npm을 통한 Claude Code 소스 코드 유출: 실제 발생 원인과 중요성

홈 » Python » npm을 통한 Claude Code 소스 코드 유출: 실제 발생 원인과 중요성

우연한 npm을 통한 Claude Code의 내부 소스 코드 노출 평범한 릴리스가 최근 몇 년간 가장 많이 언급되는 AI 보안 사고 중 하나로 변모했습니다. 자바스크립트 소스 맵과 관련된 패키징 오류로 시작된 이 사건은 결국 심각한 문제로 이어졌습니다. 앤스로픽의 타입스크립트 코드 수십만 줄을 입력했습니다. 전 세계 연구원, 경쟁업체 및 기회주의적 공격자들의 손에 넘어갈 수 있습니다.

이 사례는 경계 방어나 탈취된 자격 증명과 관련된 전형적인 침해 사고와는 달리, 어떻게 다른 방식으로 문제를 해결할 수 있는지를 보여줍니다. 소프트웨어 출시 과정에서 발생하는 단순한 인적 오류 매우 민감한 지적 재산권이 유출될 수 있습니다. 유출된 정보에는 모델 가중치나 고객 데이터는 포함되지 않았지만, 가장 진보된 기술 중 하나의 내부 작동 방식이 드러났습니다. 에이전트형 코딩 도우미 메모리 시스템과 안전 필터부터 아직 공개될 예정이 아니었던 실험적인 기능에 이르기까지, 시중에 나와 있는 모든 것을 갖추고 있습니다.

타임라인: npm 릴리스부터 글로벌 복제까지

이번 사건은 npm 패키지와 관련된 것입니다. @anthropic-ai/claude-code구체적으로 버전 2.1.88앤스로픽은 일반적인 릴리스 과정에서 다음과 같은 내용을 발표했습니다. 약 60MB 크기의 자바스크립트 소스 맵 파일 (일반적으로 다음과 같이 참조됨 cli.js.map축소된 CLI 번들과 함께 ) 해당 맵은 프로덕션 아티팩트에서 제거되는 대신 그대로 유지되었습니다. sourcesContent 원래 TypeScript 코드를 효과적으로 포함하는 필드입니다.

그러한 실수 때문에, 그 소포를 잡은 사람은 누구든 약 1,900개의 파일과 500,000만 줄이 넘는 TypeScript 코드를 재구성합니다.이를 통해 CLI의 명령 라우팅, 도구 오케스트레이션, 원격 측정 로직, 안전 검사 및 내부 프롬프트를 노출했습니다. 또한 이 맵은 공개적으로 접근 가능한 zip 아카이브를 가리켰습니다. Anthropic이 자체적으로 사용하는 Cloudflare R2 스토리지 버킷즉, 침입이 필요하지 않았다는 뜻입니다. 파일은 인터넷에 공개된 채로 그냥 거기에 있었습니다.

이 문제는 처음으로 제기되었습니다. 보안 연구원 Chaofan Shou (@Fried_rice)블록체인 보안 회사인 Fuzzland의 연구원인 한 사람이 X의 노출된 버킷에 대한 직접 링크를 게시했습니다. 몇 시간 만에 GitHub에 미러 저장소가 나타났습니다.일부 프로젝트는 개발자들이 코드가 사라지기 전에 복제하고 검사하기 위해 서둘렀기 때문에 순식간에 수만 개의 별점을 얻기도 했습니다.

인류는 다음과 같이 반응했습니다. 영향을 받는 npm 버전을 가져옵니다. 그리고 깃허브와 다른 호스팅 플랫폼을 대상으로 DMCA 삭제 요청을 쏟아냈습니다. 하지만 삭제 캠페인이 시작될 무렵에는 이미 수많은 복사본이 아카이브되고, 포크되고, 재배포되어 사실상 자료를 완전히 회수하는 것은 불가능했습니다.

포장 결함이 어떻게 플래그십 AI 에이전트의 공개로 이어졌는지

종이에, Claude Code의 새 버전을 npm에 게시합니다. 이는 일상적인 작업이어야 합니다. 최소화된 JavaScript 번들을 푸시하고, 반드시 필요한 것만 포함하며, 구성 파일(예: )에 의존하면 됩니다. .npmignore 또는 files 필드 package.json디버그 관련 파일이 최종 패키지에 포함되지 않도록 하기 위함입니다.

