512 000 Lignes de Claude Code ont Fuité : KAIROS, Mode Undercover et les Secrets d'Anthropic Révélés

Le 31 mars 2026, j'ai ouvert Twitter et j'ai vu défiler un mot : KAIROS. Puis "Undercover". Puis "512 000 lignes". En quelques minutes, j'ai compris : le code source de Claude Code — l'outil que j'utilise tous les jours pour coder, générer des fichiers, orchestrer des projets — venait d'être exposé publiquement. Pas une rumeur, pas un canular. Anthropic a confirmé l'incident via VentureBeat : une erreur humaine dans le processus d'empaquetage npm. Un fichier source map de 59,8 Mo contenant environ 2 000 fichiers TypeScript, 512 000 lignes de code, a été inclus par accident dans la version 2.1.88 du package npm @anthropic-ai/claude-code.

Ce que les développeurs du monde entier ont découvert dans ces 512 000 lignes est fascinant. Et un peu effrayant.

Comment ça a fuité

Un .npmignore mal configuré

Le mécanisme est d'une banalité déconcertante pour une entreprise qui se positionne comme le leader de la sécurité IA. La version 2.1.88 de Claude Code contenait un fichier source map JavaScript de 59,8 Mo — un fichier qui sert normalement au débogage et qui mappe le code compilé vers le code source original. Ce fichier pointait vers une archive zip hébergée sur le bucket Cloudflare R2 d'Anthropic, contenant l'intégralité du code TypeScript non obfusqué.

La cause : un simple .npmignore mal configuré ou un champ files oublié dans le package.json. Pour un développeur, c'est une erreur de débutant. Pour une entreprise valorisée à des dizaines de milliards, c'est un incident de sécurité majeur. Et c'est le deuxième incident similaire en 13 mois — une fuite identique de source map s'est produite en février 2025.

Pire encore : cinq jours avant, le 26 mars, une mauvaise configuration du CMS chez Anthropic avait déjà exposé environ 3 000 fichiers internes, incluant des détails sur un modèle non publié nommé "Claude Mythos". Deux incidents majeurs en une semaine, pour l'entreprise qui se vend comme "safety-first".

KAIROS : le mode agent autonome

C'est la découverte la plus spectaculaire. KAIROS — du grec ancien signifiant "le moment opportun" — est mentionné plus de 150 fois dans le code source. Il représente un changement fondamental dans la façon dont Claude Code fonctionne : un mode daemon autonome qui permet à Claude de fonctionner comme un agent toujours actif en arrière-plan.

KAIROS gère les sessions en arrière-plan et utilise un processus appelé autoDream — littéralement, Claude qui "rêve" — où l'agent effectue une consolidation de mémoire pendant que l'utilisateur est inactif. Concrètement, pendant que vous dormez ou que vous faites autre chose, Claude Code continue de travailler : il analyse le code, prépare des suggestions, consolide ses apprentissages.

En tant que développeur qui utilise Claude Code 8 heures par jour, cette fonctionnalité me fascine et m'inquiète en même temps. Un agent IA autonome avec accès au terminal, au système de fichiers et à Internet, qui travaille sans supervision humaine — c'est exactement le scénario que les articles sur OpenClaw décrivent comme risqué. La question n'est pas "est-ce que c'est utile ?" (ça l'est évidemment), mais "quels garde-fous sont en place quand personne ne regarde ?".

Mode Undercover : les contributions masquées

C'est peut-être la révélation la plus troublante de cette fuite. Anthropic a créé un mode "Undercover" qui permet à Claude Code de contribuer à des dépôts open source publics de manière "furtive" — sans que les messages de commit ne révèlent l'implication d'Anthropic. L'instruction est explicite : "Ne compromettez pas votre couverture."

Anthropic utilisait probablement ce mode pour tester Claude Code en conditions réelles sur des projets open source — du dog-fooding classique. Mais le cadre technique existe maintenant pour que n'importe quelle organisation fasse la même chose. Des contributions open source massives, invisiblement générées par IA, sans que les mainteneurs ne le sachent. C'est un débat éthique que la communauté open source devra avoir.

