Quand l'entreprise la plus prudente de l'IA laisse ses clés sous le paillasson
4h du mat, j'ai des frissons (tout commence)
Le 31 mars 2026, à 4h23 du matin (heure de la côte Est américaine), Chaofan Shou ouvre une notification sur son téléphone. Shou est co-fondateur et CTO de FuzzLand, une firme de sécurité blockchain, et développeur chez Solayer Labs. Ce qu'il remarque dans la publication d'un nouveau paquet npm, la plateforme standard de distribution des outils JavaScript, est discret mais potentiellement explosif : un fichier .map accessible publiquement alors qu'il n'aurait jamais dû l'être.
Un fichier .map, dans le jargon du développement logiciel, est un fichier de débogage. Son rôle est de servir de "carte de déchiffrement" entre un code source original, lisible, et sa version compressée et obfusquée telle qu'elle est distribuée au public. Ces fichiers sont des outils internes, destinés aux équipes de développement. Leur présence dans une publication publique est une anomalie. Celle-ci pointe vers une archive hébergée sur les serveurs cloud d'Anthropic, accessible sans authentification.
En quelques minutes, Shou partage sa trouvaille sur le réseau X. Ce qui se trouve derrière le lien : 512 000 lignes de code TypeScript, réparties dans près de 1 900 fichiers. C'est l'intégralité du code source de Claude Code, le nouvel outil phare d'Anthropic : un agent de développement logiciel conçu pour opérer directement depuis le terminal d'un programmeur.
Et c'est la boulette (sortez les briquets)…
Pour comprendre le poids de cet incident, il faut le replacer dans son contexte. Anthropic n'est pas une entreprise comme les autres dans le paysage de l'intelligence artificielle. Depuis sa fondation, elle a construit son positionnement sur un argument central : la prudence. Là où d'autres laboratoires ont été accusés de brûler les étapes, Anthropic a fait de la sécurité une marque, un argumentaire commercial, et une identité d'entreprise. Le nom de son département de recherche sur la sécurité, "Responsible Scaling Policy", illustre cette rhétorique.
Ce contexte rend l'origine technique de la fuite d'autant plus notable. Elle ne résulte pas d'une intrusion, d'une attaque sophistiquée ou d'un acte malveillant. Elle résulte d'une configuration incomplète dans le pipeline de publication. Plus précisément, de deux filets de sécurité absents simultanément : l'activation par défaut des source maps dans Bun, l'outil de build acquis par Anthropic fin 2025 et intégré à ses processus, et l'absence d'un fichier .npmignore correctement configuré pour empêcher les artefacts de débogage d'être inclus dans les publications publiques. Ce qui rend ce point particulièrement saillant : un bug connu de Bun en ce sens existait depuis le 11 mars, soit vingt jours avant la publication du paquet. Il n'avait pas été corrigé.
La fuite du 31 mars n'est pas non plus un incident isolé. Cinq jours plus tôt, le 26 mars, une erreur de configuration dans le CMS, le logiciel utilisé pour gérer le blog officiel d'Anthropic, avait révélé l'existence d'un futur modèle jusqu'alors confidentiel, "Claude Mythos", connu en interne sous le nom de code "Capybara". Deux incidents de nature différente, en moins d'une semaine, tous deux liés à des défaillances de configuration.
L'Undercover Mode, ou l'ironie de la chute
Dès les premières heures suivant la publication du post de Shou, des développeurs du monde entier commencent à parcourir le code. Plusieurs fonctionnalités inédites, jusqu'alors inconnues du public, sont mises au jour.
Parmi elles : KAIROS, un mode conçu pour faire fonctionner Claude Code comme un agent autonome en arrière-plan, capable de consolider la mémoire et d'agir sans sollicitation directe de l'utilisateur. Un système d'expressions régulières destiné à détecter les grossièretés dans les prompts des utilisateurs, utilisé comme signal de frustration à des fins de télémétrie interne. Et Buddy, un Tamagotchi virtuel caché dans le terminal, doté de cinq statistiques : débogage, patience, chaos, sagesse et sarcasme.
