‍#ClaudeCode500KCodeLeak Le 31 mars 2026, Anthropic a involontairement exposé plus de 512 000 lignes de son code propriétaire TypeScript au public internet. La cause n’était pas sophistiquée. Elle était opérationnelle. Un fichier .map — un artefact de débogage utilisé pour reconstruire un code minifié — n’a pas été exclu via .npmignore lors d’une mise à jour routinière du package npm Claude Code. En environnement de production, les cartes sources ne sont jamais diffusées. Celle-ci l’a été. Le fichier était accessible via un lien vers un bucket Cloudflare R2 intégré dans les métadonnées du package. En quelques heures, le chercheur en sécurité Chaofan Shou l’a identifié et partagé. La publication a atteint des dizaines de millions de personnes. Des milliers de développeurs ont forké le dépôt avant que les efforts de suppression ne commencent. Au moment où Anthropic a supprimé des milliers de copies sur GitHub, le code avait déjà été archivé, dupliqué et distribué dans des juridictions au-delà de toute enforcement efficace. À ce stade, la containment n’était plus possible.