Quand Claude Code travaille, il affiche une petite ligne animée — « Baking… », « Discombobulating… » — que des centaines de milliers de développeurs fixent des heures par jour. Andrew McCalip a regardé cette ligne et y a vu un panneau publicitaire vide. Le 11 juin 2026, il a lancé Kickbacks : une extension qui vend ce spinner aux enchères, affiche une pub sponsorisée à la place des verbes d'attente, et reverse 50 % des revenus au développeur qui la subit. Slogan : « Get paid for waiting. »
Le tweet de lancement a dépassé les 5,5 millions de vues en 24 heures. Deux concurrents sont apparus dans les 48 heures. Et pourtant, tout l'édifice repose sur une réalité que personne ne peut ignorer : Kickbacks est construit sur le terrain d'Anthropic, sans bail, quatre mois après qu'Anthropic a payé une campagne au Super Bowl pour proclamer « Ads are coming to AI. But not to Claude. »
Nous avons lu le bundle de l'extension ligne par ligne — pas le communiqué de presse. Voici ce qu'il y a vraiment dedans, ce que ça vaut, et pourquoi cette histoire est le meilleur cas d'école de 2026 sur les produits opportunistes.
Le fondateur : un builder qui sait fabriquer du bruit
Andrew McCalip n'est pas un inconnu. En août 2023, cet ingénieur de Varda Space Industries (fabrication en orbite) est devenu une célébrité d'internet en tentant la première réplication américaine du LK-99, le supposé supraconducteur à température ambiante coréen — synthèse diffusée en livestream sur Twitch, avancement documenté sur Twitter, échantillon en lévitation envoyé à l'université USC pour analyse. La réplication n'a jamais été confirmée, mais le personnage était lancé : un profil « engineering as content », capable de transformer un projet technique en feuilleton mondial en quelques jours.
Depuis, on lui doit Project Bob (un bateau-drone autonome de 14 pieds qui tente un tour du monde via Starlink, toujours en cours) et ShiftKeys, Inc. — la société qui édite un assistant IA déclenché par les deux touches Shift, et sous laquelle Kickbacks est juridiquement logé. Détail qui en dit long : au moment du lancement, le site personnel de McCalip listait sept projets… et Kickbacks n'y figurait pas. Il n'a soumis aucun des threads Hacker News lui-même et n'y a jamais répondu. Le canal officiel, c'est son compte X. Kickbacks ressemble moins à un produit d'entreprise qu'à un coup — rapide, culotté, parfaitement timé.
Le pitch : transformer l'attente en inventaire publicitaire
La landing page de Kickbacks au lancement — capture d'écran du 13 juin 2026, kickbacks.ai
Le modèle annoncé est simple. Les annonceurs enchérissent sur le slot via un carnet d'ordres ouvert. L'unité de vente est un « block » de 1 000 impressions de 5 secondes. L'utilisateur qui affiche les pubs touche 50 % des revenus, crédités par impression et par clic — un clic valant 50 fois une impression. Des plafonds horaires et journaliers limitent les gains, et un kill-switch distant permet de couper toute la flotte.
La réalité du lancement est plus modeste, et c'est important de le dire : au 12 juin, les payouts n'étaient pas ouverts (l'intégration Stripe Connect était annoncée « presque terminée », sans date), et il n'y avait aucun annonceur réel — la pub visible, Firecrawl, est un placeholder maison servant à amorcer l'inventaire. Les gains s'accumulent donc sur un compteur, mais ne se touchent pas. Premier retour de testeur sur Hacker News : environ 3 heures d'utilisation, 407 impressions, 4,43 dollars. Un autre utilisateur revendique 10 dollars en 2 heures — chiffres auto-déclarés, à prendre comme tels, face à un abonnement Claude qui peut coûter 200 dollars par mois.
