Fuites Anthropic mars 2026 : code source Claude Code, modèle Mythos et sécurité npm

Mis à jour : avril 2026

Entre le 26 et le 31 mars 2026, Anthropic a subi trois fuites de données distinctes. Un CMS mal configuré a d’abord exposé environ 3 000 fichiers internes, dont les détails d’un modèle non annoncé baptisé Claude Mythos (nom de code interne “Capybara”). Cinq jours plus tard, un fichier source map de 59,8 Mo oublié dans un package npm a rendu public l’intégralité du code source de Claude Code : 512 000 lignes de TypeScript réparties dans 1 900 fichiers (VentureBeat, Fortune). En parallèle, une attaque supply chain sur la librairie axios a infecté certains utilisateurs avec un cheval de Troie.

Ces incidents révèlent des informations techniques rares sur l’architecture d’un agent IA de production et sur les fonctionnalités non annoncées d’Anthropic. Ils posent aussi des questions concrètes pour toute entreprise qui utilise des outils IA au quotidien. Cet article détaille les faits vérifiés sur cinq sources minimum, ce que le code source expose, et les leçons pratiques à en tirer pour sécuriser ses déploiements.

Avant de poursuivre, évaluez la sécurité de votre propre chaîne de déploiement npm et de vos outils IA avec cette checklist interactive.

Le leak Mythos - un CMS mal configuré expose le futur de Claude

Le 26 mars 2026, Fortune a révélé qu’un data store lié au CMS d’Anthropic était accessible publiquement sans authentification. Le problème : tous les assets uploadés (images, PDFs, brouillons de blog) étaient publics par défaut, sauf si explicitement marqués comme privés. Près de 3 000 fichiers internes se retrouvaient indexables, dont un brouillon de blog post détaillant un modèle alors inconnu du public (Techzine, IT Brew).

Ce modèle, Claude Mythos (nom de code interne “Capybara”), y est décrit comme un “step change” en termes de capacités. Selon le brouillon, les scores de benchmarks en codage, raisonnement et cybersécurité atteignent le milieu ou le haut des 80 %, contre le bas ou milieu des 70 % pour Claude Opus 4.6 (The Decoder, WaveSpeed). Le document interne mentionne aussi des risques cybersécurité “sans précédent” liés à ce modèle, capable d’identifier et d’exploiter des vulnérabilités logicielles plus rapidement que les approches existantes (eWeek). Anthropic a sécurisé les données après notification par Fortune.

Claude Code sur npm - 512 000 lignes de TypeScript en libre accès

Le 31 mars 2026, la version 2.1.88 du package @anthropic-ai/claude-code a été publiée sur le registre npm avec un fichier source map de 59,8 Mo inclus par erreur. Ce fichier de débogage pointait vers une archive ZIP hébergée sur un bucket Cloudflare R2 public, contenant le code source complet non obfusqué de Claude Code (The Hacker News, Bitcoin News).

La découverte a été faite par Chaofan Shou, stagiaire chez Solayer Labs, vers 4h23 UTC (Axios, CNBC). En moins de deux heures, le dépôt miroir sur GitHub a atteint 50 000 stars et plus de 41 500 forks - un record (36kr). Anthropic a retiré le package et publié un communiqué qualifiant l’incident de “release packaging issue caused by human error” (The Register).

Un facteur aggravant : un bug connu de Bun (issue #28001, déposée le 11 mars 2026) signalait que les source maps étaient servies en production même quand la configuration indiquait le contraire. Le bug était ouvert depuis 20 jours au moment de la fuite (DEV.to). Ce n’est pas la première occurrence : des versions antérieures de Claude Code (v0.2.8 et v0.2.28) publiées en 2025 incluaient déjà des source maps, faisant de cet incident le troisième du même type en treize mois (Business Standard).

Ce que le code source révèle sur l’architecture d’un agent IA

Au-delà de l’incident de sécurité, le code exposé offre un regard sans filtre sur le fonctionnement interne d’un agent IA de production. Quatre éléments se distinguent dans l’analyse du code source.

