Anthropic's Claude Code Source Leil Exposes Internal Features and Architecture

On March 31, 2026, a significant leak of the Claude Code CLI source code occurred shortly after Anthropic released version 2.1.88. A security researcher discovered a `cli.js.map` source map file in the npm registry, which was inadvertently published due to an oversight in the deployment process. Anthropic's director for Claude Code acknowledged the error, stating their deployment includes manual steps and one was not executed correctly.

The source map file pointed to a publicly accessible Cloudflare R2 bucket containing a ZIP archive of the full source code—over 500,000 lines across approximately 2,000 files. The leak revealed numerous undocumented commands, flags, environment variables, and core system components, including system prompts, agent orchestration logic, authentication implementation, and tool and rate limit management.

Key Internal Features and Modes Uncovered:

* "Undercover" Mode: A non-disablable feature, automatically activated when the system cannot confirm it is in a private repository. Designed for Anthropic employees, it instructs Claude to exclude internal references—such as project names, Slack channels, unpublished model version numbers, and even the term "Claude Code"—from public repository contributions to obscure AI involvement.

* "Coordinator" Mode & KAIROS: This architecture divides coding tasks (research, implementation, testing) among sub-agents that communicate via XML messages and access a shared knowledge folder. The "KAIROS" component implements a "dreaming" or memory consolidation feature, inspired by human sleep cycles. It activates only after 24 hours and at least 5 Claude Code sessions since the last consolidation. In this mode, Claude Code runs as a background system service, continuously monitoring the project and avoiding any action that would block a user's workflow for more than 15 seconds.

* ULTRAPLAN: A feature that offloads complex tasks to a remote Opus environment for processing, with jobs capable of lasting up to 30 minutes.

* Structured Memory Architecture: The system uses a three-layer memory design: a perpetually present index of pointers in the context window; on-demand "topic files"; and transcriptions that are never fully loaded, only searched via "grep."

* Internal Code Names: The source code references internal project names like "Chicago" for the Computer Use component and "Capybara," which appears to be an alias for "Mythos"—a model suspected to be positioned above Opus, which was itself leaked the previous week.

* User Experience & Safety Controls: Includes a "minimalist" mode to disable automatic memory, reasoning, and background tasks. Kill switches exist for features like voice mode and the 1-million-token extended context window (e.g., for HIPAA compliance). User frustration is managed via regex pattern matching rather than advanced sentiment analysis.

* Protections and Telemetry: The code reveals anti-distillation techniques, such as seeding API requests with fake tool definitions to compromise the training of other models, and a mechanism that returns only thought chain summaries via the API. Telemetry uses four channels: OpenTelemetry, GrowthBook, Sentry, and Statsig, with all requests tagged using a hard-coded salt.

Aftermath and Community Forks:

Anthropic swiftly filed a DMCA takedown request with GitHub, initially targeting the main leaked code mirror (`nirholas/claude-code`) and all its forks, resulting in over 8,000 disabled repositories—including collateral damage to forks of unrelated open-source projects. The company refined its request the next day, focusing on the main mirror and about 100 forks.

Notably, the DMCA action did not target projects like `claw-code`, which rapidly gained over 100,000 stars by reimplementing Claude Code's architecture in Python without using the actual source code. Other derivatives include a Rust implementation, `Open Claude` (which replaces API bindings with an adapter for other models), and forks that strip out telemetry and safety guards while enabling all experimental features.

Rêveur, clandestin, psychologue à base de regex… Claude Code est un peu tout cela. La preuve avec… le code source de son CLI, qui a fuité.

Mardi 31 mars, Anthropic a publié une nouvelle version de l’outil (2.1.88). Moins d’une demi-heure plus tard, un chercheur en sécurité a détecté, dans l’arborescence npm, un fichier cli.js.map.

Ce fichier est un source map. Il fait le pont entre le code source et le code compilé pour faciliter le débogage.

Pour Claude Code, Anthropic a choisi le runtime Bun, dont il a fait l’acquisition en décembre dernier. Cet environnement crée automatiquement des source maps, y compris en production. Il faut donc penser à créer une exception, par exemple au niveau du fichier .npmignore. Dans le cas présent, cela n’a pas été fait.

« Notre processus de déploiement comprend quelques étapes manuelles, dont une qui ne s’est pas faite correctement », a reconnu le directeur de Claude Code.

Au-delà des éléments qu’il exposait, le fichier pointait vers un zip dans un bucket Cloudflare R2 en accès public… et qui contenait le code source. Au total, plus d’un demi-million de lignes sur quelque 2000 fichiers. Au menu, prompts système, logique d’orchestration des agents, implémentation de l’authentification, gestion des outils et des limites de débit, etc. Ainsi que des dizaines de commandes, de drapeaux et de variables d’environnement non documentés.

Claude code source code has been leaked via a map file in their npm registry!

Code: https://t.co/jBiMoOzt8G pic.twitter.com/rYo5hbvEj8

— Chaofan Shou (@Fried_rice) March 31, 2026

Un mode « clandestin » pour les contributions publiques

Parmi les fonctionnalités cachées tient, en une centaine de lignes, un mode « Undercover ».

