Le code source complet de Claude Code a fuité aujourd’hui. Un fichier source map de 60 Mo, oublié dans le package npm, a exposé l’intégralité du code de l’outil de programmation d’Anthropic : 1 900 fichiers TypeScript, 512 000 lignes de code. Et c’est la deuxième fois en un an que ça arrive. Après la fuite de Claude Mythos la semaine dernière, Anthropic enchaîne les incidents embarrassants.
Comment c’est arrivé
Le chercheur en sécurité Chaofan Shou a découvert ce matin qu’un fichier cli.js.map était inclus dans la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm public.
Les fichiers source map servent normalement au débogage : ils font le lien entre le code compilé et le code source original. Inclure un fichier .map dans un package de production, c’est l’équivalent de publier tout votre code source en clair.
Pire : le fichier map référençait une archive zip hébergée sur un bucket Cloudflare R2 d’Anthropic. N’importe qui pouvait la télécharger et la décompresser.
Le code a été immédiatement sauvegardé sur GitHub, où il a accumulé plus de 1 100 étoiles et 41 500 forks en quelques heures.
Ce que le code révèle
L’analyse du code source montre que Claude Code est bien plus qu’un simple wrapper autour d’une API :
- ~1 900 fichiers TypeScript, 512 000+ lignes de code
- ~40 outils intégrés (lecture de fichiers, exécution bash, web fetch, LSP…)
- ~50 commandes slash (/commit, /review-pr, gestion de mémoire…)
- Moteur de requêtes de 46 000 lignes qui gère les appels API, le streaming et l’orchestration
- Orchestration multi-agents : Claude Code peut lancer des sous-agents (appelés « swarms ») pour paralléliser les tâches complexes
- Système de mémoire persistante basé sur des fichiers pour retenir le contexte entre sessions
- Pont IDE bidirectionnel vers VS Code et JetBrains via JWT
- Runtime Bun (pas Node), UI terminale en React + Ink
La réponse d’Anthropic
Anthropic a confirmé l’incident dans un communiqué : « Une release de Claude Code a inclus du code source interne. C’est un problème de packaging causé par une erreur humaine, pas une faille de sécurité. Aucune donnée client ou credential n’a été exposée. Nous mettons en place des mesures pour que ça ne se reproduise plus. »
Le problème, c’est que « ça ne se reproduise plus » a déjà été promis. La fuite de Claude Mythos date de la semaine dernière. Deux incidents majeurs en quelques jours, c’est un pattern, pas un accident.
Ce que ça change pour vous
Si vous utilisez Claude Code au quotidien : pas de panique. Aucune donnée personnelle ou clé API n’a été exposée. C’est le code de l’outil lui-même qui a fuité, pas vos informations.
Pour les développeurs : c’est un rappel brutal. Vérifiez vos pipelines de build. Un simple npm pack --dry-run avant chaque publication permet de voir exactement ce qui sera inclus dans votre package. Un fichier .npmignore mal configuré peut exposer tout votre travail.
Notre avis
L’ironie est parfaite : l’outil conçu pour aider les développeurs à écrire du meilleur code a été trahi par une erreur de configuration de build. Mais au-delà de l’anecdote, ce que révèle le code est impressionnant. 512 000 lignes, orchestration multi-agents, mémoire persistante : Claude Code est un produit d’ingénierie de très haut niveau. Anthropic a juste besoin de resserrer ses processus de release. Urgement.