BestCreatorTools.app
Posté le
link in bio

Claude Code Leak 2026 : analyse complète, hack npm et impacts développeurs

Auteur

Le Grand Leak de Claude Code : Ce que Tout Développeur Doit Savoir (2026)

Publié le 1er avril 2026 — Le 31 mars 2026 restera dans les annales de la cybersécurité IA. Anthropic a accidentellement exposé 512 000 lignes de code source de Claude Code sur npm. Voici tout ce que vous devez savoir.

💡 Vous gérez votre présence en ligne en tant que développeur ou créateur tech ? bio.ax est le SaaS de "link in bio" pensé pour les pros du digital — centralisez tous vos liens, projets et ressources en une seule page intelligente.

Table des matières

  1. Ce qui s'est passé : La chronologie complète
  2. Qu'est-ce qui a fuité exactement ?
  3. L'Undercover Mode : l'IA qui se fait passer pour un humain
  4. KAIROS, les feature flags secrets et le Tamagotchi
  5. L'attaque parallèle : le désastre axios sur npm
  6. Les répercussions concrètes pour les développeurs
  7. Ce que les concurrents vont faire de ces informations
  8. La réponse d'Anthropic et les DMCA
  9. Ce que cela révèle sur la sécurité de la chaîne logicielle IA
  10. FAQ
  11. Sources

1. Ce qui s'est passé : La chronologie complète

Le 31 mars 2026, dans les premières heures du matin, un stagiaire chez Solayer Labs nommé Chaofan Shou remarque quelque chose d'inhabituel sur le registre npm public d'Anthropic. La version 2.1.88 du package @anthropic-ai/claude-code contient un fichier qu'il n'aurait jamais dû être là : un fichier .map de 59,8 Mo.

Un fichier source map, pour les non-initiés, est un fichier de débogage qui permet de reconstruire le code source original à partir du code compilé et minifié. En production, ce type de fichier ne devrait jamais être distribué publiquement. C'est l'équivalent de livrer les plans d'architecture d'un coffre-fort avec la clé dessus.

À 4h23 du matin (heure de l'Est), Chaofan Shou poste sur X (anciennement Twitter) avec un lien direct vers l'archive. Son message va cumuler plus de 28,8 millions de vues.

La chronologie des événements :

  • 00:21 UTC — La version malveillante d'axios 1.14.1 est publiée sur npm (attaque distincte mais simultanée)
  • 03:29 UTC — La deuxième version malveillante axios 0.30.4 est publiée
  • 4:23 AM ET — Chaofan Shou alerte publiquement sur X
  • Quelques heures plus tard — Le code source est mirrorisé sur des dizaines de dépôts GitHub
  • Dans la journée — Anthropic retire la version 2.1.88, émet des DMCA contre GitHub
  • 24 heures après — Plus de 84 000 stars et 82 000 forks sur les mirrors GitHub. Le code est irrécupérable.

La cause ? Selon Anthropic, une simple erreur humaine : un fichier .npmignore mal configuré. Un bug connu de Bun (le runtime JavaScript qu'Anthropic a acquis fin 2024) — répertorié sous oven-sh/bun#28001 et toujours ouvert au moment de l'incident — permettait aux source maps d'être servies même en mode production.

Trois défaillances de configuration qui se cumulent. Résultat : 512 000 lignes de TypeScript accessibles au monde entier.

2. Qu'est-ce qui a fuité exactement ?

Le fichier .map permettait de reconstruire l'intégralité du répertoire src/ de Claude Code, l'agent de codage d'Anthropic. Concrètement, voici ce que les développeurs ont pu extraire :

  • Le système d'orchestration des LLM : la logique complète de gestion des appels API, des retries, du streaming
  • Le moteur multi-agents : comment Claude Code peut spawner des "sous-agents" pour des tâches complexes
  • Le système de permissions : toute la logique de validation des actions (lecture de fichiers, exécution bash, etc.)
  • Les flux OAuth : les mécanismes d'authentification internes
  • 44 feature flags cachés couvrant des fonctionnalités non encore publiées
  • L'architecture mémoire en trois couches (le système "Self-Healing Memory")
  • Les system prompts complets qui définissent le comportement de l'agent
  • Les noms de code internes : "Tengu", "Capybara", des noms de modèles jamais annoncés publiquement

Pour les ingénieurs qui ont analysé le code, c'est une aubaine sans précédent. C'est comme si Tesla avait accidentellement publié les plans complets de son autopilot sur GitHub.