Un signal d'écosystème mérite pourtant l'attention : moins de 30 heures après le lancement, un développeur tiers avait déjà construit un terminal de données pour les acheteurs de pubs — suivi du carnet d'ordres, consommation des blocks, calcul d'enchères contre le prix moyen pondéré. Ses métriques (non vérifiées) : environ 943 impressions servies par minute, enchère haute à 111 dollars, plancher de diffusion à 31 dollars. Quand des outils spéculatifs apparaissent autour de votre marché en un jour, c'est que le marché existe, au moins comme objet de curiosité.
Sous le capot : ce que dit le code
Nous avons décompilé et lu le bundle de l'extension. Premier constat amusant : le produit s'appelait Vibe Ads avant son rebranding. Tout le code en garde la trace — fichiers stockés sous ~/.vibe-ads/, marqueurs /* VIBE-ADS-START */, commandes internes préfixées vibe-ads.*.
Techniquement, l'extension attaque deux surfaces de robustesse très inégale.
La voie solide : le terminal, via des réglages officiels
Pour le CLI, Kickbacks ne bidouille rien : il édite votre ~/.claude/settings.json pour y injecter deux champs documentés par Anthropic. spinnerVerbs remplace les verbes du spinner par la ligne sponsorisée. statusLine pointe vers un script qui affiche la pub cliquable dans la barre de statut. Finesse appréciable : si vous aviez déjà une status line personnalisée, l'extension la sauvegarde et la chaîne — votre affichage d'origine continue de tourner, la pub s'ajoute au-dessus, et la restauration est propre. C'est de la belle ingénierie, bâtie sur des fonctionnalités officielles.
La voie fragile : patcher l'extension d'Anthropic
Pour le panneau VS Code et Cursor, en revanche, Kickbacks modifie directement le bundle de l'extension officielle d'Anthropic. Backup au byte près du fichier d'origine, localisation du tableau de verbes dans le code minifié, injection d'un bloc qui rend la publicité dans le spinner. Et surtout : le webview de Claude Code est protégé par une Content Security Policy stricte qui interdit toute connexion réseau. Pour que sa pub puisse communiquer avec son serveur local de télémétrie, Kickbacks assouplit cette CSP — et les commentaires de leurs propres développeurs admettent que cette relaxation reste en place même après désactivation de l'extension. Elle n'est vraiment retirée qu'à la désinstallation explicite.
Le système de comptage est, lui aussi, étonnamment soigné : un serveur local reçoit les événements d'impression et de visibilité, une pub doit rester au moins 5 secondes à l'écran pour être créditée, et un détecteur d'inactivité surveille la date de modification du fichier de transcript de Claude Code — 90 secondes sans écriture et le comptage s'arrête. Un « watchdog » distingue même « l'utilisateur travaille mais nos pubs ne s'affichent plus » (auto-réparation) de « l'utilisateur est parti déjeuner » (ne rien faire). On a vu des produits financés en série A avec une télémétrie moins rigoureuse.
Les trois problèmes que la sécurité ne pardonne pas
1. L'affaiblissement persistant d'une barrière de sécurité. Relaxer la CSP du produit d'un tiers, et la laisser relaxée après désactivation, c'est affaiblir une protection conçue par Anthropic pour ses utilisateurs — sans leur consentement éclairé.
2. L'auto-update non signé toutes les 90 secondes. L'extension interroge un serveur de mise à jour toutes les 90 secondes et peut s'installer hors du marketplace, sans vérification de signature. C'est le point qui a dominé les discussions Hacker News : si ce serveur est compromis, c'est un canal de distribution de code malveillant vers toute la base installée. Un risque supply-chain classique, créé volontairement pour suivre le rythme de release effréné de Claude Code.
3. Modifier le produit d'un autre éditeur sans autorisation. Zone grise vis-à-vis des règles du marketplace de Microsoft, et exposition frontale aux conditions d'utilisation d'Anthropic. Le code est d'ailleurs publié en lecture seule sous licence propriétaire ShiftKeys avec clauses anti-rétro-ingénierie — source-available, pas open source.
