Anthropic a fuité son propre code source. Qu'a-t-on appris de cette fuite ?

Le 31 mars 2026, un chercheur en sécurité nommé Chaofan Shou, stagiaire chez Solayer Labs, a publié un message sur X à 4h23 du matin, heure de la côte est. Il venait de télécharger l'intégralité du code source de Claude Code depuis le registre npm public. Pas de hack, pas de reverse engineering. Un fichier source map de 59,8 Mo, artefact de débogage destiné à l'usage interne, avait été embarqué dans la version 2.1.88 du package @anthropic-ai/claude-code. Bun, le runtime que Claude Code utilise à la place de Node — et qu'Anthropic a acquis fin 2025 — génère ces fichiers par défaut. Quelqu'un dans l'équipe de release n'a pas ajouté *.map au .npmignore.

En quelques heures, le code — 512 000 lignes de TypeScript réparties dans environ 1 900 fichiers — a été mirroré, disséqué, réécrit en Python et en Rust, et étudié par des dizaines de milliers de développeurs. Un rewrite clean-room a atteint 50 000 étoiles GitHub en deux heures.

"Earlier today, a Claude Code release included some internal source code. No sensitive customer data or credentials were involved or exposed. This was a release packaging issue caused by human error, not a security breach. We're rolling out measures to prevent this from happening again."

Pas de poids de modèles exposés. Pas de données clients. Ce qui a fuité, c'est le harness logiciel — l'enveloppe d'orchestration qui fait de Claude Code un produit à 2,5 milliards de dollars d'ARR, et pas seulement un LLM accessible par API.

KAIROS

Le code contenait 44 feature flags masquant plus de 20 fonctionnalités non livrées. Référencé plus de 150 fois dans le code source, KAIROS est un mode daemon autonome où Claude opère comme un agent persistant en arrière-plan. Il reçoit des prompts périodiques de type <tick> pour décider s'il doit agir de manière proactive, maintient des fichiers de log quotidiens en append-only, et s'abonne à des webhooks GitHub. KAIROS inclut autoDream — un processus de consolidation mémoire en arrière-plan qui tourne comme un sous-agent forké pendant que l'utilisateur est inactif. L'agent de rêve fusionne les observations, supprime les contradictions, convertit les insights vagues en faits absolus, et obtient un accès bash en lecture seule.

ULTRAPLAN décharge la phase de planification d'une tâche vers une session cloud distante exécutant Opus 4.6 avec jusqu'à 30 minutes de temps de réflexion dédié. BUDDY est un compagnon d'interface léger. COORDINATOR_MODE orchestre des sous-agents en essaim. AGENT_TRIGGERS offre des outils de cron natifs — CronCreateTool, CronDeleteTool, CronListTool — pour que Claude planifie ses propres tâches.

108 modules gatés au total. Aucun disponible dans le build public.

Undercover Mode

Le code source révèle un module appelé undercover.ts qui instruit activement Claude Code à ne jamais mentionner les noms de code internes comme « Capybara » ou « Tengu » lorsqu'il est utilisé dans des dépôts externes. Le flag est hard-codé en NO force-OFF — on peut forcer l'activation du mode Undercover, mais on ne peut pas le désactiver. Anthropic a construit Undercover Mode spécifiquement pour empêcher les informations internes de fuiter dans des contextes externes. Et puis l'intégralité du code source a été livrée via un fichier .map oublié.

L'architecture

Le code exposé documente une architecture mémoire à trois couches conçue pour résoudre ce que les ingénieurs appellent l'« entropie contextuelle » — la tendance des agents IA à devenir confus ou à halluciner à mesure que les sessions longues se complexifient. Au cœur : MEMORY.md, un index léger de pointeurs d'environ 150 caractères par ligne, perpétuellement chargé dans le contexte. Le système de « Self-Healing Memory » fusionne les observations disparates, supprime les contradictions logiques, et convertit les insights vagues en faits absolus. C'est la partie du code que les développeurs extérieurs ont le plus commentée. L'architecture de compression contextuelle personnalisée, les permissions granulaires par outil, le coordinateur multi-agents — un analyste l'a résumé : c'est un effort multi-années avec une vraie équipe. 512 000 lignes, ce n'est pas un wrapper de chatbot.

Cinq jours, deux fuites

Le premier incident a révélé ce que fait Anthropic ensuite. Le second a révélé comment Anthropic construit ses produits aujourd'hui. L'un expose la stratégie. L'autre expose l'ingénierie. Pour un concurrent, le second est plus précieux.

Capybara

Le brouillon de blog fuité cinq jours plus tôt décrivait Capybara — également nommé Mythos en interne — comme un nouveau tier de modèle au-dessus d'Opus. « Capybara is a new name for a new tier of model: larger and more intelligent than our Opus models — which were, until now, our most powerful. » Le document mentionnait des scores « dramatically higher » qu'Opus 4.6 en coding, raisonnement académique et cybersécurité. Roy Paz, chercheur senior en sécurité IA chez LayerX Security, estime que le modèle sera probablement décliné en versions « fast » et « slow », avec une fenêtre contextuelle significativement plus grande que tout ce qui existe sur le marché. Le code source de Claude Code a confirmé l'existence de strings d'API spécifiques à Capybara dans les feature flags, indiquant que le modèle a dépassé le stade du concept.