KAIROS - le mode daemon autonome. Ce feature flag, mentionné plus de 150 fois dans le code, représente un mode agent en arrière-plan (VentureBeat, Gizmodo). Le système inclut une fonction “autoDream” qui effectue une consolidation mémoire quand l’utilisateur est inactif : fusion d’observations, suppression de contradictions, conversion d’hypothèses en faits établis. Chaque action est soumise à un budget de 15 secondes - au-delà, elle est reportée pour ne pas interrompre l’utilisateur (Alex Kim).

Anti-distillation par faux outils. Un flag ANTI_DISTILLATION_CC active l’injection de définitions d’outils fictifs dans le prompt système. L’objectif : empoisonner les données d’entraînement de tout concurrent qui enregistrerait le trafic API de Claude Code pour entraîner son propre modèle (Alex Kim, SiliconAngle).

Détection de la frustration utilisateur. Le fichier userPromptKeywords.ts contient des expressions régulières qui identifient le mécontentement : jurons, expressions comme “so frustrating” ou “this sucks”. Le système adapte son comportement quand il détecte ces patterns (Hacker News, Bleeping Computer).

Mode undercover. La variable d’environnement CLAUDE_CODE_UNDERCOVER=1 permet de masquer toute trace d’intervention IA dans les commits et pull requests. Ce mode est activable mais pas désactivable par l’utilisateur. Dans les builds externes, la fonction est éliminée par le compilateur (Alex Kim, SQ Magazine). Concrètement, cela signifie que des contributions open source d’employés Anthropic pourraient ne porter aucune indication d’assistance IA.

L’attaque supply chain axios - un risque concurrent pour les utilisateurs

Par coïncidence, le même jour que la fuite de Claude Code, la librairie npm axios a été compromise. Le 31 mars 2026, entre 00h21 et 03h29 UTC, deux versions malveillantes (1.14.1 et 0.30.4) ont été publiées sur le registre npm après la compromission des identifiants d’un mainteneur (SANS, Snyk). Ces versions incluaient une dépendance cachée, plain-crypto-js, qui installait un Remote Access Trojan (RAT) multiplateforme (Sophos, Datadog Security Labs).

Cet incident n’a pas été causé par Anthropic, mais la fenêtre temporelle chevauchait le déploiement de la version 2.1.88 de Claude Code. Tout développeur ayant exécuté npm install ou mis à jour ses dépendances pendant cette période doit vérifier son lockfile. Indicateurs de compromission : présence des versions axios 1.14.1 ou 0.30.4, ou de la dépendance plain-crypto-js. L’analyse préliminaire suggère un lien avec la campagne TeamPCP, qui a compromis quatre projets open source entre le 19 et le 27 mars 2026 (The Hacker News). Chez Ocade Fusion, aucun environnement client n’a été impacté - mais l’incident a confirmé l’importance d’intégrer npm audit systématiquement dans chaque pipeline CI/CD, y compris sur les projets qui ne publient pas de packages.

Anthropic “safety-first” face à ses propres failles

Anthropic se positionne depuis sa création comme l’alternative responsable dans la course à l’IA. Son Responsible Scaling Policy, ses publications sur l’alignement et sa communication centrée sur la sécurité constituent un élément central de sa marque. Le contraste entre ce positionnement et trois fuites en cinq jours - dont deux causées par des erreurs de configuration basiques - n’a pas échappé à la communauté technique (DEV.to).

La réponse officielle d’Anthropic s’est limitée à qualifier les incidents de “human error” sans détailler les mesures correctives. Le fait qu’il s’agisse du troisième leak de source maps npm en treize mois indique un problème systémique dans le pipeline de release, pas une erreur ponctuelle. Côté communauté, les réactions oscillent entre opportunisme (étude de l’architecture d’un agent IA de production) et inquiétude (exposition de la roadmap produit aux concurrents, risques de sécurité pour les utilisateurs). Le dépôt miroir, forké plus de 41 500 fois, a donné naissance à des rewrites en Rust et des mirrors décentralisés conçus pour résister aux demandes de retrait DMCA.