La réception : viral sur X, flop sur Hacker News
La géographie du buzz est instructive, car elle contredit l'intuition.
| Canal | Résultat (48 premières heures) |
|---|---|
| Tweet de lancement | 5 527 308 vues, 11 623 likes, 707 quote-tweets |
| Thread HN principal | 15 points, 7 commentaires |
| Second thread HN | 14 points, 2 commentaires |
| « Show HN » officiel | 2 points, 0 commentaire |
| Repo GitHub | ~160 stars, jamais en trending |
Cinq millions et demi de vues d'un côté ; un Show HN à deux points de l'autre. L'audience grand public tech adore le spectacle ; la communauté qui installerait réellement l'extension est restée froide, et quand elle a parlé, c'était pour pointer l'auto-update non signé. Le produit fait parler de lui bien au-delà du cercle de ses utilisateurs potentiels — la marque de fabrique de McCalip depuis le LK-99.
Deux concurrents en 48 heures — dont un qui s'astroturfe lui-même
La niche s'est peuplée à une vitesse record. IdleAds.dev, lancé sur Hacker News le 12 juin par un fondateur se présentant comme « Abhi », promet 70 % de reversement (avec un objectif affiché de 90 %) et revendique une approche techniquement plus propre : vérification des impressions côté serveur, aucun patch de l'éditeur. Son lancement a fait 1 point sur HN. Détail savoureux : le commentaire « essayez IdleAds.dev, ça paie 70 % » posté dans le thread de Kickbacks venait du même pseudonyme que le fondateur — qui n'avait pas divulgué son affiliation. L'astroturfing au premier degré, dans un marché vieux de 24 heures.
Idlen (idlen.io) joue une partition différente : équipe totalement anonyme, mais surface beaucoup plus large — extensions pour VS Code, Cursor et Windsurf, plus des extensions navigateur ciblant ChatGPT, Claude, Perplexity ou Gemini, avec des liens d'installation réels sur les marketplaces. Particularité à noter : pour cibler les pubs, Idlen lit les fichiers de dépendances de vos projets. Quand un produit anonyme demande ce niveau d'accès à votre espace de travail, la question de confiance se pose autrement.
Le précédent qui dit tout : npm, août 2019
Cette histoire a déjà eu lieu, presque trait pour trait. Le 19 août 2019, Feross Aboukhadijeh — mainteneur respecté de StandardJS — lance discrètement funding : un package qui affiche un message de sponsor dans le terminal à chaque installation. Deux sponsors, Linode et LogRocket. Pas de tracking, désactivable. L'objectif : financer l'open source.
Le backlash est immédiat et brutal. « Adware is malware, categorically », écrit-on sur Hacker News. La crainte : que « npm install devienne une longue traînée de bannières publicitaires ». Deux bloqueurs de pubs dédiés naissent dans la semaine. Linode retire sa pub sous la pression. Au bout d'une semaine, Feross arrête tout — bilan : environ 2 000 dollars levés. Fin août, npm Inc tranche unilatéralement : les packages affichant des publicités sont bannis de la plateforme. Et en novembre, npm livre sa propre alternative officielle, la commande npm fund.
La citation prophétique date d'août 2019, et elle est de Feross lui-même : « terminal ads seem like they have a limited lifetime » — les pubs dans le terminal ont une durée de vie limitée, parce que la plateforme peut fermer le canal quand elle veut. Sept ans plus tard, Kickbacks rejoue la même pièce, sur la même scène, avec un propriétaire des lieux encore plus puissant.
Anthropic : la fenêtre est grande ouverte — mais le propriétaire a déjà dit non
C'est le paradoxe central du dossier, et il est documenté des deux côtés.
D'un côté, aucune contre-mesure visible. Au 12 juin 2026 (Claude Code v2.1.175), le changelog officiel ne mentionne ni publicités, ni restriction du spinner, ni durcissement du webview. Mieux : Anthropic entretient activement les surfaces que Kickbacks exploite — un correctif de mai 2026 répare le réglage spinnerVerbs, et la status line reçoit régulièrement de nouvelles capacités. La fenêtre n'est pas entrouverte : elle est grande ouverte et le propriétaire repeint les montants.