Anthropic a reconnu l'existence du modèle après la fuite. « We're developing a general purpose model with meaningful advances in reasoning, coding, and cybersecurity. Given the strength of its capabilities, we're being deliberate about how we release it. We consider this model a step change and the most capable we've built to date. »

Le brouillon mentionnait aussi un cas documenté : un groupe parrainé par un État chinois avait utilisé Claude Code pour infiltrer environ 30 organisations — entreprises tech, institutions financières et agences gouvernementales — avant qu'Anthropic ne le détecte.

19 milliards

Anthropic opère à environ 19 milliards de dollars d'ARR en mars 2026. En décembre 2024, c'était un milliard. Claude Code, lancé publiquement en mai 2025, représente à lui seul 2,5 milliards d'ARR — le produit B2B le plus rapide de l'histoire à atteindre ce niveau. Plus de 500 clients dépensent plus d'un million de dollars par an. Huit des dix plus grandes entreprises américaines sont clientes. En février 2026, Anthropic a bouclé un round de 30 milliards de dollars à une valorisation post-money de 380 milliards, mené par GIC et Coatue. La société prépare une IPO potentielle dès octobre 2026, avec Goldman Sachs, JPMorgan et Morgan Stanley en discussions préliminaires pour une levée de plus de 60 milliards.

Le revenue split estimé : 70-75 % via API (pay-per-token), 10-15 % d'abonnements consommateurs, le reste en contrats enterprise et capacité réservée. 80 % du chiffre d'affaires provient de clients business. 4 % de tous les commits publics GitHub sont désormais écrits par Claude Code, avec des projections à 20 % d'ici fin 2026.

C'est dans ce contexte qu'un stagiaire a trouvé le code source entier sur npm un mardi matin.

Le Pentagone

Il y a un mois, le secrétaire à la Défense Pete Hegseth a désigné Anthropic comme « risque pour la chaîne d'approvisionnement de la sécurité nationale » — une qualification habituellement réservée aux adversaires étrangers. Le motif : Anthropic a refusé de donner au Pentagone un accès sans restriction à Claude pour « all lawful purposes ». Dario Amodei a tracé deux lignes rouges : pas de surveillance de masse des Américains, pas d'armes autonomes sans intervention humaine. Le Pentagone a répondu que ces restrictions étaient redondantes avec la loi existante et inacceptables dans leur principe.

Trump a ordonné à toutes les agences fédérales de cesser d'utiliser les produits Anthropic. Claude était pourtant le seul modèle IA frontier déployé sur les réseaux classifiés du Pentagone, via un contrat de 200 millions de dollars signé en juillet 2025. Une juge fédérale de Californie, Rita Lin, a bloqué la désignation fin mars, jugeant qu'elle violait le Premier Amendement et les droits de due process d'Anthropic.

« Nothing in the governing statute supports the Orwellian notion that an American company may be branded a potential adversary and saboteur of the U.S. for expressing disagreement with the government. »

Le contrat menacé représente 200 millions de dollars. L'ARR d'Anthropic est de 19 milliards.

Parmi les documents fuités lors du premier incident CMS, un PDF décrivait une retraite privée sur invitation pour PDG européens dans un manoir anglais du XVIIIe siècle, en présence de Dario Amodei.

Ce que le code ne dit pas

La fuite ne contient pas les poids du modèle. Elle ne contient pas de données d'entraînement. Elle ne permet pas de reproduire Claude. Ce qu'elle permet, c'est de comprendre exactement comment Anthropic transforme un LLM en un produit commercial — la couche d'orchestration, les garde-fous, les systèmes de permission, l'architecture mémoire. Cursor, Copilot et Windsurf savent désormais précisément ce qu'Anthropic a construit et ce qui est presque prêt à être livré. Les noms de feature flags seuls sont plus révélateurs que le code, a observé un commentateur sur Hacker News. On peut réécrire du code en une semaine. On ne peut pas dé-fuiter une roadmap.

Le code révèle aussi des flags anti-distillation et des mécanismes d'attestation client de type DRM — des indices sur la manière dont Anthropic tente de protéger sa propriété intellectuelle. Le brouillon fuité mentionnait que DeepSeek, Minimax et Moonshot avaient prompté Claude 16 millions de fois pour entraîner leurs propres produits par distillation.

Pour les clients enterprise — ceux qui génèrent 80 % du chiffre d'affaires — la question n'est pas le code. C'est la confiance. Deux erreurs humaines en cinq jours, par deux équipes différentes, sur deux systèmes différents, dans l'entreprise qui se présente comme le lab IA le plus rigoureux en matière de sécurité. Le S-1 devra en parler.