L'architecture mémoire "Self-Healing"

L'un des détails les plus discutés est l'architecture mémoire à trois couches. Le problème classique des agents IA de longue durée est ce qu'on appelle la "context entropy" : plus la session s'allonge, plus le modèle devient confus ou hallucinatoire. Anthropic a résolu ce problème avec un système sophistiqué centré sur un fichier MEMORY.md, un index léger (~150 caractères par ligne) qui reste perpétuellement en contexte et sert de pointeur vers des informations plus détaillées.

Un DRM au niveau HTTP

Autre découverte technique remarquable : dans system.ts, les requêtes API incluent un placeholder cch=00000. Avant que la requête ne quitte le processus, le runtime natif de Bun (écrit en Zig) remplace ces cinq zéros par un hash cryptographique calculé. Le serveur valide ce hash pour confirmer que la requête provient d'un vrai binaire Claude Code.

C'est littéralement du DRM pour les appels API, implémenté au niveau de la couche transport HTTP — invisible pour tout ce qui tourne en JavaScript. C'est le système qui avait conduit Anthropic à envoyer des menaces légales à OpenCode quelques jours avant le leak.

3. L'Undercover Mode : l'IA qui se fait passer pour un humain

C'est la révélation qui a déclenché le plus de réactions sur Hacker News. Enterré dans le code, un sous-système entier appelé "Undercover Mode" — un mode conçu pour permettre à Claude Code de faire des contributions à des dépôts open-source sans révéler qu'un modèle IA est derrière le code.

Le system prompt est explicite :

"You are operating UNDERCOVER in a PUBLIC/OPEN-SOURCE repository. Your commit messages, PR titles, and PR bodies MUST NOT contain ANY Anthropic-internal information. Do not blow your cover."

Concrètement : Anthropic utilise Claude Code pour contribuer à des projets open-source publics en se faisant passer pour un humain. Pas de mention de "Co-Authored-By: Claude", pas de référence à l'IA, pas de noms de modèles internes dans les messages de commit.

Les implications éthiques sont sérieuses. La transparence dans les contributions open-source est un pilier de la communauté. Si une organisation utilise des agents IA qui se présentent implicitement comme humains dans des dépôts publics, ça soulève des questions fondamentales sur la confiance, la provenance du code, et les licences.

Ajoutons à cela que le code mentionne également des mécanismes anti-distillation : une fonctionnalité gérée par un flag ANTI_DISTILLATION_CC qui, lorsqu'elle est activée, injecte des définitions d'outils factices dans le system prompt. L'objectif ? Polluer les données d'entraînement de quiconque tenterait de capturer le trafic API de Claude Code pour entraîner un modèle concurrent. Subtil, mais désormais public.

4. KAIROS, les feature flags secrets et le Tamagotchi

Parmi les 44 feature flags découverts, plusieurs méritent l'attention :

KAIROS : Un daemon de fond qui peut périodiquement corriger des erreurs ou exécuter des tâches en autonomie, sans attendre l'input humain. Il peut même envoyer des push notifications à l'utilisateur. C'est l'agent persistant du futur — ou du présent caché.

Dream Mode : Un mode dans lequel Claude réfléchit en permanence en arrière-plan, développant des idées et itérant sur du code existant même quand vous ne l'utilisez pas activement.