이 경우, 몇 가지 사소한 선택들이 완전히 잘못된 방식으로 누적되었습니다. 빌드 파이프라인은 다음을 사용했습니다. 번 묶음, 그 기본적으로 소스 맵을 생성합니다.컴파일 또는 패키징 과정의 후속 단계에서는 해당 맵이 제거되지 않았습니다. 설정 오류 무시 목록 이는 지도가 공개 레지스트리로 바로 전송되었음을 의미합니다. 그 후 npm의 개방적이고 전 세계적으로 미러링되는 특성이 나머지 작업을 처리했습니다.

앤트로픽은 다음과 같이 강조했습니다. 민감한 고객 데이터, 자격 증명 또는 모델 가중치는 포함되어 있지 않습니다. 유출의 원인은 그들이 아니었습니다. 오히려 이는 순전히 패키징 문제였습니다. 내부 문제 해결을 위한 디버그 메타데이터가 실수로 프로덕션 릴리스에 포함된 것입니다. 이러한 설명은 좁은 보안 관점에서는 정확하지만, 최신 AI 에이전트의 코드베이스에 얼마나 많은 전략적 정보가 담겨 있는지를 제대로 반영하지 못합니다.

설상가상으로, 이것은 처음이 아니야. 이와 비슷한 일이 있었습니다. 매우 유사한 소스맵 유출 사건이 이전에 Claude Code 빌드에 영향을 미쳤다는 보고가 있었습니다. 2025년 2월약 13개월 사이에 거의 동일한 사건이 두 번 발생하면서, 앤트로픽이 릴리스 파이프라인에서 안전장치를 얼마나 엄격하게 시행하는지에 대한 의문이 제기될 수밖에 없습니다.

유출된 클로드 코드의 실제 내용은 무엇인가?

연구원과 개발자들이 복구된 파일들을 샅샅이 살펴보기 시작하자, 이것은 단순히 몇몇 보조 스크립트를 살짝 엿보는 정도가 아니라, 훨씬 더 심층적인 작업이라는 것이 분명해졌습니다. 클로드 코드의 CLI의 전체 건축 단면도타입스크립트 코드 트리는 약 50만 줄에 달하며 다음 내용을 포함합니다.

• 도구 실행 및 오케스트레이션: Claude Code가 도구, 셸 및 외부 서비스를 계획하고, 순서를 정하고, 호출하는 방식.
• 권한 체계 및 샌드박싱 규칙: 어떤 명령어가 어떤 매개변수와 함께 어떤 환경에서 실행될 수 있는지를 결정하는 정확한 논리입니다.
• 메모리 시스템 및 컨텍스트 관리: 장시간 진행되는 세션을 일관성 있게 처리하기 위한 전략.
• 원격 측정 및 분석: 측정되고, 집계되어 Anthropic에 다시 전송되는 것은 무엇입니까?
• 시스템 프롬프트 및 기능 플래그: 에이전트의 행동을 결정하고 실험 기능을 전환하는 숨겨진 지침.

커뮤니티 분석 결과 다음과 같은 점이 강조되었습니다. 3계층 메모리 설계 파일을 중심으로, 흔히 다음과 같이 묘사됩니다. MEMORY.md클로드 코드는 무기한으로 원시 상호 작용 기록을 로깅하는 대신 유지 관리합니다. 색인화된 주제 기반 참조 구조에이전트는 이전 작업을 불러와야 할 때 해당 인덱스를 참조하여 현재 작업과 관련된 부분만 가져오고, 컨텍스트 변화 및 자체 손상을 줄이기 위해 엄격한 쓰기 규칙을 따릅니다.

이러한 "건전한 회의론을 바탕으로 한 기억" 접근법은 다음과 같은 문제를 완화하는 데 도움이 됩니다. 장시간 대화의 엔트로피그렇지 않으면 단순한 컨텍스트 축적으로 인해 에이전트가 일관성을 잃거나 환각에 빠질 수 있습니다. 에이전트 도구를 개발하는 다른 팀들에게는 이러한 정보 유출이 실질적인 문제입니다. 실무 수준의 메모리 오케스트레이션에 대한 무료 마스터클래스.

