Claude Code : 512 000 lignes leakées révèlent Kairos, un agent IA permanent 24/7 qu'Anthropic n'avait jamais annoncé
Un source map oublié dans un npm publish expose 512 000 lignes de code TypeScript de Claude Code, révélant Kairos, un daemon IA permanent, et l'Undercover Mode qui efface les traces IA.
Un npm publish de routine. Un source map de 59,8 MB oublié dans le build. Et 512 000 lignes de code TypeScript qui révèlent que Claude Code cache un agent permanent 24/7, un mode d'effacement des traces IA, et 44 fonctionnalités jamais annoncées. C'est le deuxième leak majeur d'Anthropic en cinq jours. Et le timing ne pouvait pas être pire : la Californie venait d'imposer le watermarking IA obligatoire 24 heures avant.
Un source map, 512 000 lignes, 30 minutes
Le 31 mars 2026, Anthropic publie le package @anthropic-ai/claude-code version 2.1.88 sur npm — le registre public de packages JavaScript. Rien d'inhabituel. Sauf qu'un fichier n'aurait jamais dû être inclus : cli.js.map, 59,8 MB.
Un source map est un outil de débogage. Il fait le lien entre le code minifié (illisible, optimisé) et le code source original (lisible, commenté). Le champ sourcesContent de ce fichier contenait l'intégralité du code TypeScript de Claude Code. 512 000 lignes.
C'est l'équivalent de publier un livre avec tous ses brouillons, annotations et notes internes attachés en annexe.
Un chercheur indépendant repère le fichier en quelques heures. Un repo GitHub miroir est créé. En 30 minutes : 5 000 stars. Anthropic retire le package npm. Trop tard. Internet conserve tout.
Le contexte aggrave la situation : c'est le deuxième leak Anthropic en cinq jours. Le 26 mars, une fuite CMS révélait Claude Mythos, un modèle jugé trop dangereux pour être publié.
Kairos : l'agent permanent qu'on ne vous avait pas dit
"Autonomous daemon with permanent life."
C'est la description exacte de Kairos dans le code source. Un daemon, en informatique, est un processus qui tourne en arrière-plan sans intervention humaine. Kairos n'est pas un plugin. Ce n'est pas une extension. C'est une architecture d'agent autonome permanent intégrée au cœur de Claude Code.
Ce que le code révèle :
- Sessions en background — Kairos tourne 24h/24 sans que l'utilisateur interagisse
- Mémoire continue — L'agent conserve le contexte entre les sessions
- Compréhension progressive — Il apprend votre projet dans le temps
- Tâches autonomes — Il exécute des actions sans intervention humaine
La question centrale : est-ce que Kairos était déjà activé chez certains utilisateurs ? Si oui, Claude Code pouvait tourner en silence sur votre machine après la fermeture du terminal. Anthropic n'a jamais documenté ni annoncé cette fonctionnalité.
Le code révèle également une infrastructure de cron scheduling — des déclencheurs programmés dans le temps. Couplée à Kairos, cette architecture forme un agent autonome persistant et programmable. Là encore, jamais annoncé.
Coordinator Mode : le Claude qui manage des Claudes
Le code source dévoile une deuxième fonctionnalité majeure : le Coordinator Mode. Le principe est simple. Une instance Claude "master" reçoit votre tâche, la décompose en sous-tâches, crée des agents Claude "workers" en parallèle, et synthétise leurs résultats.
C'est du multi-agent natif — une architecture où plusieurs agents IA collaborent sans que l'utilisateur voie la mécanique interne. L'utilisateur parle à un Claude. En coulisse, cinq Claudes travaillent.
Cette approche rappelle ce que Meta explore avec HyperAgents à l'échelle de la recherche. La différence : Claude Code le faisait déjà en local, sur votre code, sans que vous le sachiez.
Undercover Mode : la feature la plus problématique
C'est la révélation la plus controversée du leak.
L'Undercover Mode s'active automatiquement quand des employés Anthropic opèrent dans des repos publics. Son action : effacer toutes les traces IA dans les commits. Sa particularité : il ne peut pas être désactivé manuellement.
En clair : des contributions d'employés Anthropic dans des projets open-source pourraient ne pas être identifiables comme générées par IA. Aucun marqueur. Aucune attribution. Aucune transparence.