Capybara v8 : Le nom de code d'un modèle interne en développement. Le code révèle que Capybara v8 souffre d'un taux de fausses affirmations de 29-30%, une régression par rapport aux 16,7% de la version 4. Ces métriques internes sont précieuses pour les concurrents d'Anthropic.

Buddy : Et pour finir, le détail le plus inattendu — un Tamagotchi intégré. Un compagnon IA avec 18 espèces, des niveaux de rareté, et des statistiques incluant le débogage, la patience, le chaos et la sagesse. Anthropic construisait une mascotte virtuelle dans son outil de codage professionnel.

5. L'attaque parallèle : le désastre axios sur npm

La nuit du 31 mars est également celle d'une cyberattaque distincte mais chronologiquement enchevêtrée : le piratage de la bibliothèque axios sur npm.

Axios est l'une des bibliothèques JavaScript les plus utilisées au monde : environ 100 millions de téléchargements par semaine. Elle sert de client HTTP dans des millions d'applications front-end et back-end.

Un attaquant a compromis les identifiants npm du mainteneur principal du projet (jasonsaayman), changé l'email du compte pour une adresse ProtonMail anonyme, et publié deux versions malveillantes : axios@1.14.1 et axios@0.30.4. Ces versions injectent une dépendance cachée, plain-crypto-js@4.2.1, qui exécute un script postinstall — un script qui s'exécute automatiquement dès que vous faites npm install.

Ce script télécharge et installe un Remote Access Trojan (RAT) multiplateforme — macOS, Windows et Linux sont tous ciblés. Le RAT s'installe, prend de l'empreinte système, et contacte le serveur de l'attaquant toutes les 60 secondes pour recevoir des commandes arbitraires.

Le 1er avril, Google Threat Intelligence Group a attribué cette attaque à UNC1069, un groupe de menace ayant des liens présumés avec la Corée du Nord.

Si vous avez fait npm install entre 00:21 UTC et 03:29 UTC le 31 mars 2026, vérifiez immédiatement vos lockfiles :

grep -r "1.14.1\|0.30.4\|plain-crypto-js" package-lock.json
grep -r "1.14.1\|0.30.4\|plain-crypto-js" yarn.lock
grep -r "1.14.1\|0.30.4\|plain-crypto-js" bun.lockb

Si vous trouvez une correspondance, traitez la machine comme entièrement compromise : rotez tous les secrets, les clés API, les tokens de déploiement, et envisagez une réinstallation complète de l'OS.

6. Les répercussions concrètes pour les développeurs

Pour les utilisateurs de Claude Code

  1. Risque immédiat : Si vous avez mis à jour Claude Code via npm dans la fenêtre temporelle mentionnée, vous avez peut-être aussi tiré une version corrompue d'axios. Passez au Native Installer recommandé par Anthropic : curl -fsSL https://claude.ai/install.sh | bash

  2. Risque de typosquatting : Des acteurs malveillants ont rapidement déposé des noms de packages npm qui ressemblent aux noms internes exposés par le leak (audio-capture-napi, color-diff-napi, image-processor-napi, etc.). Si vous essayez de compiler le code source leaké, méfiez-vous.

  3. Risque de sécurité structurel : La société de sécurité Straiker a averti que des attaquants peuvent désormais étudier précisément comment les données circulent dans le pipeline de contexte à quatre étapes de Claude Code et concevoir des payloads capables de survivre à la compression du contexte, persistant ainsi un backdoor sur une session arbitrairement longue.

Pour les développeurs en général

L'incident est un cours magistral sur les risques de la supply chain npm :

  • Vos dépendances peuvent vous trahir. Axios était une bibliothèque de confiance. Elle a quand même été compromise.
  • Les scripts postinstall sont dangereux. Désactivez-les dans vos projets : npm install --ignore-scripts
  • Les long-lived npm tokens sont une bombe à retardement. L'attaquant a pu publier sur npm grâce à un token d'accès non expiré.
  • L'absence de provenance OIDC est un signal d'alarme. Les vraies releases d'axios ont toujours des attestations SLSA. Les versions malveillantes n'en avaient aucune.