De l'autre, la doctrine et le précédent. En février 2026, Anthropic a diffusé autour du Super Bowl une campagne dont le slogan est sans ambiguïté : « Ads are coming to AI. But not to Claude. » — assortie d'une position officielle : un modèle économique fondé sur les abonnements et les contrats entreprise, et des publicités jugées « incongrues » dans une conversation avec une IA. Le timing de Kickbacks répond d'ailleurs à celui d'OpenAI, qui testait des pubs dans ChatGPT depuis janvier. Et côté enforcement, le précédent existe : en février toujours, le harnais tiers OpenCode a retiré le support des comptes Claude dans un commit citant explicitement des « demandes légales d'Anthropic ». Quand Anthropic veut fermer une porte de son écosystème, elle ne pousse pas une mise à jour — elle envoie un courrier.
Le vrai risque pour Kickbacks n'est donc pas le « nerf » technique, la course aux releases que sa voie webview a déjà engagée. C'est le jour où Anthropic décide soit d'interdire, soit — scénario plus cruel — de vendre ce slot elle-même, comme npm avait répondu aux pubs terminal en lançant npm fund. Un produit construit sur le terrain de quelqu'un d'autre, sans bail, ne négocie jamais son préavis.
Notre lecture : trois leçons au-delà de l'anecdote
Ce qui suit est notre analyse.
1. La vitesse d'exécution est devenue l'avantage concurrentiel par défaut. Kickbacks a transformé une observation triviale — des millions de développeurs fixent un spinner — en marché fonctionnel avec carnet d'ordres en quelques semaines, et ses clones sont arrivés en 48 heures. Dans l'économie des outils IA, la fenêtre entre « idée évidente » et « niche saturée » se compte en jours. Si vous attendez la certitude, vous arrivez après les astroturfeurs.
2. La distribution ne valide pas le produit. 5,5 millions de vues et 160 stars GitHub racontent deux histoires incompatibles. Le buzz mesure la qualité du spectacle, pas l'adoption. Pour un projet web ou une offre digitale, le seul chiffre qui compte reste celui des utilisateurs qui installent, reviennent et paient — tout le reste est de la portée organique sur un sujet clivant.
3. Ne construisez jamais votre cœur de valeur sur une surface que vous ne contrôlez pas. C'est la leçon npm 2019, la leçon OpenCode, et ce sera probablement la leçon Kickbacks. Une intégration opportuniste peut être un excellent canal d'acquisition ; c'est un désastre comme fondation. Quand nous concevons une présence digitale — site, tunnel de conversion, contenu — nous la bâtissons sur des actifs possédés : votre domaine, votre audience, vos données. Les plateformes se traversent, elles ne s'habitent pas.
4. La publicité est un métier, et le contexte y est roi. Mettez un instant la casquette de l'annonceur : le spinner de Claude Code offre une attention énorme, mais une intention nulle. Le développeur qui fixe cette ligne attend la fin d'une génération — il ne cherche pas un fournisseur, il subit l'impression. C'est l'exact inverse des canaux que nous opérons au quotidien pour nos clients : une campagne Google Ads capte une intention déclarée au moment précis où elle s'exprime dans une recherche, une campagne Social Ads construit et cible une audience avec un suivi de conversion mesurable de bout en bout. Avant de mettre un euro sur un inventaire exotique parce qu'il fait le buzz, posez les trois questions qui décident de tout : qui regarde, dans quel état d'esprit, et qu'est-ce qu'on mesure derrière ?
Nous sommes des deux côtés de cette histoire : nous bâtissons des présences digitales sur des actifs que vous possédez, et nous concevons et pilotons des campagnes publicitaires qui rapportent parce qu'elles sont au bon endroit, devant la bonne audience, avec une mesure propre du retour. Vous voulez évaluer la dépendance de votre projet à une plateforme tierce — ou lancer une campagne qui repose sur de l'intention plutôt que sur du spectacle ? Décrivez-nous votre situation : nous revenons vers vous sous 48 heures avec une lecture concrète.
