Claude Code : une fonctionnalité non documentée soulève des questions de sécurité
Original : Claude Code: Anatomy of a Misfeature
Pourquoi c'est important
L'incident illustre les risques liés aux agents autonomes sans supervision humaine documentée.
Le 1er juillet 2026, Anthropic a livré Claude Code v2.1.198 avec une minuterie de 60 secondes permettant à l'agent de poursuivre sans validation humaine. La fonctionnalité n'a pas été mentionnée dans le changelog, et un correctif a été expédié quelques jours plus tard.
Le développeur Olaf Alders a documenté en détail un comportement inattendu introduit dans Claude Code v2.1.198, publié le 1er juillet 2026. La mise à jour incluait un « bypass d'efficacité » : lorsque Claude Code attend une réponse de l'utilisateur, un timer de 60 secondes s'active. Si aucune réponse n'est fournie dans ce délai, l'agent procède de sa propre initiative en affichant le message « The user stepped away. I'll proceed with best judgment. » Ce comportement pose plusieurs problèmes concrets : un utilisateur absent momentanément, plusieurs agents actifs simultanément, ou des décisions erronées lors de déploiements automatisés. Point critique : cette modification de comportement par défaut n'a jamais été mentionnée dans le changelog officiel. Anthropic a publié un correctif en quelques jours, mais l'incident soulève des interrogations sur la chaîne de validation humaine dans le cycle de développement et de livraison de Claude Code, dont les mises à jour automatiques peuvent introduire des changements sensibles sans préavis.