Le code source de l'interface en ligne de commande Claude Code d'Anthropic a fuité en ligne à la suite d'une erreur de packaging lors d'une récente mise à jour. L'incident a exposé plus de 512 000 lignes de code provenant de près de 2 000 fichiers TypeScript. L'entreprise a décrit l'événement comme une erreur humaine n'impliquant aucune donnée sensible.
Anthropic a publié la version 2.1.88 de son package npm Claude Code le 31 mars 2026. Le package incluait par inadvertance un fichier source map, donnant ainsi accès à l'intégralité du code source. Le chercheur en sécurité Chaofan Shou a été le premier à signaler le problème sur X, en partageant un lien vers une archive des fichiers. Le code est rapidement apparu dans un dépôt GitHub public, qui a depuis été forké des dizaines de milliers de fois. Aucune donnée client ou identifiant n'a été exposé, selon les responsables d'Anthropic, qui ont qualifié l'incident de problème de packaging dû à une erreur humaine et non d'une faille de sécurité. L'entreprise a déclaré : « Plus tôt aujourd'hui, une version de Claude Code incluait du code source interne. Aucune donnée client sensible ni aucun identifiant n'ont été impliqués ou exposés. Il s'agissait d'un problème de packaging lié à une erreur humaine, et non d'une faille de sécurité. Nous mettons en place des mesures pour éviter que cela ne se reproduise. » Les développeurs ont rapidement commencé à analyser le code ayant fuité. Par exemple, une étude a détaillé l'architecture de la mémoire de Claude Code, incluant les étapes de réécriture de la mémoire en arrière-plan et de validation. Une autre analyse a relevé environ 40 000 lignes pour un système d'outils similaire à des plugins et 46 000 pour le système de requêtes, décrivant l'ensemble comme un outil de développement sophistiqué de niveau industriel, bien au-delà d'une simple interface API. Les efforts communautaires avaient déjà partiellement permis de procéder à une rétro-ingénierie de Claude Code, mais cette fuite offre une exhaustivité sans précédent. Cette exposition permet aux concurrents d'avoir un aperçu de l'architecture d'Anthropic et des vulnérabilités potentielles de ses systèmes de protection.
