Anthropic expose par erreur le code source de Claude lors d’une mise à jour

La firme Anthropic a confirmé une fuite accidentelle du code source de son assistant de programmation Claude Code. Cet incident, survenu suite à une erreur humaine lors du packaging de la version 2.1.88, a rendu accessible publiquement une partie du référentiel interne de l’outil via la plateforme de gestion de paquets NPM. Si l’entreprise rassure les utilisateurs sur l’absence de compromission de données sensibles, l’ampleur de la fuite révèle des détails inattendus sur l’architecture du logiciel. Cet événement intervient dans un contexte de vigilance accrue concernant la sécurité de la chaîne d’approvisionnement logicielle, illustré par d’autres incidents récents dans l’écosystème open source.

Une erreur de packaging expose 512 000 lignes de code

Le problème trouve son origine dans le processus de publication de la mise à jour 2.1.88 de Claude Code. Anthropic a involontairement inclus un fichier source map dans le paquet diffusé sur NPM, permettant ainsi de reconstituer l’intégralité du codebase en langage TypeScript. Des utilisateurs ont rapidement identifié cette faille en analysant les fichiers accessibles.

Claude code source code has been leaked via a map file in their npm registry!

Code: https://t.co/jBiMoOzt8G pic.twitter.com/rYo5hbvEj8

— Chaofan Shou (@Fried_rice) March 31, 2026

Selon les observations réalisées par la communauté, le volume de code exposé dépasse les 512 000 lignes. Ces fichiers révèlent les mécanismes de fonctionnement de l’assistant de programmation, mais également des fonctionnalités internes non documentées. Parmi les éléments découverts figurent des composants liés à une approche comportementale de type Tamagotchi pour l’agent, ainsi que des spécifications pour un agent fonctionnant en mode toujours actif, des découvertes qui soulignent l’ampleur des travaux de recherche et développement menés par Anthropic sur les interactions homme-machine.

Anthropic confirme l’origine humaine de la fuite et exclut tout risque sur les données clients

Dans une déclaration officielle transmise aux médias ce matin, un porte-parole d’Anthropic a reconnu la responsabilité de l’entreprise concernant cette exposition. L’incident est officiellement qualifié de problème de packaging lié à une erreur humaine, plutôt que d’une attaque malveillante visant les serveurs de l’organisation. La firme a tenu à préciser que les systèmes de sécurité interne n’ont pas été pénétrés et qu’aucun identifiant de connexion, ni information confidentielle appartenant à la clientèle n’a été exposé au cours de cette manipulation.

La réactivité de l’entreprise vise à limiter l’inquiétude des utilisateurs professionnels et des développeurs utilisant Claude Code dans leurs environnements de production. Bien que le code source lui-même constitue une propriété intellectuelle sensible, l’absence de fuite de données personnelles ou de secrets d’accès aux infrastructures cloud de l’entreprise constitue le point critique du message de crise diffusé par Anthropic. Le correctif de cette erreur de packaging est au cœur des priorités techniques de la journée pour restaurer l’intégrité de la distribution sur NPM.

Les implications à long terme pour la transparence du développement des agents autonomes

La découverte du code source de Claude Code, bien qu’accidentelle, offre une visibilité inédite sur la stratégie produit d’Anthropic. Les fonctionnalités de compagnon virtuel inspirées des Tamagotchis et les agents persistants intégrés suggèrent une orientation vers une autonomie accrue des assistants de codage. Cette fuite contraint désormais l’entreprise à revoir sa communication sur ses futurs développements.

Les experts du domaine considèrent que l’exposition de cette base de code de 512 000 lignes pourrait accélérer l’analyse concurrentielle de la part d’autres acteurs du secteur de l’IA.