Réservé aux employés d’Anthropic, ce mode « clandestin » impose à Claude de ne jamais inclure certains éléments internes dans ses contributions sur des dépôts publics. Entre autres, noms de projets, d’outils et de canaux Slack, ainsi que numéros de version de modèles non publiés. L’expression « Claude Code » est également bannie… tout comme, plus globalement, toute mention qui pourrait laisser penser qu’une IA a contribué.

Le mode Undercover apparaît non désactivable. Il s’enclenche automatiquement dès lors que le système ne peut pas confirmer qu’il est dans un dépôt privé.

KAIROS ou le démon Claude Code

Claude Code a aussi un mode « Coordinator ». Il divise le travail de recherche, d’implémentation et de test entre des sous-agents qui communiquent par messages XML et ont accès à un dossier de connaissances partagé.

Le côté « rêveur » consiste, sur le modèle du cerveau humain lors des phases de sommeil, en une consolidation de la mémoire. Il ne s’enclenche que si, depuis la consolidation précédente, au moins 24 heures se sont écoulées et au moins 5 sessions Claude Code ont été lancées.

KAIROS met ce mécanisme en œuvre en le déléguant à un sous-agent. Dans ce mode, Claude Code s’exécute en arrière-plan, tel un service système, pour surveiller le projet en continu. Régulièrement, il décide d’agir ou non, en s’abstenant de toute action qui bloquerait un workflow utilisateur plus de 15 secondes.

Autre fonctionnalité que révèle le code source : ULTRAPLAN. Avec elle, Claude Code envoie les tâches complexes à un environnement Opus distant, pour un traitement pouvant durer jusqu’à 30 minutes.

La mémoire de Claude Code s’architecture en trois couches. La seule perpétuellement présente dans la fenêtre de contexte est un index de pointeurs. Les transcriptions ne sont jamais chargées complètement (on n’y fait que du « grep »). Entre les deux, il y a des topic files, récupérés à la demande.

Based on everything explored in the source code, here’s the full technical recipe behind Claude Code’s memory architecture:

[shared by claude code]

Claude Code’s memory system is actually insanely well-designed. It isn’t like “store everything” but constrained, structured and… pic.twitter.com/PlGRvuvkts

— himanshu (@himanshustwts) March 31, 2026

Chicago, Capybara… Des noms de code en pagaille

Pour gérer la frustration des utilisateurs, pas d’algorithmes avancés d’analyse de sentiment : juste du pattern matching, à l’appui de regex.

Dans le même esprit, Claude Code dispose d’un mode « minimaliste » permettant de désactiver notamment la mémoire automatique, le raisonnement et les tâches en arrière-plan. Il a aussi des kill switchs. Par exemple pour le mode vocal. Ou pour désactiver la fenêtre étendue (1 million de tokens) dans un contexte de conformité HIPAA.

Le code source révèle quelques noms internes. Parmi eux, « Chicago », attribué à la brique Computer Use. Ou Capybara. Alias Mythos, semble-t-il. C’est en tout cas sous ce nom que ce modèle vraisemblablement positionné au-dessus d’Opus avait fuité la semaine dernière. Une erreur sur le site web donnait accès à des milliers de fichiers non publiés, dont un billet de blog sur Mythos/Capybara.

L’analyse du code source révèle aussi diverses protections. Dont un contre la distillation. Le système intègre de fausses définitions d’outils dans les requêtes API pour compromettre l’entraînement d’autres modèles. Anthropic a aussi intégré un mécanisme qui protège la chaîne de pensée (l’API ne retourne, à chaque appel, que des résumés).

Sur le volet télémétrie, Claude Code exploite 4 canaux : OpenTelemetry, GrowthBook, Sentry et Statsig. Il tatoue toutes les requêtes avec un sel codé en dur.

La mécanique des forks enclenchée malgré les requêtes DMCA

Anthropic n’a pas tardé à déposer une requête DMCA auprès de GitHub. Elle visait le miroir principal du code leaké (nirholas/claude-code) et tous ses forks. Résultat : plus de 8000 dépôts désactivés… dont des victimes collatérales qui avaient forké des éléments du projet open source.

Anthropic a corrigé le tir le lendemain, recentrant sa demande sur le miroir principal et sur une centaine de forks. Il n’a pas ciblé claw-code, qui a pourtant accumulé plus de 100 000 étoiles en quelques heures. Et pour cause : le projet réimplémente l’architecture de Claude Code (en Python) sans en reprendre le code source. Il en existe également une implémentation en Rust.

Dans un autre genre, il y a le dérivé Open Claude qui remplace les liaisons API par un adapteur gérant d’autres modèles. Ou ce fork qui enlève la télémétrie et les garde-fous tout en activant l’ensemble des fonctionnalités expérimentales.

Illustration générée par IA

The post KAIROS, ULTRAPLAN… Ce que révèle le leak de Claude Code appeared first on Silicon.fr.