le sien et c'est très bien ainsi.

BàV et Peace & Love.
4  0 
OuftiBoy
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 04/04/2026 à 12:47
à toutes et tous,

Toute cette histoire démontre que tout ce qui "touche" à l'IA est très fragile.

  • C'est fragile pour les investisseurs, car en quelques jours, une IA sortant de nulle part peut rendre "caduque" d'autres IA, et les investissements qui vont avec.
  • C'est fragile car pour pouvoir faire faire la moindre chose à une IA, il semble évident que pour l'instant, la fiabilité est assez loin d'être au top.
  • C'est fragile, car d'autres IA peuvent maintenant "réécrire/transformer" n'importe quoi. Une simple "fuite", et le business d'une entreprise peut s'écrouler à cause de simple erreurs.
  • C'est fragile, car si c'est une IA qui produit le code d'une IA, ce code est semble-t-il difficilement maintenable, posant des questions sur l'évolution du produit IA.
  • C'est fragile, car dans cette course à l'IA, il semble que la "qualité" et la "sécurité" ne soient pas une priorité.
  • C'est fragile. Dans le cas d'Anthropic, l'utilisation de "Typescript" comme langage de développement pose question.
  • C'est fragile, car l'IA repose sur le "Cloud", lui-même étant "fragile", les multiples "leaks" et "fuites" sont loin d'être "rares".
  • C'est fragile car, vu de l'extérieur, l'utilisation "d'agents" se limitant à une fonctionnalité, est à la base un bon principe, mais l'interconnexion de ces différents "agents" (que l'on veut 'autonome de surcroît) semble difficilement maîtrisable ou même compréhensible par un humain.
  • C'est "fragile" car lorsque l'on retrouve dans une "base de code" des fichiers de milliers de lignes de "code", des fonctions avec 25 niveau d'indentation, c'est assez déreangeant.
  • C'est fragile car cela propage de mauvaises "pratiques", dont le "vide-coding", qui fait croire que n'importe qui peut "programmer" n'importe quoi n'importe comment. On va vers du "code kleenex", qui n'a de la "valeur" qu'un court instant. Peut-être qu'une future "fuite" laissera "sortir" le code de la suite Office de MS (c'est un exemple), qui pourrait en quelque jours être récupéré et transcripté sans possibilité de garder une quelconque "parternité" revendiquée sur ce "nouveau code".


C'est "fragile", car au final, tout repose sur une confiance dans une "technologie" assez "opaque" , ressemblant plus à un château de carte qu'à un développement maîtrisé... Pour l'instant, j'ai perso l'impression que l'IA détruit plus de "valeurs" qu'elle n'en crée réellement, fiablemment, pérennement.

Ce n'est que mon petit avis de petit développeur.

BàV et Peace & Love.
2  0 
OuftiBoy
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 08/04/2026 à 10:17
à toutes et tous,

Il me semble qu'il est plus difficile de maîtriser une IA qu'un développement classique. Ces compétences sont différentes, mais le soucis vient du fait que ces IA sont utilisées par des personnes n'ayant que peu d'expérience dans le développement (voir pas du tout), mais qui (en plus), n'ont pas la moindre culture du risque des outils qu'ils utilisent aveuglément, par facilité, pour la rapidité, et la sécurité n'est absolument pas prise en compte, c'est un point négatif de plus pour l'IA, qui commence a montrer ses limites, et des compromis qu'elle doit faire sans cesse. De plus, si j'ai bien compris l'article, l'implémentation et l'utilisation des IA, basée sur des jetons, vendu à perte, deviendra intenable si l'IA continue de se développer tel qu'actuellement.

Ce n'est que mon petit avis de petit développeur.
BàV et Peace & Love.
2  1 
OuftiBoy
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 10/04/2026 à 14:39
Citation Envoyé par Ryu2000 Voir le message
C'est normal, les outils IA sont loin d'avoir atteint le stade auquel ils seront fiable et performant.
C'est un accès anticipé (early access) quelque part. OpenAI dit que si il peut dépenser des centaines de milliards chaque année, alors peut-être qu'à partir de 2030 ChatGPT sera rentable (pour être rentable il faut beaucoup d'utilisateurs payants, pour avoir des utilisateurs payants il faut proposer un outil de qualité, donc OpenAI fera un travail de qualité en 2030 (dans le meilleur scénario possible)).
Nous n'avons pas a être des bêta testeurs pour OpenIA. Qu'ils mettent leur brol au point avant de déstabiliser toute une fillière.

Citation Envoyé par Ryu2000 Voir le message
De mon point de vue, si l'erreur vient de Claude c'est beaucoup moins grave que si l'erreur est humaine. Claude est en version alpha, c'est normal que des erreurs aient lieux... (tous les chatbots IA sont en version alpha selon comment on regarde (en tout cas ils produisent plein d'erreurs))
Pareil, il faut en finir avec des produits sortant étant non fiables, dangereux, et en bêta tests permanent.

