- ▸ Points clés
- ▸ Comment la fuite s'est produite
- ▸ Un incident aggravé par un cheval de Troie
- ▸ La réponse d'Anthropic
Points clés
- 500 000 lignes de code de Claude Code exposées via un fichier source map dans un package npm
- L’incident s’est produit le 31 mars 2026, entre 00h21 et 03h29 UTC
- Anthropic affirme qu’aucune donnée client n’a été compromise
- Un cheval de Troie a été injecté dans la version compromise du package
Anthropic a confirmé le 31 mars 2026 la publication accidentelle du code source complet de Claude Code, son outil de programmation assistée par IA. Un fichier source map de 59,8 Mo, contenant environ 500 000 lignes de code réparties dans 1 900 fichiers, a été inclus par erreur dans la version 2.1.88 du package npm public.
Comment la fuite s’est produite
L’erreur est banale : un fichier .map de développement n’a pas été exclu du build de production avant publication sur le registre npm. Le chercheur en sécurité Chaofan Shou a repéré l’anomalie et l’a signalée publiquement sur X, déclenchant une réaction virale. Selon Fortune, il s’agit du deuxième incident de sécurité d’Anthropic en quelques jours, après la révélation accidentelle du projet Mythos.
Un incident aggravé par un cheval de Troie
L’affaire ne s’arrête pas à la fuite. Selon SecurityWeek, les utilisateurs ayant installé ou mis à jour Claude Code via npm entre 00h21 et 03h29 UTC le 31 mars ont potentiellement téléchargé une version contenant un cheval de Troie d’accès à distance (RAT). Un acteur malveillant a profité de la fenêtre d’exposition pour injecter du code dans le client HTTP.
La réponse d’Anthropic
Anthropic a publié un communiqué qualifiant l’incident d’« erreur de packaging humaine, pas d’une faille de sécurité ». L’entreprise assure qu’aucune donnée client ni identifiant n’ont été exposés. Cependant, la fuite a révélé une feuille de route de fonctionnalités non annoncées, offrant aux concurrents un aperçu détaillé de la stratégie produit d’Anthropic.
FAQ
Mon compte Claude est-il compromis ?
Non, selon Anthropic. La fuite concerne le code source de l’outil Claude Code, pas les données utilisateurs. En revanche, si vous avez installé Claude Code via npm le 31 mars entre 00h21 et 03h29 UTC, une mise à jour immédiate est recommandée.
Le code source de Claude Code est-il désormais public ?
Il a circulé sur les réseaux avant qu’Anthropic ne corrige le package. Des copies existent encore sur certains dépôts, mais Anthropic n’a pas officialisé de passage en open source.
À suivre : l’audit de sécurité complet promis par Anthropic et les éventuelles conséquences réglementaires, notamment en Europe.
