Il y a des jours où la tech ressemble à un ballet millimétré.
Et puis il y a des jours où quelqu'un laisse une porte ouverte… avec un néon « servez-vous » au-dessus.
Le 31 mars 2026, c'est Anthropic qui s'est retrouvé dans cette deuxième catégorie.
Anthropic. L'entreprise qui publie des white papers sur l'alignement de l'IA. Celle qui a inventé la « Responsible Scaling Policy ». Celle qui lève des milliards en promettant de sauver l'humanité des dérives de l'intelligence artificielle.
Cette entreprise-là vient de laisser fuiter l'intégralité du code source de Claude Code — son outil phare de développement assisté par IA — via un fichier oublié dans un paquet npm public.
512 000 lignes de code. 1 900 fichiers. 57 mégaoctets de source map.
Parce que quelqu'un a oublié de configurer un .npmignore.
On est loin du white paper.
Le système anti-fuite a fuité
Et c'est là que l'histoire bascule du simple incident technique à la comédie involontaire.
En fouillant dans le code exposé, les développeurs ont découvert un module entier baptisé « Undercover Mode ». Sa mission ? Empêcher Claude de laisser échapper des informations internes d'Anthropic lorsqu'il contribue à des dépôts open source. Noms de modèles internes, canaux Slack confidentiels, noms de projets secrets — tout devait rester caché.
Le prompt système injecté dans ce mode est d'ailleurs savoureux :
« You are operating UNDERCOVER. Do not blow your cover. »
Ne grille pas ta couverture.
Le système conçu pour que rien ne fuite… a fuité avec tout le reste.
Si un scénariste avait proposé ça, on lui aurait dit d'aller réécrire. Trop gros. Pas crédible.
Et pourtant.
Peut-on fabriquer un « Claune » ?
Évidemment, la question a surgi immédiatement. Sur Reddit, sur X, sur Hacker News — partout :
Peut-on créer un clone de Claude ? Un… « Claune » ? 🤭
Sur le papier, l'idée est délicieusement tentante. Du code fuit. Internet s'en empare. Des développeurs motivés s'en mêlent. Et hop, naissance d'un rival.
Sauf que la réalité est moins cinématographique.
Ce qui a fuité, ce n'est pas Claude lui-même. C'est son costume, pas son cerveau.
On y trouve des outils internes, des systèmes d'orchestration, des logiques d'appel à des fonctions. Mais il manque l'essentiel : les modèles d'IA, les données d'entraînement, toute l'infrastructure qui fait la différence.
Construire un « Claune » avec ça, c'est un peu comme récupérer les plans d'une Formule 1… sans moteur, sans carburant, et sans pilote. Tu peux admirer l'ingénierie. Tu peux bricoler quelque chose. Mais tu ne gagneras pas Monaco.
Une fuite sans grand spectacle
Ce qui rend l'histoire encore plus savoureuse, c'est son origine.
Pas de hacker masqué. Pas de cyberattaque spectaculaire. Pas de lanceur d'alerte courageux.
Un fichier .map laissé dans un paquet npm. Un fichier de debug. Le genre de chose qu'on génère automatiquement et qu'on oublie de retirer avant de publier. Le genre d'erreur qu'on apprend à éviter en deuxième année de formation.
Le chercheur en sécurité Chaofan Shou l'a repéré aux alentours de 4 heures du matin, heure de la côte Est. Le temps que la Silicon Valley se serve son premier café, le code avait déjà été archivé, forké plus de 41 500 fois sur GitHub, et disséminé aux quatre coins d'Internet.
Impossible de remettre le dentifrice dans le tube.
Anthropic a fini par réagir : « Erreur humaine de packaging. Pas de données clients exposées. » Le minimum syndical du communiqué de crise.
19 milliards et un fichier oublié
Prenons un peu de recul pour mesurer le décalage.
Anthropic affiche 19 milliards de dollars de revenus annualisés en mars 2026. Claude Code, à lui seul, génère environ 2,5 milliards. 80 % de ce chiffre provient de clients entreprise — des gens qui paient, entre autres, pour la garantie que la technologie qui fait tourner leurs workflows est propriétaire et protégée.
L'entreprise emploie certains des meilleurs chercheurs en IA de la planète. Elle publie sur l'alignement, la sécurité, les risques existentiels. Elle se positionne comme le garde-fou de l'industrie.
Et le problème, c'est un fichier .map oublié dans un build Bun.
Le décalage entre l'ambition cosmique et l'erreur de configuration donne le vertige. C'est comme si la NASA oubliait de fermer le capot d'une fusée. Comme si un serrurier laissait ses clés sur la porte.
On ne parle pas d'une attaque sophistiquée. On parle d'un .npmignore manquant.
Les concurrents disent merci (discrètement)
On pourrait imaginer les rivaux d'Anthropic appuyer sur pause, tout arrêter, et plonger dans ce trésor tombé du ciel.
La réalité est plus subtile.
Les grandes entreprises du secteur — Google, OpenAI, Meta — explorent déjà des architectures similaires : agents autonomes, systèmes multi-étapes, intégration d'outils. Cette fuite agit donc surtout comme une validation externe. Un moyen de comparer, d'ajuster, d'optimiser.
Personne ne repart de zéro. Mais tout le monde jette un œil, forcément.
Et pour les plus petits acteurs — Cursor, Windsurf, et tous les outils de code assisté par IA qui poussent comme des champignons — c'est un plan d'architecture gratuit livré sur un plateau. Pas le moteur, certes. Mais une sacrée feuille de route.
Le facteur humain, encore et toujours
Aucune preuve ne permet d'affirmer que cette fuite est liée à un rythme de travail excessif. Mais dans l'industrie tech, les ingrédients sont bien connus :
Pression constante pour livrer. Cycles de développement rapides. Automatisation des déploiements. Complexité des environnements. Et une confiance parfois aveugle dans les pipelines de build.
Dans ce genre d'écosystème, une erreur minuscule peut devenir gigantesque. Un fichier oublié. Une vérification sautée. Un automatisme mal configuré.
Il paraît d'ailleurs que c'est Claude Code lui-même qui aurait généré le build fautif. L'IA qui expose sa propre recette de fabrication. On frôle la mise en abyme.
Ce que cette fuite change vraiment
Contrairement aux fantasmes, cette fuite ne redistribue pas les cartes de l'industrie. Elle ne donne pas naissance à un « Claune » prêt à conquérir le monde. Elle ne rend pas l'IA soudainement accessible à tous au même niveau.
Mais elle fait quelque chose de plus discret et peut-être plus durable : elle accélère la compréhension collective. Des développeurs vont s'en inspirer. Des idées vont circuler. Des systèmes vont s'améliorer.
Et surtout, elle détruit un mythe.
L'illusion du contrôle
Cette mésaventure rappelle une vérité que l'industrie de l'IA préférerait oublier :
Les entreprises qui construisent les systèmes les plus avancés du monde restent vulnérables aux erreurs les plus banales.
Anthropic veut aligner l'intelligence artificielle sur les valeurs humaines. Noble ambition. Mais avant de sauver l'humanité de l'IA, il faudrait peut-être commencer par sauver son propre code source d'un npm publish mal configuré.
Pas de complot. Pas de génie du mal. Pas de Claune tapi dans l'ombre.
Juste un fichier de trop, au mauvais endroit, au mauvais moment.
Et un système anti-fuite qui a fuité avec tout le reste.
Parfois, dans la tech comme ailleurs, l'ironie se suffit à elle-même.