Chargement en cours
Actualités

Anthropic : scandale après une fuite massive du code source d’intelligence artificielle

fuite_code_numerique

Quand une entreprise spécialisée en intelligence artificielle subit une fuite massive de son propre code, c’est toute sa crédibilité qui vacille. L’incident qui vient de frapper Anthropic soulève des questions embarrassantes sur la capacité de la société à protéger les données qu’on lui confie, alors qu’elle n’a pas su sécuriser les siennes.

Une erreur de configuration aux conséquences spectaculaires

Le 31 mars 2026 marque une date noire pour Anthropic. Un fichier de débogage de 59,8 Mo s’est retrouvé dans le paquet officiel de Claude Code, publié sur le registre npm. Cette plateforme, utilisée quotidiennement par des millions de développeurs, hébergeait donc par erreur un élément permettant de reconstituer l’intégralité du code source.

Chaofan Shou, chercheur chez Fuzzland, a repéré l’anomalie. Le fichier en question contenait une référence directe vers un espace de stockage cloud où l’archive complète du projet était accessible, sans aucune protection ni chiffrement.

Un trésor de 512 000 lignes livré en pâture

La fuite a dévoilé 1 906 fichiers et plus d’un demi-million de lignes de code TypeScript. Sans la moindre obfuscation, le tout était lisible comme un livre ouvert.

Des fonctionnalités secrètes révélées au grand jour

Parmi les éléments exposés figurent des outils jamais annoncés publiquement. KAIROS, par exemple, se présente comme un assistant persistant et autonome, capable de fonctionner en arrière-plan et d’agir de manière proactive sans intervention humaine.

Le système ULTRAPLAN permet de confier une planification complexe à un serveur distant propulsé par Opus 4.6, avec un budget de réflexion pouvant atteindre 30 minutes. Une autre fonctionnalité, baptisée AutoDream, assure la consolidation de la mémoire en tâche de fond.

Plus surprenant encore, BUDDY apparaît comme un compagnon virtuel inspiré des Tamagotchi, doté de 18 espèces différentes et de niveaux de rareté variables. Un moteur de requêtes de 46 000 lignes dédiées aux appels vers les modèles d’IA a également été mis au jour.

Un module pour cacher les secrets internes

Les développeurs d’Anthropic avaient prévu un module nommé « Undercover Mode », conçu spécifiquement pour empêcher la fuite d’informations internes dans les contributions publiques. L’ironie de la situation n’a échappé à personne.

Une propagation fulgurante sur GitHub

En quelques heures seulement, le code source a été dupliqué sur GitHub. Le dépôt miroir a rapidement franchi la barre des 1 100 étoiles et engrangé près de 1 900 forks, témoignant de l’appétit de la communauté pour ces révélations.

Cette diffusion massive complique considérablement la gestion de crise pour Anthropic, qui ne peut plus simplement effacer les traces de sa bévue.

La réponse embarrassée d’Anthropic

L’entreprise a rapidement déployé une mise à jour corrective et retiré les anciennes versions du registre npm. Dans sa communication officielle, elle a tenté de minimiser la portée de l’incident en affirmant que « aucune donnée client, aucun poids de modèle ni aucune donnée d’entraînement n’avaient été compromis : seule la couche logicielle installée localement par les développeurs était concernée. »

Cette précision, bien que rassurante sur certains aspects, ne répond pas aux critiques acerbes de la communauté.

Une série noire pour la sécurité chez Anthropic

Cet incident intervient à peine cinq jours après une autre fuite, survenue le 26 mars, également causée par une erreur de configuration. Le système de gestion de contenus d’Anthropic avait alors exposé des brouillons d’articles et des détails sur un modèle non publié, baptisé « Claude Mythos ».

Ces deux incidents consécutifs dessinent un tableau inquiétant des pratiques de sécurité au sein de l’entreprise. Comme l’a souligné un observateur dans la communauté : « Une entreprise à qui vous confiez votre code ne sait pas sécuriser le sien […] L’ironie est totale. »

Des questions qui persistent

Au-delà de l’embarras immédiat, cette affaire soulève des interrogations légitimes. Comment une société positionnée sur le marché ultra-sensible de l’intelligence artificielle peut-elle commettre une erreur aussi basique qu’oublier d’exclure les fichiers de débogage d’une publication ?

Les développeurs qui utilisent Claude Code pour sécuriser et optimiser leur propre travail sont en droit de s’interroger sur la fiabilité des processus internes d’Anthropic.

Articles similaires

Laisser un commentaire

À ne pas manquer