512 000 lignes du code source CLI de Claude Code fuitent après une “erreur humaine”, assure Anthropic

Une fuite de code, pas une petite victoire de sécurité

Claude Code, l’assistant de programmation d’Anthropic qui s’utilise dans le terminal, s’est rapidement taillé une place dans la grande parade du vibe coding. Il a déjà servi à toutes sortes de projets, y compris un jeu conçu par un chien, parce que visiblement tout finit un jour ou l’autre par devenir une démonstration de concept.

Sauf que la dernière version diffusée par Anthropic a aussi embarqué un fichier de source map. Résultat : accès au code source de l’interface en ligne de commande, soit le CLI de Claude Code.

La version d’Anthropic

Un porte-parole d’Anthropic a déclaré à plusieurs médias, dont VentureBeat :

« Plus tôt aujourd’hui, une version de Claude Code a inclus du code source interne. Aucune donnée sensible de clients ni aucun identifiant n’a été impliqué ou exposé. Il s’agissait d’un problème de packaging lors de la publication, causé par une erreur humaine, et non d’une faille de sécurité. Nous déployons des mesures pour éviter que cela ne se reproduise. »

En clair, la société affirme qu’il ne s’agit pas d’une intrusion, mais d’un mauvais empaquetage de la version publiée. Une distinction importante, surtout quand on essaie de calmer tout le monde après coup.

Les premières analyses du code

La fuite date de moins de vingt-quatre heures, mais cela n’a évidemment pas empêché certains curieux de commencer à fouiller dans le code. Parmi les trouvailles déjà mises en avant figure un système de mémoire décrit comme « incroyablement bien conçu », basé sur une architecture en trois couches et présenté comme une forme de « mémoire auto-réparatrice ».

Autrement dit, il y a probablement des éléments d’ingénierie qu’Anthropic préfèrerait garder à l’abri des regards indiscrets.

Un deuxième incident en une semaine

Même si les données clients semblent être restées hors d’atteinte, ce serait le deuxième incident de fuite signalé chez Anthropic en l’espace d’une semaine. Dans un marché de l’IA de plus en plus encombré, ce n’est pas exactement le genre de publicité que l’entreprise espérait.