Le timing est dévastateur. La veille — le 30 mars 2026 — le gouverneur Newsom signait un Executive Order imposant le watermarking IA obligatoire en Californie. Le watermarking consiste à marquer tout contenu généré par IA de manière traçable. Undercover Mode est architecturalement l'opposé exact de ce que cette loi exige.
Anthropic, basée à San Francisco, devra expliquer l'existence de ce mode face aux régulateurs californiens.
44 feature flags et le system prompt complet
Au-delà des trois fonctionnalités majeures, le leak révèle 44 feature flags — des interrupteurs de fonctionnalités compilés dans le code mais désactivés (conditions false dans le build public). Plus de 20 fonctionnalités sont entièrement construites mais non livrées aux utilisateurs.
Le code contient aussi le system prompt complet de Claude Code. Un system prompt est l'instruction initiale qui dicte le comportement d'un modèle IA. Celui de Claude Code révèle comment il raisonne sur ses tâches : sa hiérarchie de priorités, ses contraintes, sa logique de décision interne.
| Feature | Description | Annoncé ? | Controverse |
|---|---|---|---|
| Kairos | Daemon permanent 24/7, background agent | ❌ Jamais | 🔴 Très élevée |
| Coordinator Mode | Claude orchestre des Claudes workers | ❌ Jamais | 🟠 Élevée |
| Undercover Mode | Efface traces IA dans repos publics | ❌ Jamais | 🔴 Très élevée |
| 44 feature flags | Fonctionnalités complètes non livrées | ❌ Jamais | 🟠 Élevée |
| System prompt complet | Logique interne de raisonnement | ❌ Jamais | 🟡 Modérée |
Deux leaks en 5 jours : le lab "safety-first" face à ses contradictions
Le rapport GitGuardian publié la semaine précédente ajoutait déjà une couche : les commits assistés par Claude Code présentent un taux de fuite de secrets (clés API, tokens) de 3,2 % — le double de la moyenne GitHub. Deux CVE liées à l'exfiltration de clés API via Claude Code avaient déjà été divulguées.
| Date | Type de leak | Révélation principale | Cause |
|---|---|---|---|
| 26 mars | CMS misconfiguration | Claude Mythos (Capybara) | Erreur humaine CMS |
| 31 mars | npm source map | Kairos + Undercover Mode | Erreur humaine npm |
| Ongoing | GitGuardian | 3,2 % fuite secrets commits | Architecture Claude Code |
Anthropic est le lab le plus axé "AI safety" de l'industrie. Son slogan de fondation : "safety first". En cinq jours : deux des leaks les plus significatifs de l'histoire de l'IA. Les deux fois par erreur humaine basique.
Ce n'est pas une critique. C'est une réalité : la sécurité opérationnelle (opsec — la protection des systèmes et processus internes) et la sécurité IA (AI safety — l'alignement des modèles) sont deux disciplines différentes. Anthropic excelle sur la deuxième. Cette semaine a prouvé qu'elle peut faillir sur la première.
En résumé :
- Le 31 mars 2026, Anthropic publie accidentellement Claude Code v2.1.88 sur npm avec son source map complet — 512 000 lignes de TypeScript exposées
- Révélation principale : Kairos, un "autonomous daemon with permanent life" — agent IA 24/7 en background jamais annoncé publiquement
- Autres features cachées : Coordinator Mode (multi-agent natif), Undercover Mode (effacement automatique des traces IA pour employés Anthropic), 44 feature flags non livrés
- Deuxième leak Anthropic en cinq jours après la fuite CMS du 26 mars révélant Claude Mythos
- Timing critique : Undercover Mode expose Anthropic à 24 heures d'intervalle de l'Executive Order Newsom imposant le watermarking IA obligatoire en Californie
Anthropic a construit un agent permanent (Kairos), un orchestrateur multi-agent (Coordinator Mode), et un effaceur de traces IA (Undercover Mode) — et n'en avait parlé à personne. Ce n'est pas forcément malveillant. C'est peut-être de la R&D non finalisée, du code en développement actif, des features prévues pour une annonce future. Mais dans le contexte de cette semaine — Claude Mythos "trop dangereux", Newsom watermarking, GitGuardian secrets leaks — chaque ligne de ce source code est lue avec le prisme du doute. Et Anthropic va devoir répondre. Pas sur la sécurité de l'IA. Sur la sécurité d'Anthropic elle-même.
Sources : analyse technique complète, implications gouvernance IA, 510 000 lignes analysées.
