Le code source de Claude Code a été divulgué par Anthropic elle-même et a depuis été partagé sur GitHub.
Anthropic a accidentellement publié l’intégralité du code source de son outil Claude Code, après qu’une erreur dans un progiciel a entraîné un accès public à des fichiers internes. La fuite contient près de 2 000 fichiers TypeScript et plus de 500 000 lignes de code.
Erreur de version, pas de piratage
Le code source a été découvert dans la version 2.1.88 du paquet npm, qui contenait un dossier donnant accès à l’intégralité de la base de code. Anthropic confirme qu’il s’agit d’une erreur humaine lors de l’empaquetage de la version, et non d’une faille de sécurité. Selon l’entreprise, aucune donnée client n’a été divulguée.
Code rapidement diffusé
Après sa découverte, le code a été rapidement partagé via GitHub, où il a été copié des milliers de fois. Les développeurs ont entre-temps commencé à analyser l’architecture derrière Claude Code. L’outil s’avère être un environnement de développement complexe et prêt pour la production, avec des systèmes étendus pour la gestion de la mémoire, le traitement des requêtes, les plugins et d’autres extensions.
L’impact de la fuite est potentiellement important. Les concurrents obtiennent un aperçu de la structure technique de Claude Code. Cela peut accélérer le développement d’autres outils ou influencer des choix stratégiques. De plus, des personnes malveillantes peuvent analyser le code pour y trouver des vulnérabilités ou des moyens de contourner les mécanismes de sécurité.
Attention aux contrefaçons
Zscaler avertit que des versions contrefaites du code source divulgué circulent également. Ces versions, qui semblent légitimes à première vue, contiennent en réalité des logiciels malveillants. Le lien vers le dépôt apparaît en haut des résultats de recherche Google pour des requêtes telles que « leaked Claude Code », ce qui permet aux utilisateurs curieux de les trouver facilement. Dans une analyse technique, Zscaler explique en détail comment le code divulgué est exploité.
Zscaler appelle les organisations à manipuler le code divulgué avec prudence. La fuite de code source, qu’il soit légitime ou non, favorise les risques de sécurité. Les attaquants peuvent étudier le code pour découvrir des vulnérabilités et/ou mettre en place des attaques de la chaîne d’approvisionnement avec du code malveillant ressemblant à l’original. Il n’est donc pas recommandé de récupérer le code de Claude Code, car vous ne savez pas ce que vous importez.
Zscaler souligne par ailleurs que le code source divulgué n’est pas un logiciel libre. Le code appartient toujours à Anthropic et il est dangereux de l’utiliser sans autorisation.
Cet article est paru initialement le 1er avril et a été mis à jour avec les informations les plus récentes.