🗓️ Contexte

Article publié le 31 mars 2026 par Howard Solomon sur InfoWorld, relayant un incident de sécurité impliquant Anthropic et son outil de programmation IA Claude Code.

🔍 Incident

Un employé d’Anthropic a commis une erreur humaine lors de la publication d’une version de Claude Code sur le registre npm public d’Anthropic. Un fichier source map (.map) a été inclus par inadvertance dans le package publié, rendant accessible l’intégralité du code source propriétaire de l’outil à quiconque téléchargeant le package.

⚠️ Risques identifiés

Selon l’expert en cybersécurité Joseph Steinberg, un fichier source map compromis expose :

  • La logique complète du code source (reconstruction possible depuis le code minifié)
  • Les secrets codés en dur (clés API, constantes internes)
  • Les vulnérabilités logiques exploitables par un attaquant
  • Les system prompts et commentaires internes

Le développeur Kuber Mehta précise que les fichiers .map générés par le bundler Bun (utilisé par Claude Code) contiennent : chaque fichier, chaque commentaire, chaque constante interne, chaque system prompt — le tout dans un fichier JSON accessible via npm pack.

🏢 Réponse d’Anthropic

Anthropic a qualifié l’incident de problème de packaging de release dû à une erreur humaine, et non d’une violation de sécurité. La société affirme qu’aucune donnée client sensible ni credential n’a été exposé. Des mesures correctives sont en cours de déploiement.

🔁 Récidive

Cet incident n’est pas isolé : selon Fortune et d’autres sources, le même type d’incident s’était déjà produit le mois précédent avec le même outil.

📌 Cause technique

L’erreur classique consiste à oublier d’ajouter *.map au fichier .npmignore ou de ne pas configurer le bundler pour désactiver la génération de source maps en production. Avec Bun, les source maps sont générées par défaut.

📰 Type d’article

Article de presse spécialisée relatant un incident de sécurité opérationnel lié à une erreur humaine dans le processus de publication de code, avec analyse technique des risques associés.

🧠 TTPs et IOCs détectés

TTP

  • T1592.002 — Gather Victim Host Information: Software (Reconnaissance)

🔗 Source originale : https://www.infoworld.com/article/4152856/anthropic-employee-error-exposes-claude-code-source.html

🖴 Archive : https://web.archive.org/web/20260402070220/https://www.infoworld.com/article/4152856/anthropic-employee-error-exposes-claude-code-source.html