2026년 Anthropic 소스 코드 유출: npm 소스 맵 오류로 인해 Claude 코드 CLI 노출

Claude Code npm 유출로 KAIROS, BUDDY, 에이전트 스웜 등 미공개 기능 노출

이 회사는 2026년 3월 31일 Venture Beat와의 인터뷰를 통해 이 사고를 확인했으며, 릴리스 패키징 과정에서의 인적 오류 때문이라고 밝혔습니다. @anthropic-ai/claude-code의 2.1.88 버전에는 59.8MB 크기의 자바스크립트 소스 맵 파일이 포함되어 배포되었습니다. 기본적으로 이 파일은 압축된 프로덕션 코드를 원래의 타입스크립트로 역추적하는 디버깅 아티팩트로, 앤트로픽(Anthropic)의 클라우드플레어(Cloudflare) R2 스토리지 버킷에 저장된 공개 접근 가능한 zip 아카이브를 직접 가리키고 있었습니다. 누구도 해킹할 필요가 없었습니다. 파일은 그저 거기에 있었을 뿐입니다.

블록체인 보안 기업 Fuzzland의 인턴인 보안 연구원 Chaofan Shou가 이 문제를 발견하고 X에 버킷의 직접 링크를 게시했습니다. 몇 시간 만에 GitHub에 미러 저장소들이 등장했으며, 일부는 Anthropic의 DMCA 삭제 요청이 적용되기 전까지 수만 개의 스타를 모았습니다. 커뮤니티 구성원들은 이미 텔레메트리 데이터를 추출하고, 숨겨진 기능 플래그를 활성화하며, 저작권 문제를 피하기 위해 Python과 Rust로 클린룸 재구현을 구상하기 시작했습니다. 근본 원인은 간단했습니다. Bun 번들러는 기본적으로 소스 맵을 생성하며, 게시 전 디버그 아티팩트를 제외하거나 비활성화하는 빌드 단계가 없었습니다. .npmignore 파일이나 package.json의 files 필드에 항목을 추가했더라면 이 모든 사태를 막을 수 있었을 것입니다.

개발자들이 내부에서 발견한 내용은 매우 상세했다. 약 1,900개의 타입스크립트 파일에는 도구 실행 로직, 권한 스키마, 메모리 시스템, 텔레메트리, 시스템 프롬프트, 기능 플래그 등이 포함되어 있었는데, 이는 Anthropic이 생산 등급의 에이전트형 코딩 도구를 어떻게 구축하는지에 대한 엔지니어링 전반을 보여주는 것이었다. 텔레메트리는 좌절 신호로 비속어가 포함된 프롬프트를 스캔하지만, 사용자의 전체 대화나 코드는 기록하지 않는다. "언더커버 모드"는 AI에게 Git 커밋 및 풀 리퀘스트에서 내부 코드명과 프로젝트 세부 정보에 대한 언급을 제거하도록 지시합니다. 플래그 뒤에는 여러 미출시 기능이 숨겨져 있었습니다. KAIROS는 파일을 감시하고, 이벤트를 기록하며, 유휴 시간 동안 "꿈꾸는" 메모리 통합 프로세스를 실행하는 상시 작동 백그라운드 데몬으로 설명됩니다. BUDDY는 카피바라를 포함한 18종의 터미널 펫으로, DEBUGGING, PATIENCE, CHAOS와 같은 스탯을 가지고 있습니다. COORDINATOR MODE는 단일 에이전트가 병렬 작업자 에이전트를 생성하고 관리할 수 있게 해줍니다. ULTRAPLAN은 10분에서 30분 길이의 원격 다중 에이전트 계획 세션을 예약합니다.

Anthropic은 Venture Beat에 이번 사고로 인해 민감한 고객 데이터나 인증 정보가 유출되지 않았으며, 모델 가중치나 추론 인프라가 침해되지도 않았다고 밝혔다. 회사는 "이는 인적 오류로 인한 릴리스 패키징 문제였다"고 설명하며, 재발 방지를 위한 조치를 시행 중이라고 덧붙였다.

이러한 조치들은 신속히 시행되어야 할 수도 있습니다. 동일한 실수가 발생한 것은 이번이 두 번째이기 때문입니다. 2025년 2월, Claude Code의 이전 버전에서도 거의 동일한 소스 맵 유출 사고가 발생했었습니다.

3월 31일 발생한 이 사건은 UTC 기준 00:21부터 03:29 사이에 진행된 axios 패키지에 대한 별도의 npm 공급망 공격과 동시에 발생했다. 해당 시간대에 npm을 통해 Claude Code를 설치하거나 업데이트한 개발자들은 의존성(dependencies)을 점검하고 인증 정보를 변경할 것을 권고받는다. Anthropic은 향후 npm 대신 자사 네이티브 설치 프로그램을 사용할 것을 권장한다.

여기서 맥락을 살펴볼 필요가 있습니다. 5일 전인 3월 26일, Anthropic의 CMS 설정 오류로 인해 미출시 모델인 "Claude Mythos"에 대한 세부 정보가 담긴 내부 파일 약 3,000개가 유출된 바 있으며, 이 역시 인적 오류로 인한 것이었습니다. 일주일도 채 되지 않은 기간에 두 건의 중대한 우발적 정보 유출이 발생함에 따라, 자사 도구가 대규모 코드 작성 및 배포에 활발히 활용되고 있는 이 회사의 출시 관리 체계에 대한 의문이 제기되고 있습니다.

유출된 소스 코드는 적극적인 삭제 조치에도 불구하고 아카이브 및 미러링된 형태로 여전히 접근 가능합니다. Anthropic은 Venture Beat에 대한 코멘트 외에 더 광범위한 사후 분석이나 공식 성명을 발표하지 않았습니다. 사용자 데이터는 유출되지 않았습니다. 핵심 Claude 모델들은 영향을 받지 않았습니다. 그러나 Claude Code의 경쟁사를 구축하기 위한 청사진은 이제 훨씬 더 쉽게 조립할 수 있게 되었습니다.

FAQ 🔎

• Q: Claude Code 소스 코드 유출은 해킹이었나요? 아닙니다. Anthropic은 이번 노출이 보안 침해나 무단 접근이 아닌 패키징 오류였다고 확인했습니다.
• Q: Anthropic npm 유출 사고에서 실제로 무엇이 노출되었나요? 텔레메트리, 기능 플래그, 숨겨진 기능, 에이전트 아키텍처 등을 포함하는 Claude Code CLI 관련 약 512,000줄의 TypeScript 코드였으며, 모델 가중치나 고객 데이터는 포함되지 않았습니다.
• Q: Claude Code npm 사고로 인해 제 데이터가 위험에 처해 있나요? Anthropic은 사용자 데이터나 인증 정보가 유출되지 않았다고 밝혔습니다. 다만, 동시 발생한 axios 공급망 공격 기간 동안 npm을 통해 설치한 개발자는 의존성을 점검하고 인증 정보를 갱신해야 합니다.
• Q: Anthropic이 이전에 소스 코드를 유출한 적이 있나요? 네 — 2025년 2월에도 이전 버전의 Claude Code와 관련된 거의 동일한 소스 맵 유출 사고가 발생했으므로, 이번 사건은 약 13개월 만에 발생한 두 번째 유사 사례입니다.