Pour les responsables sécurité et les CISOs

C'est l'heure du bilan pour vos pratiques de gestion des dépendances :

  • Auditez vos registres npm internes pour des packages Claude Code contenant des fichiers .map
  • Implémentez une politique "cooldown" : rejeter les packages publiés il y a moins de 3 jours
  • Exigez des preuves OIDC/SLSA pour toutes les dépendances critiques
  • Générez un SBOM à chaque build avec des outils comme syft ou cdxgen

🔗 En parlant de centraliser ce qui compte : si vous êtes développeur indépendant ou créateur de contenu tech, bio.ax vous permet de créer une page de liens complète en quelques minutes. Partagez vos projets GitHub, vos articles, vos outils — tout au même endroit.

7. Ce que les concurrents vont faire de ces informations

Pour les ingénieurs de Google DeepMind, OpenAI, Mistral ou Cohere, ce leak est un cadeau stratégique involontaire. Voici ce qu'ils peuvent en tirer :

L'architecture multi-agents : Le pattern exact utilisé par Anthropic pour orchestrer des sous-agents, gérer la mémoire partagée entre sessions, et éviter la context entropy est maintenant public. Des équipes rivales peuvent s'en inspirer directement.

Les métriques de performance internes : Savoir que Capybara v8 a un taux de fausses affirmations de 29-30% donne aux concurrents un benchmark précis. Ils savent maintenant exactement où les faiblesses d'Anthropic se situent, et peuvent positionner leurs propres modèles en conséquence.

Les feature flags et la roadmap produit : KAIROS et Dream Mode révèlent la direction stratégique d'Anthropic. Ces fonctionnalités prennent des mois à développer ; les concurrents peuvent maintenant les anticiper et potentiellement les livrer en premier.

Les mécanismes anti-distillation : Ironiquement, en exposant ses protections anti-distillation, Anthropic a offert à ses concurrents un blueprint pour implémenter leurs propres défenses.

Comme le résume un ingénieur cité dans la couverture de VentureBeat : "Le code peut être refactorisé. La surprise stratégique, elle, ne peut pas être re-leakée."

8. La réponse d'Anthropic et les DMCA

Anthropic a réagi rapidement sur plusieurs fronts.

La déclaration officielle : "Earlier today, a Claude Code release included some internal source code. No sensitive customer data or credentials were involved or exposed. This was a release packaging issue caused by human error, not a security breach. We're rolling out measures to prevent this from happening again."

Les DMCA : Anthropic a commencé à émettre des takedowns DMCA contre les mirrors GitHub. GitHub a obtempéré en quelques heures. Mais le code avait déjà été mirrorisé sur Gitlawb, une plateforme Git décentralisée, avec le message explicite : "Will never be taken down." Le code est également accessible via des torrents et d'autres plateformes hors de portée du droit américain.

La question légale du copyright : Le copyright des logiciels générés en partie par des IA est un terrain juridique instable. Le DC Circuit a confirmé en mars 2025 que le code entièrement généré par IA ne bénéficie pas de la protection automatique du copyright. Si une partie significative de Claude Code a été écrite par Claude lui-même — ce que le CEO d'Anthropic a lui-même laissé entendre — les prétentions au copyright d'Anthropic pourraient être contestées.

Le record GitHub : En réponse au leak, un développeur coréen, Sigrid Jin, s'est réveillé à 4h du matin à la nouvelle. Il a porté l'architecture core en Python depuis zéro et publié claw-code avant le lever du soleil. Le dépôt a atteint 30 000 stars GitHub plus vite que n'importe quel autre dépôt dans l'histoire de la plateforme.

9. Ce que cela révèle sur la sécurité de la chaîne logicielle IA

Cet incident, pris avec l'attaque axios, dessine un tableau inquiétant de la sécurité de l'écosystème des outils IA.

