Ce qui a leaké - et ce qui n'a pas leaké
Le 31 mars 2026, à 4h23, un stagiaire chez Solaire Labs découvre un fichier de 59,8 MB caché dans une mise à jour de Claude Code. Un fichier de débogage interne publié par erreur : le source map, qui permet de reconstituer le code original depuis le code obfusqué. En deux heures, le tweet part viral. 512 000 lignes de code, 1 900 fichiers dans la nature.
Pour contextualiser : c'est le deuxième leak d'Anthropic en cinq jours. Le 26 mars, c'était le modèle Mythos, un Claude 5 supposément au-dessus d'Opus, qui avait été exposé brièvement sur le site. Une société à 19 milliards de dollars de revenus annuels qui fait deux erreurs en une semaine. Soit c'est humain, soit c'est stratégique. Les deux sont plausibles.
Ce qui n'a pas leaké : l'intelligence de Claude elle-même, les données d'entraînement, les poids du modèle, les données clients. Ce qui a leaké, c'est le logiciel de pilotage. Si l'IA est une voiture, le moteur est intact. Ce qu'on a récupéré, c'est le tableau de bord complet : les instructions secrètes, le système de mémoire, les règles de sécurité, l'orchestration multi-agents, la gestion du contexte.
En d'autres termes : on sait maintenant comment Anthropic pilote son IA. Et tout ce qui suit est directement actionnable.
Découverte 1 : la mémoire à 3 couches
Le problème que tout le monde connaît : plus une session est longue, plus l'IA perd le fil. La solution d'Anthropic n'est pas d'agrandir la fenêtre de contexte. C'est d'organiser la mémoire comme une bibliothèque à trois niveaux.
Couche 1 - le catalogue : toujours visible, maximum 200 lignes, uniquement des pointeurs. Pas de détails, juste des références. Dans 80 % des cas, cette couche seule suffit pour répondre.
Couche 2 - les étagères : chargées à la demande par un sous-agent qui trie et sélectionne les bons fichiers selon le contexte de la requête. Jamais tout chargé en bloc.
Couche 3 - les archives : jamais chargées en bloc, recherchées uniquement par mot-clé quand les deux premières couches ne suffisent pas.
Le principe qui dépasse la structure technique, c'est ce qu'Anthropic appelle la mémoire sceptique. L'IA traite ses propres souvenirs comme des indices, pas des vérités. Avant d'utiliser une information mémorisée, elle vérifie qu'elle est encore valide.
Exemple concret tiré des fichiers : le souvenir indique api.typescript mémorisé il y a 3 jours. L'IA cherche ce fichier dans le code actuel. Introuvable. Correction : api.typescript a été renommé en route.typescript. Mémoire mise à jour, zéro erreur basée sur un souvenir obsolète.
C'est exactement le principe du protocole LMP : horodater les informations et les vérifier avant de les appliquer. Ce leak confirme que c'est la bonne direction, pas une théorie.
Découverte 2 : l'AutoDream, nettoyage pendant l'absence
AutoDream est un assistant qui tourne en arrière-plan pendant les périodes d'inactivité. Son rôle : nettoyer et consolider la mémoire comme le cerveau humain pendant le sommeil.
Le déclenchement repose sur un triple verrou : 24 heures depuis le dernier nettoyage, 5 sessions minimum accumulées, et aucun autre nettoyage en cours. Ces trois conditions doivent être réunies simultanément.
Le cycle se fait en quatre étapes : cartographie (lecture de toute la mémoire existante), collecte (scan des sessions pour les informations clés), consolidation (fusion des doublons, suppression du périmé), et élagage (retour sous la limite des 200 lignes).
Ce qui a été observé dans les fichiers : 913 sessions consolidées en moins de 9 minutes. Pour donner une échelle, une session équivaut à une séquence de travail délimitée : ouvrir un projet, travailler, fermer. 913 de ces séquences, compressées, nettoyées, doublons éliminés, en 9 minutes.
Le résultat avant/après est documenté dans les fichiers : avant le nettoyage, 12 notes en vrac, doublons partout, références temporelles relatives ("hier", "la semaine dernière") qui se contredisent. Après : 5 notes propres, zéro doublon, dates absolues, contradictions supprimées.
Découverte 3 : 110 instructions assemblées en temps réel
Quand on utilise Claude Code, on imagine qu'il reçoit une instruction de départ. En réalité, il en reçoit 110, assemblées dynamiquement selon le contexte de la session.
Le mécanisme : un prompt de base avec des instructions permanentes, auquel s'ajoutent des blocs conditionnels. Si c'est un Mac, des instructions spécifiques Mac sont injectées. Si le mode plan est activé, 5 phases de planification supplémentaires apparaissent. Si c'est un sous-agent, un rôle spécialisé est attribué. Si le mode undercover est actif, l'identité IA est masquée.
Au total : 18 outils avec descriptions détaillées, 40 rappels injectés si besoin, 25 agents avec prompts spécialisés. Chaque session a un prompt unique. C'est du Lego, pas un bloc monolithique.
L'implication pratique pour vos propres systèmes : arrêter de concevoir un seul système prompt. Concevoir une architecture mémorielle dynamique : un index léger et des fiches thématiques chargées selon le contexte. C'est plus robuste, plus économique en tokens, et beaucoup plus facile à maintenir qu'un bloc de 500 lignes en vrac.
Pour les pipelines d'analyse multi-agents, cette architecture modulaire permet d'assigner des instructions précises à chaque agent sans surcharger le contexte global.
Découverte 4 : impératif vs descriptif, 21 points d'écart
C'est probablement l'information la plus directement actionnable du leak.
