Temps de lecture : 2mn45
Hello,
Anthropic a publié par erreur 512 000 lignes de code source. Alibaba lance un modèle qui défie Claude sur le coding. Et Bernie Sanders veut geler les centres de données.
En Focus, on vous raconte comment 60 Mo ont échappé au contrôle d'Anthropic — et pourquoi rien ne pouvait être repris.
Théo & Nathanaël
Le code source complet de Claude Code a été publié par erreur sur npm. GitHub a explosé.
L'essentiel :
Le 31 mars, Anthropic a accidentellement publié un fichier source map de 60 Mo dans la version 2.1.88 de Claude Code sur npm.
Le fichier contenait 512 000 lignes de code, 1 906 fichiers TypeScript et 44 feature flags.
Des développeurs ont découvert des fonctionnalités cachées : KAIROS (mode always-on), ULTRAPLAN (planification 30 minutes), Coordinator Mode (essaims d'agents) et Undercover Mode.
En une heure, les miroirs GitHub avaient accumulé 1 500 stars. Un développeur a réécrit l'intégralité du code en Python avec Codex pour contourner les DMCA.
Deuxième fuite chez Anthropic en une semaine, après Mythos. On vous raconte tout dans notre Focus.
Qwen 3.6-Plus code, teste, débugue. Seul. Et il coûte 10 fois moins cher.
L'essentiel :
Alibaba a lancé Qwen 3.6-Plus le 2 avril. Un modèle spécialisé dans le coding agentique : il décompose les tâches, écrit le code, le teste et le débugue de manière autonome.
Nativement multimodal, il génère des pages web à partir de captures d'écran et gère une fenêtre de contexte de 1 million de tokens par défaut.
Sur SWE-bench et Terminal-Bench 2.0, Qwen 3.6-Plus égale Claude Opus 4.5. Deuxième sur le leaderboard Code Arena React.
Compatible avec OpenClaw, Claude Code et Cline. Le prix : environ $0,29 par million de tokens en entrée.
La pression sur les modèles occidentaux ne vient plus seulement des prix. Elle vient des performances.
Un moratoire sur tous les nouveaux centres de données. Jusqu'à ce que le Congrès légifère.
L'essentiel :
Le 25 mars, Bernie Sanders et Alexandria Ocasio-Cortez ont déposé le AI Data Center Moratorium Act. Le texte gèle toute nouvelle construction de centres de données tant que le Congrès n'a pas voté de législation globale sur l'IA.
Les exigences : travail syndiqué, protections sociales, limites environnementales, et interdiction d'exporter les puces IA les plus avancées.
En face, le sénateur Tom Cotton a déposé le DATA Act, qui permettrait aux centres de données de contourner les réglementations fédérales sur l'électricité.
Le sénateur Mark Warner a qualifié le moratoire d'"idiotie". John Fetterman : "un cadeau à Pékin."
Deux visions irréconciliables du même problème. Le Congrès devra choisir entre freiner l'IA ou la laisser construire ses propres règles.
Focus : 512 000 lignes qui n'auraient jamais dû sortir
Le 31 mars 2026, un fichier de 60 Mo a atterri sur npm. Dedans : l'intégralité du code source de Claude Code, l'outil de développement phare d'Anthropic. 512 000 lignes. 1 906 fichiers. 44 feature flags. Tout était là, en clair, accessible à n'importe quel développeur dans le monde. En 23 minutes, la fuite était repérée. En une heure, le code était mirroré, forké, analysé. En douze heures, quelqu'un l'avait réécrit dans un autre langage pour contourner les droits d'auteur. Sauf que cette fois, contrairement aux fuites classiques, rien ne pouvait être repris.
À suivre :
60 Mo qui changent tout.
Ce que le code révèle.
L'effet Streisand version IA.
Ce que ça signifie pour nous.
60 Mo qui changent tout
Tout commence par une mise à jour de routine. La version 0.2.1.88 de Claude Code est publiée sur npm. Dans le package, un fichier source map de 60 Mo qui n'aurait jamais dû sortir.
Chaofan Shou, stagiaire chez Solayer Lab, est le premier à repérer l'anomalie. 23 minutes après la publication.