Sécuriser ses déploiements npm et ses outils IA en entreprise

Ces trois incidents illustrent des failles exploitables dans n’importe quelle organisation qui publie ou consomme des packages npm, ou qui intègre des outils IA dans ses processus. Pour les équipes techniques, voici les actions concrètes à mettre en place. L’outil interactif en début d’article permet de vérifier lesquelles sont déjà en place dans votre organisation.

Pour la publication npm :

• Configurer explicitement le champ files dans package.json ou un .npmignore - c’est l’absence de cette configuration qui a exposé le source map d’Anthropic
• Désactiver les source maps dans le build de production et vérifier avec npm pack --dry-run avant chaque publication
• Activer le 2FA sur les comptes npm et utiliser des tokens avec scope et expiration

Pour la consommation npm :

• Versionner le lockfile dans git et exécuter npm audit dans la CI
• Configurer des alertes automatiques sur les mises à jour de dépendances (Dependabot, Renovate, Socket.dev)
• Après un incident supply chain, vérifier les versions dans le lockfile contre les IOC publiés

Pour les outils IA en entreprise :

• Définir une politique interne sur les outils IA autorisés et leurs versions validées
• Auditer les permissions accordées aux agents IA : accès au système de fichiers, au réseau, au shell
• Appliquer le principe du moindre privilège sur chaque token API - dans n8n, chaque noeud ne doit disposer que des scopes strictement nécessaires à sa fonction
• Isoler les environnements d’exécution IA dans des containers ou sandboxes dédiés

En formation et en prestation, Valentin Charrier applique systématiquement le principe du moindre privilège sur les tokens API des noeuds n8n. Un noeud qui lit des données n’a pas besoin d’un token en écriture. Un workflow de notification n’a pas besoin d’accéder aux credentials de la base de données. Cette discipline, appliquée noeud par noeud, limite la surface d’attaque en cas de compromission d’un outil ou d’une dépendance.

Les entreprises qui automatisent leurs workflows avec des outils comme n8n ou des serveurs MCP ont un avantage : chaque étape du pipeline est explicite, versionnable et auditable. C’est l’inverse d’un outil monolithique dont le code interne reste opaque jusqu’à ce qu’un source map le rende public.

Ce que ces fuites changent pour l’écosystème IA

Les trois fuites d’Anthropic en mars 2026 ne sont pas un événement isolé. Elles illustrent une tension structurelle : les entreprises d’IA les plus avancées techniquement restent vulnérables à des erreurs de configuration élémentaires - un CMS public par défaut, un source map non exclu du build, un compte npm sans 2FA. La sophistication du modèle ne protège pas contre la négligence du pipeline.

Un constat terrain : la majorité des PME et indépendants qui utilisent ces outils au quotidien n’ont pas suivi ces incidents en temps réel. Chez Ocade Fusion, aucun client n’a signalé d’inquiétude liée aux leaks. C’est précisément ce décalage entre la gravité technique et la perception utilisateur qui rend les bonnes pratiques de sécurité indispensables : quand l’incident survient, les protections doivent déjà être en place.

Pour les utilisateurs et les entreprises, la leçon est double. D’abord, aucun fournisseur d’IA n’est à l’abri d’un incident : il faut intégrer ce risque dans sa stratégie (lockfiles versionnés, audits de dépendances, isolation des agents). Ensuite, le code exposé montre que les agents IA de production sont déjà bien plus complexes que ce que les interfaces laissent paraître : consolidation mémoire autonome, détection émotionnelle, stratégies anti-concurrence. Comprendre ces mécanismes permet de mieux évaluer les outils qu’on utilise et de faire des choix éclairés.