해당 소스는 또한 다양한 내부 원격 측정 후크를 노출합니다. 그중에는 다음과 같은 로직이 있습니다. 깃발 좌절 신호 예를 들어, 프롬프트에서 욕설을 검색하는 것과 같이 전체 사용자 대화나 코드베이스를 보존하지 않고도 작업을 수행할 수 있습니다. 또 다른 주목할 만한 점은 다음과 같습니다. "비밀 작전" 또는 은밀 작전 이 도구는 내부 프로젝트 코드명 및 기타 민감한 식별자를 Git 커밋 및 풀 리퀘스트에서 제거하도록 설계되어 AI가 작성한 기여물이 실수로 기밀 정보를 유출하는 것을 방지합니다.

제품에서 이미 볼 수 있는 시스템 외에도 코드베이스는 다음을 참조합니다. 미공개 또는 숨겨진 기능 기능 플래그로 제어됩니다. 백그라운드 작업 모드, 여러 에이전트 간의 조정, 심지어 터미널 도우미와 같은 재미있는 UI 요소까지 포함됩니다.

미출시 모듈: KAIROS, BUDDY 및 다중 에이전트 스웜

가장 주목할 만한 발견 중 일부는 Anthropic이 아직 공개적으로 발표하지 않았던 기능들이 세부적인 엔지니어링 내용과 함께 드러났다는 점입니다. 그중에서도 특히 눈에 띄는 모듈은 다음과 같습니다. 카이로스주석 및 구성에 다음과 같이 설명되어 있습니다. 지속적으로 실행되는 백그라운드 데몬 파일 변경 사항을 감시하고, 이벤트를 기록하며, 소위 말하는 작업을 수행합니다. 꿈 또는 사용자가 유휴 상태일 때 "oniric" 통합이 진행됩니다.

실제로 KAIROS는 클로드 코드에게 거의 비슷한 것을 제공하는 것으로 보입니다. "상시 작동" 자율성에이전트는 수동적으로 프롬프트를 기다리는 대신 주기적으로 깨어나 코드베이스에 대한 이해를 재정비하고 메모리 구조를 정리하며 향후 작업 세션을 위한 더 나은 계획을 세울 수 있습니다. 완전 자율 에이전트를 실험하는 팀에게 이는 사실상 Anthropic Games가 설계한 장기 실행 백그라운드 작업자의 청사진을 보여줍니다.

인터넷 사용자들의 상상력을 빠르게 사로잡은 또 다른 특징은 다음과 같습니다. 동료코드에서는 일종의 것으로 묘사됩니다. 터미널 측 마스코트이 구현에는 카피바라를 포함한 18가지의 다양한 "종"과 다음과 같은 재미있는 통계가 포함되어 있습니다. DEBUGGING, PATIENCE CHAOS겉보기에는 기발해 보이지만, BUDDY는 Anthropic이 더욱 표현력이 풍부하고 감성적으로 인식하는 개발자 경험을 실험하고 있음을 보여줍니다.

보다 진지한 측면에는 다중 에이전트 협업을 위한 아키텍처가 있습니다. 이는 다음과 같은 구성 요소를 통해 내부적으로 설명됩니다. 코디네이터 모드 울트라플랜 세션이 시스템은 기본 에이전트를 허용합니다. 작업자 에이전트 함대를 생성하고 관리합니다. 병렬적으로 진행됩니다. 문서 조각에는 에이전트 간의 원격 계획 회의가 10분에서 30분 동안 지속된다는 내용이 언급되어 있는데, 이는 클로드 코드(Claude Code)가 큰 작업을 세분화하고 하위 작업을 도우미에게 위임한 다음 결과를 병합하는 모델을 제시합니다.

또한 내부 명칭에 대한 참조를 포함하여 아직 개발 중인 모듈 및 모델 변형에 대한 단서도 있습니다. 카피 바라Claude 4.x 제품군의 진화형으로 분류됩니다. 코드에 포함된 메트릭은 다음과 같습니다. 오탐률은 29~30% 정도입니다. 일부 안전 또는 감지 시스템의 경우 이전 조사에서 약 16.7%였던 것과 비교하면 상당히 높은 수치를 보였습니다. 이러한 수치는 일반적으로 엔지니어링 대시보드 내부에만 머무르는 솔직한 정보입니다.

