Plus de 512 000 lignes de code source de Claude Code, l'outil de programmation d'Anthropic, ont fuité en ligne ce 31 mars. Selon The Verge, le code dévoile des fonctionnalités non encore publiées, les instructions système données à Claude et des éléments de l'architecture interne du produit. Pour Anthropic, la startup qui se positionne comme le champion de la sécurité de l'IA, c'est un coup dur.
Ce que la fuite révèle sur les coulisses de Claude
Claude Code est l'agent de programmation d'Anthropic, un outil qui permet aux développeurs de déléguer des tâches complexes à l'IA directement dans leur terminal. C'est l'un des produits les plus stratégiques de l'entreprise, en concurrence frontale avec Codex d'OpenAI et Copilot de Microsoft. Le code qui a fuité ne se limite pas à quelques fichiers anodins. Avec plus d'un demi-million de lignes, c'est une radiographie quasi complète du produit.
Les développeurs qui ont analysé la fuite y ont trouvé des fonctionnalités qui n'ont pas encore été annoncées officiellement. Plus révélateur encore, le code contient les « system prompts », ces instructions internes qui définissent le comportement de Claude. Ce sont ces consignes qui disent à l'IA comment répondre, quels sujets éviter, quel ton adopter. Les rendre publiques, c'est montrer le mode d'emploi secret du produit. Pour les concurrents, c'est une mine d'or. Pour les chercheurs en sécurité, c'est un terrain d'étude inédit.
Anthropic, le « safe AI lab » pris à son propre jeu
L'ironie est épaisse. Anthropic s'est construit sur une promesse : être l'entreprise qui fait de l'IA de manière responsable et sécurisée. Fondée par d'anciens dirigeants d'OpenAI qui jugeaient leur ex-employeur trop imprudent, la startup a fait de la sécurité son argument de vente principal. Chaque publication, chaque annonce, chaque communiqué insiste sur les protocoles de test, les red teams, les garde-fous. Et voilà que 512 000 lignes de code se retrouvent accessibles à n'importe qui.
La fuite intervient dans un contexte déjà tendu pour le secteur. La Californie vient d'annoncer de nouvelles normes de confidentialité et de sécurité pour les entreprises d'IA qui veulent travailler avec l'État. OpenAI boucle une levée de 122 milliards de dollars et se prépare à une entrée en bourse. Google pousse Gemini dans tous ses produits. La course à l'IA n'a jamais été aussi intense, et chaque faille de sécurité devient un événement médiatique et stratégique.
Quand la transparence n'est pas choisie
Anthropic n'a pas encore communiqué officiellement sur l'ampleur de la fuite ni sur son origine. La question est de savoir si le code a été exposé par erreur sur un dépôt public, extrait par un employé ou obtenu par une faille de sécurité. Dans tous les cas, l'incident pose une question que toute l'industrie préfère esquiver : si les entreprises qui construisent l'IA la plus puissante du monde ne parviennent pas à protéger leur propre code, comment peuvent-elles garantir la sécurité des données de leurs utilisateurs ?