Fuite massive : le code source de claude code exposé !
Une erreur de packaging interne a conduit à une fuite spectaculaire du code source de Claude Code, l'outil de programmation autonome d'Anthropic. Près d'un demi-million de lignes de code TypeScript, l'équivalent de 1900 fichiers, se retrouvent désormais accessibles, remettant en question la sécurité et la réputation de l'entreprise.
L'erreur fatale : un fichier .map malheureux
L'incident, rapporté par The Register, découle d'une simple, mais catastrophique, erreur humaine. Lors d'une mise à jour de Claude Code, un développeur d'Anthropic a inclus par inadvertance un fichier .map dans le paquetage npm distribué aux utilisateurs du monde entier. Ces fichiers, bien que ne contenant pas de code exécutable, servent de carte pour reconstruire le code source original à partir de sa version minimisée. Un outil précieux pour les développeurs, mais un véritable poison dans l'environnement de production où ils devraient être systématiquement exclus.
Dans ce cas précis, le fichier .map pointait vers un ZIP hébergé sur Cloudflare R2, un espace de stockage interne d'Anthropic contenant l'intégralité du code source de Claude Code. Un chercheur, suivant simplement le lien, a téléchargé le ZIP et l'a ensuite déposé sur un dépôt public GitHub. Le résultat : le code est désormais accessible à quiconque possède une connexion internet.
Que contient le code filtré ?
L'ensemble du code divulgué, estimé à 512 000 lignes, offre un aperçu sans précédent du fonctionnement interne de Claude Code. On y trouve des commandes internes, des outils intégrés, des modules de gestion de session, des intégrations avec d'autres services, et même des feature flags révélant des fonctionnalités en cours de développement, que Anthropic n'avait pas encore officiellement annoncées. La fuite permet, par exemple, de comprendre comment Claude Code raisonne, orchestre les flux de travail, gère le contexte et interagit avec l'environnement de développement de l'utilisateur.
Fort heureusement, Anthropic affirme que les données personnelles des clients, les identifiants ou les informations sensibles externes au code source n'ont pas été compromises. L'entreprise insiste également sur le fait qu'il ne s'agit pas d'une faille de sécurité au sens classique du terme, mais plutôt d'une erreur de configuration du processus d'empaquetage.
Une suite d'incidents et la course à l'innovation
Cet incident s'inscrit dans une série de problèmes rencontrés récemment avec Claude, notamment des vulnérabilités liées à des agents alternatifs et des extensions de navigateur. Ces épisodes soulignent une tension croissante entre la rapidité de l'innovation et la rigueur des contrôles de sécurité. La pression pour intégrer de nouvelles fonctionnalités, améliorer les performances et élargir la base d'utilisateurs pousse parfois les équipes à négliger les aspects critiques de la sécurité. La fuite de Claude Code est un rappel brutal que la sécurité de l'IA ne réside pas uniquement dans le modèle lui-même, mais dans chaque étape du cycle de développement.
Anthropic a rapidement retiré le fichier .map du paquetage npm, mais le mal est fait. Le ZIP original a été répliqué sur des dizaines de forks GitHub, copié dans des dépôts privés et archivé sur de multiples serveurs. Le code filtré continuera de circuler dans la communauté pendant des années, à l'image d'autres fuites de code source dans l'écosystème logiciel.
Si Anthropic s'efforce de se présenter comme une entreprise vendant une IA « sûre et contrôlée », cet incident ternit son image. Pour la communauté de la sécurité et de l'IA, cette fuite constitue un terrain de jeu pour l'audit de vulnérabilités, l'analyse comparative avec les versions précédentes et l'étude de la naissance et du fonctionnement des commandes internes, des agents de fond et des modes de planification.
Le gâchis d'Anthropic devient alors un cas d’étude pour toute équipe logicielle travaillant avec l’intelligence artificielle : une leçon amère sur la nécessité d'une vigilance constante, même lorsque l'innovation semble exiger la rapidité.