500 000 lignes de code fuitent, les projets secrets d'Anthropic dévoilés

Plusieurs géants de la cybersécurité ont payé cher l’annonce récente l’annonce d’Anthropic, avec des chutes en bourse de 25 % pour certains acteurs.
Claude.IA

Plusieurs géants de la cybersécurité ont payé cher l’annonce récente l’annonce d’Anthropic, avec des chutes en bourse de 25 % pour certains acteurs.
Claude.IA
« Aucune donnée sensible de clients ni aucun identifiant n'ont été impliqués ou exposés », assure Anthropic.
Le code dévolié permet néanmoins aux acteurs malveillants de chercher des failles zero-day (inconnues) dans l'outil utilisé par les développeurs tiers.
Anthropic a émis 8 000 requêtes DMCA (infraction de la loi américaine sur la propriété intellectuelle) pour supprimer les copies, mais le secret sur les futurs modèles est compromis.
Anthropic, la pépite de San Francisco qui prône une IA sécurisée, a laissé échapper mardi 31 mars 2026 les entrailles de son outil pour développeurs. Une maladresse humaine a rendu public un fichier interne sur le registre npm, porte d'entrée des bibliothèques logicielles. En quelques minutes, 512 000 lignes de code TypeScript ont été aspirées et dupliquées sur GitHub. Les fichiers révèlent une feuille de route technologique, baptisée « Ultraplan » ou « Kairos », transformant l'assistant en un agent doté de mémoire à long terme.
L'incident ne provient pas d'une attaque informatique complexe. « Il s'agissait d'un problème sur la publication de la mise à jour causé par une erreur humaine », admet un porte-parole de la société. Une archive de travail a été incluse par mégarde dans un paquet public.
Pour les entreprises qui intègrent Claude dans leurs processus, cette porosité pose la question de la rigueur des procédures de déploiement chez Anthropic. Un simple fichier de « map », normalement réservé au débogage, a servi de fil d'Ariane pour remonter jusqu'au code source non offusqué.
L'absence de fuite de données clients limite pour l'instant le risque juridique lié au RGPD. En revanche, l'exposition de l'architecture interne facilite le travail des concurrents.
Les fichiers exposés vendent la mèche sur les prochaines innovations de la start-up. Le projet « Ultraplan » prévoit de laisser l'IA travailler de manière autonome en tâche de fond pendant 30 minutes sur des tâches complexes.
Le projet « Kairos » vise à briser la barrière de l'oubli. Claude disposerait d'une mémoire persistante pour reconnaître l'utilisateur d'une session à l'autre. Un mode « rêve nocturne » permettrait même à l'outil d'optimiser ses connaissances durant les périodes d'inactivité.
Chaque jour à 13h, l’essentiel de l’actualité tech.

Cette fuite confirme que la course à l'agentivité est le prochain champ de bataille. Le code révèle une architecture « Maître Claude » capable de coordonner plusieurs sous-agents pour traiter des projets d'envergure.
Anthropic tente de colmater la brèche par une stratégie juridique ferme. L'entreprise utilise le Digital Millennium Copyright Act (DMCA) pour nettoyer GitHub.
Cette méthode produit un effet contre-productif : plus Anthropic cherche à supprimer le code, plus sa valeur perçue augmente. Des versions miroirs circulent déjà sur des réseaux décentralisés, échappant à tout contrôle judiciaire.
Le risque pour Anthropic est de voir naître des clones de Claude Code. Si le modèle d'IA lui-même n'a pas fuité, toute la logique d'interface et d'interaction avec le système de fichiers est désormais connue.
C'est le second revers en quatre jours. Le 27 mars, une fuite avait révélé l'existence du modèle « Mythos », qualifié par ses créateurs de « trop puissant » pour une diffusion publique.
Cette accumulation de failles ternit l'image de « bon élève » de l'IA. Pour les fonds de capital-risque, la question de la gouvernance interne devient prioritaire. La sécurité constitutionnelle vantée par Anthropic semble s'arrêter aux portes de ses propres serveurs de mise à jour.
Le marché attend une communication sur la sécurisation des pipelines de production. Le maintien de la valorisation de l'entreprise dépendra de sa capacité à prouver que ces erreurs ne sont pas structurelles.
Plusieurs experts relativisent la portée du sinistre. Posséder le code de l'interface ne permet pas de faire tourner le modèle de langage sans les serveurs d'Anthropic.
Toutefois, le code contient des outils modulaires et un moteur de requêtes propriétaire. Ces briques peuvent être utilisées pour améliorer des modèles concurrents.
L'analyse des fichiers montre aussi un système de surveillance de l'humeur des clients. L'IA compte les insultes et la fréquence des ordres pour ajuster sa réponse, une pratique jusqu'ici non documentée.
Cet incident pourrait accélérer les exigences réglementaires sur la gestion des environnements de développement. Les régulateurs américains examinent les risques liés à la concentration de puissance dans ces infrastructures.
Anthropic doit gérer la frustration de ses ingénieurs. Le projet « Buddy », un compagnon ludique inspiré des Tamagotchi, voit son effet de surprise totalement annulé.
La start-up a promis un audit interne complet. Les résultats détermineront si cette série noire est une coïncidence ou le signe d'une croissance trop rapide. L'échéance du 15 avril 2026, date prévue pour une mise à jour majeure, sera le premier test de résilience pour l'entreprise.
(Avec AFP)