La confiance dans npm est fragile. Le registre npm est le système nerveux du développement JavaScript moderne. Une seule paire de credentials compromise peut contaminer des millions de machines en quelques heures. L'attaque axios le prouve avec brutalité.

Les outils IA élargissent la surface d'attaque. Claude Code a accès aux fichiers, aux commandes bash, aux dépôts Git, aux clés API stockées dans l'environnement. Un outil compromis ou manipulé peut exfiltrer tous ces éléments. Le leak du code source donne aux attaquants un plan détaillé de la logique de permissions.

L'humain reste le maillon faible. Que ce soit un .npmignore mal configuré chez Anthropic ou un token npm non expiré chez le mainteneur d'axios, les deux incidents remontent à des erreurs humaines de configuration. Aucune architecture de sécurité n'est robuste face à des erreurs opérationnelles basiques.

La décentralisation comme bouclier. Gitlawb et d'autres plateformes décentralisées ont rendu le code pratiquement impossible à retirer. Ce qui est publié sur internet aujourd'hui y reste pour toujours — c'est une réalité que toute organisation manipulant du code propriétaire doit intégrer dans son modèle de risque.

Ce n'est d'ailleurs pas le premier faux-pas d'Anthropic récent : quelques jours avant le leak du code, la company avait accidentellement exposé son "model spec" interne. Deux accidents en une semaine, pour une entreprise valorisée à des dizaines de milliards de dollars, c'est une question de culture d'ingénierie autant que de process.

🚀 Développeur freelance ou fondateur d'un micro-SaaS ? bio.ax est l'outil qu'il vous faut pour partager tous vos projets, articles et ressources depuis une seule URL. Simple, rapide, professionnel.

10. FAQ — Questions & Réponses sur le Leak de Claude Code

Qu'est-ce que le leak de Claude Code ?

Le 31 mars 2026, Anthropic a accidentellement publié un fichier source map de 59,8 Mo dans la version 2.1.88 du package npm @anthropic-ai/claude-code. Ce fichier permettait de reconstruire l'intégralité des 512 000 lignes du code source TypeScript de Claude Code, l'agent de codage IA d'Anthropic.

Mes données personnelles ont-elles été exposées ?

Non. Anthropic a confirmé qu'aucune donnée client sensible ni aucun identifiant n'ont été exposés. Le leak concerne uniquement le code source interne de l'outil, pas les données des utilisateurs.

Qu'est-ce que l'Undercover Mode révélé par le leak ?

L'Undercover Mode est un sous-système de Claude Code qui permet à l'agent IA de contribuer à des dépôts open-source publics sans révéler qu'un modèle IA est derrière les commits. Le system prompt interne indique explicitement : "Do not blow your cover" — ne révèle pas ton identité.

Y a-t-il un lien entre le leak de Claude Code et l'attaque axios ?

Temporellement oui, causalement non. Les deux incidents se sont produits la même nuit du 31 mars 2026, mais ils sont indépendants. L'attaque axios est une cyberattaque délibérée attribuée au groupe nord-coréen UNC1069. Le leak de Claude Code est une erreur humaine de packaging chez Anthropic.

Que faire si j'ai mis à jour Claude Code via npm le 31 mars 2026 ?

Vérifiez vos fichiers de verrouillage (package-lock.json, yarn.lock, bun.lockb) pour les versions axios 1.14.1, 0.30.4, ou la dépendance plain-crypto-js. Si vous les trouvez, considérez la machine comme compromise, rotez tous vos secrets et clés API, et passez au Native Installer d'Anthropic.

Peut-on utiliser le code source leaké ?

Juridiquement, c'est une zone grise complexe. Anthropic a émis des DMCA. Cependant, la question du copyright sur du code partiellement généré par IA est activement débattue. En pratique, utiliser ce code dans un projet commercial vous exposerait à des risques légaux significatifs.

Qu'est-ce que KAIROS dans Claude Code ?