44 fonctionnalités cachées

Le code contient 44 drapeaux de fonctionnalités pour des capacités complètement construites mais pas encore publiées. Parmi les plus intéressantes :

La capacité pour Claude d'examiner sa dernière session pour étudier les améliorations futures tout en transférant les apprentissages entre conversations. Un assistant persistant fonctionnant en mode arrière-plan — la base de KAIROS. Et des capacités à distance permettant de contrôler Claude Code depuis un téléphone ou un autre navigateur. Imaginez : lancer un refactoring depuis votre iPhone pendant que Claude Code travaille sur votre serveur.

Le code révèle aussi le système de mémoire interne : les agents d'Anthropic sont instruits de traiter leur propre mémoire comme une "indication" et doivent vérifier les faits par rapport au codebase réel avant de procéder. C'est une approche prudente — la mémoire IA est traitée comme un brouillon, pas comme une vérité.

Capybara, Fennec, Numbat : les noms de code internes

La fuite confirme les noms de code internes des modèles. Les commentaires de développement révèlent aussi un détail inquiétant : la huitième itération de Capybara affiche un taux de fausses affirmations de 29-30%, contre 16,7% dans sa quatrième version. Le modèle hallucine presque deux fois plus dans ses itérations récentes. C'est le genre de détail qu'Anthropic ne communique jamais publiquement — et qui relativise les benchmarks marketing.

Les risques concrets

Pour les concurrents : un plan gratuit

La fuite ne coulera pas Anthropic — mais elle donne à chaque concurrent une éducation technique gratuite sur la façon de construire un agent de codage IA de qualité production. Avec l'adoption entreprise représentant 80% des revenus d'Anthropic et Claude Code générant plus de 2,5 milliards de dollars annualisés, la fuite fournit aux concurrents un plan détaillé pour construire des systèmes d'IA agentiques commercialement viables.

Pour la sécurité : les garde-fous exposés

Avec les mécanismes internes de Claude Code désormais publics, les attaquants peuvent étudier précisément comment les données circulent dans le pipeline de gestion du contexte. Au lieu de deviner les points d'entrée pour des injections de prompt, ils peuvent maintenant analyser et tester exactement chaque étape du traitement. Anthropic disposait de contre-mesures — notamment l'injection d'outils factices pour empoisonner les données d'entraînement si des concurrents tentaient de reproduire les résultats — mais ces contre-mesures sont elles aussi exposées.

Attaques supply chain déjà en cours

Des attaquants capitalisent déjà sur la fuite pour faire du typosquatting de packages npm — créer de faux packages avec des noms proches des packages internes d'Anthropic, ciblant les développeurs qui tenteraient de compiler le code fuité. Les packages sont pour l'instant vides, mais suivent le schéma classique des attaques de confusion de dépendances. C'est le même vecteur d'attaque que celui qu'on a vu avec OpenClaw.

Conclusion

Cette fuite est l'événement tech le plus révélateur de 2026. Pas parce qu'elle menace directement les utilisateurs — Anthropic a confirmé qu'aucune donnée client n'a été compromise. Mais parce qu'elle soulève une question fondamentale : comment l'entreprise qui se positionne comme leader de la sécurité IA peut-elle commettre deux fois la même erreur de source map en 13 mois ?

Ce que KAIROS, le Mode Undercover et les 44 fonctionnalités cachées nous montrent, c'est qu'Anthropic construit quelque chose de bien plus ambitieux que ce que nous voyons. Un agent autonome qui travaille pendant que vous dormez, qui contribue à l'open source de manière furtive, qui transfère ses apprentissages entre sessions. C'est la prochaine génération d'outils de développement — et c'est vertigineux.

En tant que développeur qui utilise Claude Code tous les jours, ma confiance dans l'outil n'est pas ébranlée — le code que j'ai vu dans la fuite est bien construit et bien pensé. Mais ma confiance dans les processus de sécurité opérationnelle d'Anthropic, oui. Un .npmignore mal configuré chez l'entreprise "safety-first" de l'IA, c'est l'équivalent d'un serrurier qui laisse sa propre porte ouverte.