Le 31 mars 2026 restera dans les annales comme le jour où le rideau est tombé. Anthropic, le champion de la "Safety", a laissé échapper les clés du royaume : 512 000 lignes de code source de Claude Code ont été publiées par erreur sur npm.
Accident technique embarrassant ou fuite orchestrée à la veille du 1er avril ? Plongeons dans les entrailles de la bête.
1. L'anatomie du crash : Une ligne manquante
L'ironie est totale. Ce n'est pas un hack sophistiqué, mais une simple erreur de configuration de déploiement.
Le coupable : Une ligne absente dans le fichier
.npmignore.L'effet domino : Les source maps (fichiers
.map) ont été incluses. Elles pointaient vers un bucket Cloudflare R2 public contenant l'intégralité du code source en.zip.Le facteur Bun : Anthropic utilise le runtime Bun (acquis fin 2025). Un bug connu (#28001) forçait l'expédition des cartes sources même en production.
2. Ce que le code nous dit (Les pépites cachées)
Le leak ne contient pas les "poids" de l'IA, mais le "harnais agentique", ce qui est presque plus précieux pour les développeurs.
Architecture Mémoire à 3 Couches
Anthropic a résolu "l'entropie du contexte" (les hallucinations en fin de session) avec une structure brillante :
MEMORY.md : Un index ultra-léger de pointeurs toujours présent.
Topic Files : La connaissance du projet chargée à la demande.
Raw Transcripts : Jamais relus entièrement, seulement scannés par
grep.
Fonctionnalités non publiées
Le code révèle des projets dont nous n'étions pas censés connaître l'existence :
KAIROS : Un mode démon qui travaille sur votre code pendant que vous dormez.
ULTRAPLAN : Délègue le raisonnement complexe à des instances Opus distantes pendant 30 min.
BUDDY : Un Tamagotchi caché dans le terminal (18 espèces, dont des Axolotls et des Dragons !).
ALERTE SÉCURITÉ : L'attaque Axios
Attention : Si vous avez mis à jour Claude Code via npm le 31 mars entre 00:21 et 03:29 UTC, vous êtes peut-être infecté par un RAT (Remote Access Trojan) via une version compromise d'Axios.
Vérifiez vos fichiers lock immédiatement :
Si vous trouvez une correspondance, changez vos clés API et réinstallez votre OS.
3. Accident ou Coup de Pub ?
La théorie du complot prend de l'ampleur. Pourquoi ?
Le Timing : À quelques heures du 1er avril et du lancement prévu de "Buddy".
Le Rebranding : Anthropic passait pour une boîte froide et juridique (suite au procès OpenCode). En 48h, ils sont devenus les "génies de l'ingénierie" aux yeux de la communauté.
Le "Capybara" : La fuite confirme l'arrivée imminente de la famille de modèles Capybara/Mythos, créant une hype sans précédent.
La leçon pour votre équipe
Ne devenez pas le prochain gros titre de presse. Voici votre check-list post-mortem :
Audit
.npmignore: Excluez explicitement*.map.Verify Buckets : Vos artifacts de build ne doivent jamais pointer vers des URL publiques sans auth.
Use Native : Anthropic recommande désormais l'installateur natif :
curl -fsSL https://claude.ai/install.sh | bash
Le Leak en chiffres
| Métrique | Valeur |
| Lignes de code | 512 000+ |
| Fichiers TypeScript | 1 906 |
| Vitesse record GitHub | 50k étoiles en 2h |
| feature flag / feature toggle | 44 |