Navigation
Les derniers articles
Suivez en direct

Claude Code : Anthropic fuite son code source et expose ses secrets

Illustration montrant le logo d'Anthropic au premier plan sur un fond flou de lignes de code informatique, symbolisant l'incident où Claude Code fuite son code source et expose ses secrets.
Anthropic confirme la fuite accidentelle du code source de Claude Code. Cette erreur de packaging révèle l’architecture interne et attire les cybercriminels.

TL;DR : L’essentiel

  • Une erreur humaine lors du packaging d’une version de code sur le registre npm a exposé près de 2 000 fichiers TypeScript et plus de 512 000 lignes de code.
  • L’analyse des fichiers révèle des fonctions secrètes comme le mode « Undercover » pour des contributions furtives et un agent persistant nommé Kairos capable d’opérer en arrière-plan.
  • Des acteurs malveillants exploitent déjà cet événement pour diffuser le logiciel malveillant Vidar Stealer via de faux dépôts GitHub promettant un accès illimité aux fonctionnalités fuitées.

Anthropic a confirmé la publication involontaire du code source de Claude Code, son assistant de programmation par intelligence artificielle. Selon The Hacker News, cet incident résulte d’une erreur de packaging lors de la mise à jour de la version sur le registre npm, incluant par mégarde un fichier de correspondance de près de 60 Mo. Bien que l’entreprise assure qu’aucune donnée client sensible n’a été exposée, cette fuite livre aux concurrents et aux chercheurs une vue exhaustive sur la logique d’orchestration de l’outil.

Une architecture complexe et des fonctions de discrétion révélées

Les fichiers analysés de Claude Code, rapidement clonés sur des plateformes tierces avant leur retrait, dévoilent des mécanismes sophistiqués jusqu’ici inconnus. Comme le rapporte Ars Technica, le code source mentionne un agent persistant baptisé Kairos et un système AutoDream. Ce dernier permettrait au modèle de réaliser des phases de réflexion et de consolidation de mémoire durant les périodes d’inactivité de l’utilisateur. Plus surprenant, un mode « Undercover » a été identifié, enjoignant le système à ne jamais révéler sa nature d’IA lors de contributions à des dépôts de code en libre accès.

La fuite de Claude Code met également en lumière les stratégies défensives d’Anthropic contre le pillage de données par ses rivaux. Le système intègre des mécanismes d’empoisonnement de données conçus pour injecter de fausses définitions d’outils dans les requêtes API si une tentative de distillation du modèle est détectée. Ces révélations transforment radicalement la perception de l’outil, passant d’une simple interface de ligne de commande à un agent autonome capable d’interagir profondément avec le système d’exploitation et de générer des sous-agents pour des tâches complexes.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Des risques accrus de cyberattaques opportunistes

L’exposition de ces composants internes de Claude Code crée une opportunité immédiate pour les cybercriminels. D’après Bleeping Computer, plusieurs dépôts GitHub frauduleux prétendent offrir des versions débridées de l’outil pour inciter les développeurs à télécharger des archives malveillantes. Ces fichiers contiennent en réalité un extracteur de données Rust déployant le logiciel Vidar Stealer et l’outil de proxy GhostSocks, compromettant instantanément les machines des victimes cherchant à compiler le code fuité.

En parallèle, des campagnes de typosquatting ciblent les dépendances internes d’Anthropic. Des experts en sécurité ont identifié des paquets réservés par des tiers pour réaliser des attaques par confusion de dépendances. Cette situation est d’autant plus critique que The Guardian rappelle qu’il s’agit du second incident de sécurité majeur pour l’entreprise en une semaine, après la découverte de fichiers internes accessibles via son système de gestion de contenu.

L’incident de Claude Code rappelle la fragilité des chaînes de publication logicielle, où un simple oubli de configuration peut neutraliser des mois de secret industriel et exposer les utilisateurs à des malwares opportunistes. Pour les praticiens, cette fuite rappelle que l’usage d’assistants de programmation autonomes nécessite une vigilance accrue sur les permissions système, tant leurs capacités de manipulation furtive s’avèrent dangereuses pour la sécurité de l’information.

FAQ : Comprendre les enjeux techniques de la fuite de Claude Code

Que s’est-il passé exactement ?

Anthropic a accidentellement publié le code source complet de son outil Claude Code sur le registre npm. Cela représente environ 2 000 fichiers et plus de 512 000 lignes de code TypeScript qui n’auraient jamais dû être publics.

Quelle est la conséquence principale de cette fuite ?

La fuite expose la propriété intellectuelle d’Anthropic, révélant comment l’outil fonctionne, ses fonctionnalités futures cachées et ses mécanismes de sécurité. Elle permet aussi à des cybercriminels de créer de faux installateurs pour diffuser des virus.

Comment est-ce que cela s’est produit ?

L’incident est dû à une erreur humaine lors du packaging de la mise à jour. Un fichier de type « source map » (un plan permettant de reconstruire le code original à partir de la version optimisée pour l’ordinateur) a été inclus par mégarde dans le paquet public.

Qu’est-ce qu’un registre npm ?

Il s’agit d’une plateforme de distribution utilisée par les développeurs pour partager et installer des bibliothèques de code JavaScript. C’est par ce canal qu’Anthropic diffuse officiellement Claude Code.

Que sont les requêtes API ?

Ce sont des messages envoyés par Claude Code vers les serveurs d’Anthropic pour solliciter l’intelligence du modèle. La fuite a révélé comment ces messages sont structurés et protégés.

Qu’est-ce que la distillation du modèle IA ?

C’est une méthode par laquelle un concurrent essaie de créer un modèle plus petit et moins coûteux en l’entraînant à imiter les réponses d’une IA plus puissante, comme Claude.

Qu’est-ce qu’un agent IA ?

Contrairement à un simple chatbot, un agent IA est capable d’agir de manière autonome sur un ordinateur, par exemple pour exécuter des commandes dans un terminal ou modifier des fichiers sans intervention humaine constante.

Qu’est-ce que le typosquatting ?

C’est une technique de piratage consistant à enregistrer des noms de paquets très proches de l’original (ex: « claud-code » au lieu de « claude-code ») pour tromper les utilisateurs qui font une faute de frappe et leur faire installer un logiciel malveillant.

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.