KAIROS est un daemon de fond découvert dans les feature flags du code leaké. Il permet à Claude Code de fonctionner de manière autonome, sans interaction humaine constante — corriger des erreurs périodiquement, exécuter des tâches planifiées, et envoyer des notifications push aux utilisateurs.

Anthropic a-t-il été piraté ?

Non. Selon Anthropic, il ne s'agit pas d'une intrusion mais d'une erreur de configuration lors du processus de release : un fichier de debug qui n'aurait pas dû être inclus dans la distribution publique a été empaqueté avec le binaire.

Le code leaké est-il encore accessible ?

Oui. Malgré les DMCA, le code a été mirrorisé sur des plateformes décentralisées comme Gitlawb avec la promesse explicite de ne jamais le retirer. Des réimplémentations "clean-room" (notamment claw-code en Python) ont également été publiées et sont techniquement distinctes du code original.

Quels sont les risques de sécurité à long terme pour les développeurs utilisant Claude Code ?

Les chercheurs en sécurité avertissent que la connaissance précise de l'orchestration interne de Claude Code permet à des attaquants de concevoir des attaques plus ciblées : manipulation via des dépôts malveillants, injection de prompts résistant à la compaction du contexte, ou exploitation des Hooks et serveurs MCP. La vigilance sur les dépôts que vous ouvrez avec Claude Code est maintenant plus importante que jamais.

Comment protéger mon infrastructure face à ce type de risque ?

Adoptez une politique de "zero trust" pour vos outils IA : limitez leurs permissions au strict nécessaire, désactivez les scripts postinstall npm, utilisez des registres internes, exigez des preuves de provenance SLSA, et générez des SBOMs à chaque build.

Sources

  1. VentureBeat"Claude Code's source code appears to have leaked: here's what we know" — venturebeat.com (1 avril 2026)
  2. The Hacker News"Claude Code Source Leaked via npm Packaging Error, Anthropic Confirms" — thehackernews.com (1 avril 2026)
  3. Decrypt"Anthropic Accidentally Leaked Claude Code's Source—The Internet Is Keeping It Forever" — decrypt.co (31 mars 2026)
  4. Alex Kim's Blog"The Claude Code Source Leak: fake tools, frustration regexes, undercover mode, and more" — alex000kim.com (31 mars 2026)
  5. DEV Community"The Great Claude Code Leak of 2026" — dev.to (1 avril 2026)
  6. Malwarebytes"Axios supply chain attack chops away at npm trust" — malwarebytes.com (31 mars 2026)
  7. The Register"Top npm package backdoored to drop dirty RAT on dev machines" — theregister.com (31 mars 2026)
  8. SOCRadar"Axios npm Hijack 2026: Everything You Need to Know – IOCs, Impact & Remediation" — socradar.io (1 avril 2026)
  9. CyberNews"Hackers hit axios, a hugely popular NPM library with 100M downloads" — cybernews.com (31 mars 2026)
  10. Hacker News"The Claude Code Source Leak: fake tools, frustration regexes, undercover mode" — news.ycombinator.com (31 mars 2026)
  11. GitHubasgeirtj/system_prompts_leaks — Dépôt public des system prompts extraits (2025-2026)
  12. Medium / Coding Nexus"Claude Code's entire system prompt just leaked" — medium.com (décembre 2025)
  13. CISO Series"Cybersecurity News: Axios poisoned, TeamPCP details, Claude Code leaked" — cisoseries.com (1 avril 2026)
  14. Anthropic Docs"Reduce prompt leak" — platform.claude.com

Cet article sera mis à jour au fur et à mesure des développements. Pour ne rien manquer, partagez-le et revenez régulièrement.

📌 bio.ax — Créez votre page de liens personnalisée en 2 minutes. Idéal pour les développeurs, créateurs et fondateurs de startups qui veulent centraliser leur présence digitale. Essai gratuit disponible.

Billets en rapport