Citation Envoyé par Ryu2000 Voir le message
Alors que les humains qui sont embauchés sont censés être des "talents", donc ils doivent connaître les règles de sécurité. À un moment donné il y a une histoire d'un fichier de débogage .map qui s'est retrouvé sur un dépôt Git (en gros).
Quelque soit ton "talent", si tu n'est pas au courant de comment fonctionne une IA (et ils gardent jalousement leurs secrets), tu n'as pas les moyens de vérifier des choses dont tu n'est même pas au courant, par opacité, faute de documentation, etc... Tu ne va pas monter dans une voiture révolutionnaire à 3 roues et sans volant quand même ?

Citation Envoyé par Ryu2000 Voir le message
Bon après ils disent que c'est lié au logiciel Bun (alternative à Node.js) si un fichier .map s'est retrouvé dans la distribution publique. Mais Anthropic dit que c'est une erreur humaine, donc ça doit être un humain qui a mal configuré .npmignore, package.json, ou quelque chose du genre.
On ne peut plus se fier à ce que disent ce genre de grosses boîtes, elles ont menti et trop souvent que pour les croire sur parole. La confiance n'est plus là. Dans le cas d'Anthropic, sur quoi te bases-tu pour dire "ça doit être un humain qui a mal configuré .npmignore, package.json, ou quelque chose du genre." ? Tu as des sources ?

Citation Envoyé par Ryu2000 Voir le message
Les chatbots IA seront nuls en 2026, 2027, 2028, 2029, mais peut-être qu'après... Ou alors plusieurs centaines de milliards auront été dépensés pour rien. On verra...
Et bien laissons-les terminer leur produit, encore une fois, je ne suis pas payer pour être un bêta testeur.

BàT et Peace & Love.
1  0 
der§en
Avatar de der§en
Membre expérimenté https://www.developpez.com
Le 02/04/2026 à 18:32
8001, j’en ai fait une copie
0  0 
v0bit
Avatar de v0bit
Nouveau Candidat au Club https://www.developpez.com
Le 03/04/2026 à 12:57
Tellement drôle. Evidemment que c'est une erreur de Claude, c'est lui qui code tout. Il aurait du penser à le rajouter dans le .gitignore.
Après, ils pourront toujours se défendre et dire que c'était une erreur humaine que de ne pas le remarquer, mais c'est un très bon exemple de ce qui peut arriver quand on a plus la maîtrise technique derrière les technos qu'on utilise.

Personnellement, je ne savais pas non plus que les source maps contenaient le code, et donc j'aurais vérifié ce que ça contenait avant de l'ajouter au Git public...
0  0 
popo
Avatar de popo
Expert confirmé https://www.developpez.com
Le 10/04/2026 à 9:30
Je crois bien que le plus drôle dans tout ça, c'est que la faille a été découverte par une autre IA et non par Mythos, qu'Anthropic dit beaucoup trop efficicace pour être commercialisé.
Pas si efficace que ça, apparemment

Anthropic annonce qu'il ne commercialiserait pas son dernier modèle, Mythos, car celui-ci s'avère trop efficace
0  0 
Ryu2000
Avatar de Ryu2000
Inactif https://www.developpez.com
Le 02/04/2026 à 19:44
Citation Envoyé par der§en Voir le message
8001
Le code qui a fuité est préservé pour l'éternité.
Il va être copié, copié et re-copié derrière.
Il doit être plusieurs fois sur GitHub, il doit être en Torrent, il doit être sur eMule, Google Share et tout ce qui existe.

Anthropic a envoyé plus de 8 100 demandes de takedown DMCA à GitHub. Donc le code doit pas mal circuler.
Il y a des forks de tous les côtés. Ça ne va pas durer mais ça laissera des traces. Des gens auront le code sur leur PC.
0  1 
Ryu2000
Avatar de Ryu2000
Inactif https://www.developpez.com
Le 10/04/2026 à 22:21
Citation Envoyé par OuftiBoy Voir le message
Nous n'avons pas a être des bêta testeurs pour OpenIA. Qu'ils mettent leur brol au point avant de déstabiliser toute une fillière.
Personne n'est obligé d'utiliser des outils IA.
Que tu soit une entreprise ou un particulier.

Ceux qui décident de l'utiliser savent que ça produit parfois des choses fausses.

Citation Envoyé par OuftiBoy Voir le message
il faut en finir avec des produits sortant étant non fiables, dangereux, et en bêta tests permanent.
Vous pouvez attendre que ce soit au point.
Les plus optimistes parlent de 2030.

Citation Envoyé par OuftiBoy Voir le message
Quelque soit ton "talent", si tu n'est pas au courant de comment fonctionne une IA
Officiellement c'est une erreur humaine.
Donc ça doit être un "talent" qui a fait de la merde et pas l'IA.

Bon après Anthropic peut mentir...
0  1 
Commenter Signaler un problème