Anthropic a mesuré le taux de respect des instructions selon leur formulation. En langage descriptif : 73 % de respect. En langage impératif : 94 %. Soit 21 points d'écart pour un changement purement syntaxique.
Ce que ça donne concrètement :
- Descriptif à éviter : "Le projet utilise TypeScript" - Impératif : "Utilise TypeScript pour tous les fichiers."
- Descriptif à éviter : "Les résumés sont concis" - Impératif : "Donne la conclusion d'abord."
- Descriptif à éviter : "Les fichiers sont protégés" - Impératif : "Ne jamais modifier GuideConfig."
La deuxième confirmation du leak : les interdictions sont aussi puissantes que les règles. Une instruction "ne fais jamais X" a le même poids qu'une instruction "fais Y". Les ignorer ou les minimiser, c'est laisser 50 % de la surface d'instruction sans effet garanti.
21 points sur une base de 73, ça représente un gain de près de 30 % de conformité. Juste en reformulant des phrases. Pas de nouveau modèle, pas de nouveau prompt, pas d'ingénierie complexe.
Découverte 5 : les sous-agents spécialisés
Le leak confirme l'architecture interne des sous-agents et leurs noms, certains inconnus jusqu'ici.
Le schéma de fonctionnement : tu envoies une requête (exemple : "ajoute un bouton de paiement"). Un coordinateur découpe la tâche et délègue en parallèle à des agents spécialisés : un explorateur qui fouille le code existant, un architecte qui planifie l'implémentation, un gardien qui vérifie la sécurité.
Les trois travaillent simultanément, échangent leurs résultats, fusionnent leurs réponses. Tu reçois un résultat agrégé.
Ce qui est nouveau dans le leak, c'est la granularité de spécialisation et les noms internes. Chaque sous-agent a une identité claire, des outils autorisés et des outils interdits. Les clusters ne sont pas fixes : ce sont des clusters dynamiques qui s'assemblent différemment selon la tâche, variables en temps réel.
Découverte 6 : les options cachées - Kairos, Ultra-Plan et les 44 fonctionnalités secrètes
Le leak expose 44 options qui n'apparaissent dans aucune documentation publique. Trois méritent une attention particulière.
Kairos : un assistant permanent en arrière-plan. Il observe le contexte de travail et agit de façon autonome sans être explicitement invoqué. Surveillance passive, déclenchement proactif.
Ultra-Plan : la réflexion est déportée sur le serveur pour des sessions pouvant durer jusqu'à 30 minutes. Pour les tâches complexes qui nécessitent une planification longue, ce mode évite d'occuper le contexte local.
Tâches programmées : l'IA planifie ses propres actions futures. Les slash loops documentées en externe ne sont que la surface visible de ce système.
Sur la sécurité : quatre modes de permission sont confirmés : défaut (demande avant d'agir), auto (évaluation du risque automatique), bypass (ignore les vérifications) et YOLO (refus total). Chaque action est classifiée par niveau de risque : faible, moyen ou haut.
Les 6 patterns à appliquer maintenant
Voilà ce qu'Anthropic fait en interne, et ce que vous pouvez répliquer directement dans vos systèmes.
Pattern 1 - Catalogue léger + fiches par sujet
Remplacez votre fichier d'instructions monolithique par une structure à deux niveaux : un index de 50 lignes maximum (les pointeurs), et des fiches thématiques séparées chargées à la demande. C'est le modèle bibliothèque, pas le modèle disque dur plat.
Pattern 2 - Tout à l'impératif
Ouvrez votre CLAUDE.md ou équivalent. Reformulez chaque règle en impératif. Ajoutez des interdictions explicites : elles ont le même poids que les règles positives. Ce seul changement peut vous faire gagner 21 points de conformité.
Pattern 3 - Cycle de nettoyage régulier
Implémentez le cycle cartographier, collecter, consolider, élaguer. Fréquence adaptée à l'usage : toutes les deux semaines pour un usage standard, toutes les semaines pour un usage intensif, tous les trois jours si vous travaillez avec plusieurs instances simultanées.
Pattern 4 - Description des outils en 5 sections
Pour chaque outil ou agent de votre système, documentez : quand l'utiliser (déclencheurs), quand ne pas l'utiliser (exclusions), ce qu'il fait (résultat attendu), ce qu'il ne fait pas (limites), et le format de sortie. Les interdictions ont le même poids que les règles : documentez les deux systématiquement.
Pattern 5 - Classification par niveau de risque
Classez chaque action de vos systèmes en trois niveaux. Risque faible : lecture, consultation, analyse, pas de confirmation nécessaire. Risque moyen : modification, envoi de messages, création de fichiers, confirmation recommandée. Risque haut : suppression irréversible, publication, actions sans retour arrière possible, confirmation obligatoire avec hook de garde-fou.
Pattern 6 - Mémoire sceptique : vérifier avant d'appliquer
Ajoutez cette instruction dans vos fichiers de mémoire : "Vérifie les informations mémorisées contre les données réelles avant de les appliquer." L'IA traite alors ses souvenirs comme des indices à confirmer. Combiné avec un horodatage systématique, ce principe élimine une grande partie des erreurs dues à des contextes obsolètes. C'est ce que l'audit technique automatisé applique déjà : confronter les données mémorisées aux données réelles de la page avant de produire des recommandations.
Une dernière nuance : on ne sait pas si ce leak est accidentel ou stratégique. Que ce soit intentionnel ou non, ce qui est sorti est le tableau de bord, pas le moteur. L'intelligence de Claude reste intacte. Ce qu'on a, c'est la carte du pilotage. Les principes extraits, mémoire sceptique, impératif, architecture modulaire, cycle de nettoyage, resteront valides quelle que soit l'évolution de l'implémentation.