이러한 발견들을 종합해 보면, 유출된 나무는 다음과 같이 변모합니다. 앤트로픽의 에이전트 전략에 대한 로드맵 수준의 개요회사가 유용한 자율성의 한계를 어떻게 인식하는지, 에이전트들이 어떻게 협력하기를 원하는지, 그리고 현재 어떤 절충안을 놓고 고심하고 있는지에 대한 내용입니다.

탈옥, 복제인간, 그리고 공급망 파탄

비밀번호나 토큰이 노출되지 않았더라도 보안 전문가들은 결코 안심할 수 없습니다. CLI 로직 전체를 확보하면 상황이 훨씬 더 수월해지기 때문입니다. 클로드 코드의 안전장치를 역설계하다 그리고 그 주변 경로를 탐색합니다. 이전에는 블랙박스 같았던 것이 이제는 도구가 명령어를 분석하고, 필터를 적용하고, 사용자의 터미널에서 실행해도 안전한지 판단하는 방법에 대한 단계별 레시피로 바뀌었습니다.

그러한 투명성은 양날의 검이 될 수 있습니다. 한편으로는, 방어적인 연구자들이 이제 정보를 공개할 수 있게 되었습니다. 안전 모델을 전례 없는 수준으로 심층적으로 감사합니다. 또한 보안 강화 전략을 제안할 수 있습니다. 반면에 공격자는 신중하게 프롬프트와 컨텍스트 조작을 만들어 공격할 수 있습니다. Bash 유효성 검사기를 피해 악의적인 명령어를 삽입합니다.권한 계층 간의 미묘한 차이를 악용하거나 에이전트가 원래 수행하도록 설계되지 않은 작업을 수행하도록 유도할 수 있습니다.

이와 밀접하게 관련된 우려 사항은 급증하는 수치입니다. 악의적이거나 위조된 클론이미 배포된 코드베이스가 있는 상황에서, 악의적인 공격자는 브랜드와 원격 측정 데이터를 제거하고 백도어 또는 데이터 유출 로직을 삽입한 후, 이름만 살짝 바꿔 거의 동일한 패키지를 배포하는 것이 매우 쉽습니다. npm에서 도구를 자동으로 설치하는 개발자라면, 이제 악성 "Claude 유사" 에이전트를 설치할 위험이 훨씬 높아졌습니다.

정보 유출 시점이 이러한 우려를 증폭시켰다. 거의 같은 시기에 npm도 비슷한 문제에 직면했었다. 인기 있는 것에 대한 독립적인 공급망 공격 axios 꾸러미악성 버전이 UTC 기준 대략 00:21부터 03:29 사이에 활동했던 것으로 밝혀졌습니다. 이와 유사한 사건은 자바스크립트 생태계가 종속성에 대한 신뢰 측면에서 얼마나 취약할 수 있는지를 여실히 보여주었습니다.

해당 기간 동안 npm을 통해 Claude Code를 설치하거나 업데이트한 팀을 위한 보안 지침은 매우 직설적이었습니다. 종속성 트리를 감사하세요특히 다음과 같은 패키지의 경우 axios plain-crypto-js영향을 받은 시스템에 존재했을 수 있는 자격 증명을 교체하고, 비정상적인 동작을 면밀히 감시하십시오. Anthropic은 이러한 조치를 명시적으로 제안했습니다. npm보다 자체 설치 프로그램을 선호합니다. 공격 표면을 줄이기 위해 앞으로 나아갈 것입니다.

앤트로픽의 공식 답변 및 DMCA 대응 조치

정보 유출 소식이 전해지자 앤트로픽은 신속하게 여론을 조성하기 위해 움직였습니다. 테크문도(TecMundo)와 벤처비트(VentureBeat) 등의 매체에 제공한 논평에서 앤트로픽은 다음과 같이 강조했습니다. 이는 인적 오류로 인한 릴리스 패키징 문제였습니다.내부 인프라 침해나 외부 해킹이 아닙니다.