Mais c'est une autre découverte qui retient le plus l'attention : l'Undercover Mode. Il s'agit d'un mode spécifiquement programmé pour empêcher le modèle de révéler qu'il est une intelligence artificielle, ou de divulguer des noms de code internes, lorsqu'il contribue à des projets open source au nom d'un utilisateur. La logique fonctionnelle de ce mode, qui consiste à faire en sorte que l'IA ne se présente pas comme telle dans certains contextes, soulève des questions sur les modalités d'usage envisagées par Anthropic pour son outil dans des environnements collaboratifs publics. Elle ouvre également un débat sur la transparence attendue des agents d'IA dans des espaces où les contributions sont supposément attribuables à des personnes physiques.
L'ironie de la situation n'échappe à personne : le système conçu pour contrôler ce qu'un outil révèle sur lui-même est précisément l'un des éléments que la fuite a rendu public.
V'la Barbara Streisand : lorsque chaque tentative de suppression amplifie la diffusion
Face à la propagation du contenu, Anthropic active les procédures légales disponibles. Des demandes de retrait sont envoyées à GitHub sur la base du DMCA, le Digital Millennium Copyright Act, la loi américaine sur le droit d'auteur numérique à laquelle GitHub est légalement tenu de se conformer. Les dépôts hébergeant le code commencent à disparaître.
La réponse de la communauté des développeurs est rapide et organisée. À 4h du matin, Sigrid Jin est réveillé par son téléphone saturé de notifications. Jin n'est pas un inconnu dans cet écosystème : le Wall Street Journal l'avait récemment présenté comme l'un des utilisateurs les plus intensifs de Claude Code au monde, avec 25 milliards de tokens consommés en un an. Il anime également la plus grande communauté LLM en langue coréenne. S'installant devant son ordinateur, il entreprend de réécrire depuis zéro l'architecture centrale du projet en Python, donnant naissance à claw-code. En quelques heures supplémentaires, l'ensemble est refactorisé en Rust.
Cette approche porte un nom : la "réécriture en salle blanche" (clean-room rewrite). Elle consiste à reproduire le comportement d'un logiciel sans copier une seule ligne de son code source original. Sur le plan juridique, une telle réécriture occupe un espace distinct du code d'origine et échappe aux mécanismes du DMCA. D'autres développeurs, parallèlement, archivent les fichiers sur Gitlawb, une plateforme dont les serveurs sont situés hors de la juridiction américaine et dont l'architecture décentralisée la rend structurellement difficile à censurer.
En quelques heures, les dépôts passent du statut de simples archives à celui de projets de documentation actifs. La publication originale de Shou dépasse les 16 millions de vues. Les demandes de suppression DMCA ont eu pour principal effet d'accroître la visibilité de l'incident et d'accélérer la création de copies hors de portée légale.
Ce que ça dit de la gestion de la boulette opérationnel
Au-delà de l'anecdote technique, l'incident pose une question plus structurelle. Sur le plan stratégique, les éléments exposés sont substantiels : les gestionnaires de permissions de Claude Code, sa structure multi-agents, et des éléments de son carnet de route produit sont désormais accessibles publiquement. La correction technique, elle, est clairement identifiée : désactiver explicitement la génération de source maps dans le pipeline de build, et s'assurer qu'un fichier .npmignore correctement configuré empêche tout artefact de débogage d'être inclus dans une publication publique.
Mais la juxtaposition de deux fuites en cinq jours, l'une sur le blog officiel et l'autre dans le registre npm, pointe vers quelque chose de plus diffus qu'un bug isolé. Les deux incidents résultent d'erreurs de configuration dans des outils distincts, sur des équipes probablement différentes. Ce qui les rapproche, c'est leur nature commune : non pas des failles de sécurité au sens classique, mais des défaillances dans les processus de vérification avant publication.
Pour une entreprise dont le discours public est structuré autour de la notion de contrôle (contrôle des modèles, contrôle des risques, contrôle de la mise sur le marché), la question que soulèvent ces deux semaines de mars 2026 est moins technique qu'organisationnelle.
Merci d'avoir lu jusqu'ici
Si vous souhaitez discuter de cet article, n'hésitez pas à me contacter (le lien ouvre un nouvel onglet). Je serais ravi de vous entendre.
🫣