La communauté open source a réagi à une vitesse que personne n'avait anticipée. Des miroirs GitHub créés dans l'heure. 1 500 stars en 60 minutes.
Anthropic a retiré le fichier de npm et publié un communiqué sobre : "Un problème de packaging causé par une erreur humaine."
Sauf que sur Internet, supprimer un fichier ne supprime rien.
Ce que le code révèle
Le code révèle une architecture bien plus sophistiquée qu'un simple assistant de code. Plus de 40 outils internes, un orchestrateur multi-agents, et un mécanisme de mémoire de fond qui consolide les conversations entre les sessions.
Mais ce sont les 44 feature flags qui ont retenu l'attention. Quatre fonctionnalités non annoncées ont émergé.
KAIROS : un mode always-on. Claude Code tournerait en permanence, surveillant les changements de code et proposant des corrections en temps réel. ULTRAPLAN : un module de planification longue qui découpe des objectifs complexes en plans de 30 minutes. Coordinator Mode : un système d'essaims d'agents travaillant en parallèle sur un même projet.
Et puis il y a Undercover Mode. D'après le code, ce mode masquerait l'identité IA dans les contributions open source. Les commits apparaîtraient comme provenant d'un développeur humain.
C'est le point le plus sensible de toute la fuite. Pour une entreprise qui se positionne sur la transparence et la sécurité, c'est un paradoxe difficile à expliquer.
Les développeurs ont aussi découvert un Tamagotchi virtuel caché dans le code. Dans un codebase de 512 000 lignes dédié à la productivité, quelqu'un chez Anthropic a pris le temps de coder un compagnon virtuel. Ça en dit long sur la culture interne.
L'effet Streisand version IA
Anthropic a déposé des demandes DMCA contre les miroirs GitHub. Plusieurs dépôts ont été retirés.
Sauf que le code avait déjà été copié sur des plateformes décentralisées. IPFS, Tor, archives distribuées. Hors de portée des demandes de retrait.
C'est alors qu'un développeur a franchi un cap. En utilisant OpenAI Codex, il a réécrit l'intégralité du code en Python. Pas une copie. Une réécriture complète, dans un autre langage. Juridiquement, ce n'est pas une violation de copyright.
Ce schéma est nouveau. Avec l'IA générative, le code fuité peut être réécrit dans un autre langage en quelques heures.
La notion même de propriété du code devient floue quand une machine peut en produire une version fonctionnellement identique mais juridiquement distincte.
Ce que ça signifie pour nous
C'est le deuxième incident de sécurité chez Anthropic en quelques jours. Peu avant, le CMS interne Mythos avait été brièvement exposé. Deux fuites en une semaine, c'est un signal.
Sur les données : Anthropic insiste, aucune donnée client n'a été compromise. Le risque est industriel et concurrentiel, pas personnel.
Sauf que le représentant Gottheimer a écrit à Dario Amodei pour exiger un audit indépendant. Anthropic, qui se positionne comme l'entreprise la plus responsable de l'industrie, se retrouve dans une position délicate.
La leçon dépasse le cas Anthropic. Dans l'économie de l'IA, le code est le produit. Et une fois qu'il est publié, même par erreur, il ne peut plus être repris.
Les fonctionnalités découvertes dessinent un avenir où les outils de développement IA seront radicalement plus autonomes. La question n'est plus si ces outils arrivent.
C'est si on saura les contrôler quand ils seront là.
Ces ads sont issues du réseau d’ad de Beehiiv, la plateforme qu’on utilise pour gérer FreeA. Malheureusement, elles ne sont pas modifiables, et sont donc en anglais.
Par contre, elles rémunèrent au nombre de clicks, donc un moyen simple de nous soutenir est d’aller voir si le sujet vous intéresse !
On ne choisit que des partenaires qu’on utilise déjà ou pourrait utiliser :)
Want to get the most out of ChatGPT?
ChatGPT is a superpower if you know how to use it correctly.
Discover how HubSpot's guide to AI can elevate both your productivity and creativity to get more things done.
Learn to automate tasks, enhance decision-making, and foster innovation with the power of AI.
PS : Cette newsletter a été écrite à 100% par un humain. Ok, peut-être 80%.
