Fuite de Claude Code : Anthropic a publié tout le code source sur npm public

Le 31 mars 2026, Anthropic a accidentellement publié l'intégralité du code source de Claude Code dans le registre npm public. Pendant plusieurs jours, 512 000 lignes de TypeScript sont restées accessibles au public jusqu'à ce qu'un chercheur découvre une erreur de configuration dans Cloudflare et la signale à l'entreprise.

Ce qui a été exposé par la fuite

Le code occupait 1 906 fichiers et contenait l'implémentation complète de Claude Code — l'outil que les développeurs utilisent pour automatiser la programmation à l'aide de l'IA. Tout cela était stocké sur un bucket Cloudflare sans protection d'accès basique, accessible à quiconque connaissait la bonne URL.

La fuite n'incluait pas seulement le code source, mais aussi la configuration du déploiement, les clés API pour les intégrations avec GitHub, Slack et d'autres plateformes, ainsi que la documentation interne sur l'architecture du système. Il s'agit d'informations qui restent généralement dans les dépôts privés et pourraient être utilisées pour rechercher des vulnérabilités ou de la rétro-ingénierie.

L'ampleur de la fuite est impressionnante : 512 000 lignes de code représentent l'historique complet du développement du produit, y compris les commits, les commentaires des développeurs et les branches expérimentales.

Les drapeaux cachés et le mystérieux Mythos

Le code source contenait 44 drapeaux de fonctionnalités cachés — des fonctions qu'Anthropic prévoit de lancer, mais qui sont actuellement désactivées dans les versions publiques. Parmi eux se trouvaient des références à un modèle dont le nom de code est Mythos. On en sait peu sur Mythos lui-même : le code ne montre pas clairement s'il s'agit d'une nouvelle version de Claude ou d'un projet expérimental distinct fonctionnant sur une architecture complètement différente.

Mais le simple fait que cette allusion soit présente dans le code publié indique qu'Anthropic travaille sur quelque chose de significatif et le garde secret face aux concurrents.

La fuite a révélé plusieurs détails intéressants sur les priorités et les plans d'Anthropic :

• 44 drapeaux de fonctionnalités cachés dans le code source
• Référence au modèle Mythos dans les commentaires des développeurs
• Clés API et configuration pour travailler avec les services externes
• Fragments de documentation sur l'architecture de Claude Code
• Données de test et exemples pour usage interne
• Historique de tous les commits avec dates et auteurs

La sécurité comme maillon faible de l'industrie

Cette situation révèle un paradoxe profond dans l'industrie de l'IA. Les entreprises qui parlent activement de la sécurité de l'IA et de la nécessité d'une réglementation font des erreurs basiques dans la protection de leur propre code. La fuite ne s'est pas produite en raison d'une attaque ciblée de pirates ou d'une ingénierie sociale, mais simplement en raison d'une mauvaise configuration du bucket Cloudflare.

Le chercheur a publié des informations sur la fuite sur les réseaux sociaux, et ce n'est qu'après cela qu'Anthropic a supprimé les codes et a demandé la suppression du cache. Cependant, des copies se sont probablement déjà répandues sur Internet. La question est de savoir combien de temps les concurrents passeront à analyser ce code et s'ils trouveront quelque chose dans l'architecture qu'ils pourraient exploiter à leur avantage.

« Cela rappelle une situation qui s'est produite avec d'autres grandes entreprises.

La sécurité reste souvent en périphérie jusqu'à ce qu'un incident se produise », a commenté l'incident l'un des grands experts en sécurité.

Ce que cela signifie

Les entreprises d'IA se développent à un rythme accéléré, mais l'infrastructure de sécurité est souvent à la traîne. La fuite de Claude Code n'est ni la première ni la dernière incident de ce type. Pour les développeurs, c'est un rappel : personne n'est à l'abri, même les chefs de file reconnus de l'industrie. Les entreprises doivent accorder autant d'importance à la protection du code qu'à celle des modèles.