Anthropic se serait bien passé de cette erreur. Le 31 mars dernier, tout le code source de Claude Code est apparu sur un référentiel npm. Il a suffit d'une mauvaise ligne de configuration dans un fichier de debug pour rendre public tout le code soit 512 000 lignes de codes, 1 906 fichiers TypeScript et 44 fonctionnalités non disponibles ! Même si la bourde a été rapidement corrigée, le mal était fait : le code source a été récupéré et copié et recopie...

L'erreur viendrait des fichiers source map qui sont normalement strictement interne au debug et jamais ils ne doivent être publiés auprès des utilisateurs. Il a suffit d'une configuration mal faite dans .nmpignore. Le code source n'est pas accessible directement mais npmignore a permis d'avoir le zip du code via une URL librement accessible. Et malchance supplémentaire, un bug dans Bun JavaScript runtime a été une autre facteur d'accès... 

dev.to a publié la chronologie de la fuite du 31 mars, heure UTC :

vers 4h00 : Claude Code 2.1.88 est poussé sur npm soit 59,8 Mo de source map. Le stockage R2 Cloudflare est utilisé pour le code source. Le code existe et il est publiquement accessible

4h23 : Chaofan Shou signale la découverte du code source avec le lien de téléchargement. Succès immédiat !

Dans les 2h qui suivent : les répertoires GitHub se multiplient, les forks du code aussi

Vers 8h : Anthropic communique  "suite à une erreur humaine, et non pas à faille de sécurité"

Quelques heures après : un Claude Code réécrit en Python apparaît. Le dév clame la légalité du projet. Et passe ensuite à Rust. 

L'analyse du code a permis de mieux comprendre le fonctionnement de Claude Code. Par exemple, il inclut plus de 40 outils systèmes, chaque tool possède son modèle de permission, de formatage des sorties, etc. Le Query Engine est un des éléments clés. C'est le cerveau de Claude Code pour interagir et faire les appels API, envoyer les réponses, gérer le contexte. 

Parmi les 44 fonctions non dévoilées, citons :

- Kairos : un agent totalement autonomie en arrière-plan

- Ultraplan : pour des plans complexes en utilisant une session Cloud Container Runtime s'exécutant sur Opus

- Coordinator Mode : pour orchestrer les différents agents

La fuite du code a aussi confirmé de nouveaux modèles : Capybara et surtout Mythos qui a fait parler de lui il y a quelques jours.

Suite à cette fuite, ultraworkers a décidé de réécriture Claude Code en Python : claw-code. Mais est-ce légal ? Le dév ne s'en préoccupe pas et décide de tout refaire en Python de 0... en utilisant une IA. Il a travaillé avec bellman_ych pour s'appuyer sur oh-my-codex. Le succès est immédiat : 50 000 étoiles en 2 heures, aujourd'hui il dépasse les 145 000 étoiles, avec la version Rust.

Description du code et des différents éléments : https://dev.to/varshithvhegde/the-great-claude-code-leak-of-2026-accident-incompetence-or-the-best-pr-stunt-in-ai-history-3igm

Une autre analyse poussée : https://alex000kim.com/posts/2026-03-31-claude-code-source-leak/

Un répertoire GitHub : https://github.com/Kuberwastaken/claurst

claw-code : https://github.com/ultraworkers/claw-code