핵심 메시지는 변함없이 유지되었습니다. 고객 기밀 정보 없음, 자격 증명 없음, 모델 가중치 없음 유출된 내용은 내부 애플리케이션 로직뿐이었습니다. 성명서는 또한 앤스로픽이 이미 조치를 취했다고 강조했습니다. 유사한 사고를 방지하기 위한 안전장치를 마련하고 있습니다. 향후 빌드에서 이러한 문제가 발생할 수 있지만, 자세한 사후 분석 결과는 아직 공개되지 않았습니다.

법률적인 측면에서 회사는 적극적인 대응에 착수했습니다. DMCA 삭제 캠페인GitHub와 다른 호스팅 업체들은 Claude Code 소스 코드를 미러링하는 저장소를 삭제해 달라는 요청을 받기 시작했고, 상당한 관심과 논의가 집중된 후 가장 유명한 미러 저장소 몇 개가 사라졌습니다.

이러한 노력에도 불구하고, 현실은 일단 이 정도 규모의 코드베이스가 외부로 유출되면, 그것을 완전히 통제하는 것은 거의 불가능합니다.보존된 사본은 개인적으로 유통되고, 암호화된 묶음은 일반적인 파일 공유 사이트에 있으며, 저작권 제약을 우회하려는 열성적인 개발자들이 코드의 일부를 파이썬이나 러스트와 같은 다른 언어로 포팅하거나 재구현했습니다.

이번 사건은 다른 설정 오류로 인한 사고가 발생한 지 불과 며칠 만에 일어났습니다. 약 3,000개의 내부 파일이 노출되었습니다. 잘못 구성된 CMS를 통해 "클로드 미토스"라는 미공개 모델과 연결되어 있었습니다. 일주일도 채 안 되는 기간 동안 발생한 두 건의 별개 출판 오류는 당연히 관찰자들 사이에서 의문을 불러일으켰습니다. 콘텐츠 및 코드 릴리스와 관련된 Anthropic의 운영 위생 관리.

AI 생태계 및 경쟁업체에 미치는 광범위한 영향

비즈니스 관점에서 볼 때, 이번 정보 유출은 이미 좋은 평가를 받고 있던 제품에 타격을 입혔습니다. 앤트로픽의 주요 수익원 중 하나업계 추산에 따르면 Claude Code의 연간 반복 매출은 수십억 달러에 달하며, 사용량의 대부분은 기업 고객으로부터 발생합니다. 이는 CLI가 단순히 개발자용 도구가 아니라 기업에 필수적인 도구임을 의미합니다. 회사 사업 로드맵의 전략적 핵심 요소.

이번 사건으로 인해 아키텍처의 많은 부분이 공개되면서, 사실상 경쟁 팀들에게 유리한 상황을 만들어주게 되었습니다. 매우 상세한 엔지니어링 플레이북 그렇지 않았다면 수년간의 실험과 상당한 자본 투자가 필요했을 것입니다. 이제 새로운 에이전트 기반 IDE 및 코딩 코파일럿을 포함한 경쟁 도구들은 추측이나 마케팅 용어에 의존하는 대신, 앤트로픽의 실제 디자인 결정과 비교하여 자체 접근 방식을 벤치마킹할 수 있습니다.

동시에, 이번 정보 유출은 잠재적 진입자들의 진입 장벽을 낮추는 결과를 초래한다. 클로드 코드 경쟁자들이제 이미 실제 사용 환경에 맞춰 최적화된 구현체를 참조하여 유사한 메모리 패턴, 백그라운드 워크플로 및 조정 기능을 갖춘 에이전트를 구축하는 것이 훨씬 쉬워졌습니다. 이러한 점에서 앤트로픽의 지적 재산권 중 상당 부분이 이제 업계 전반에 공유되는 지식이 되었습니다.

역사는 그러한 사건들이 역설적인 효과를 가져올 수 있음을 시사합니다. 한편으로는, 그들은 해당 분야 전반에 걸쳐 혁신을 가속화합니다고품질 사례를 통해 더 많은 팀이 학습할 수 있기 때문입니다. 반면에, 이는 선발 주자의 이점을 약화시켜 기존 기업들이 더 빠르게 움직이고 차별화 기능, 안전성 및 신뢰성에 더 많은 투자를 하도록 만듭니다.

AI 도구를 평가하는 스타트업과 기업 구매자들에게 이번 사건은 기대치를 미묘하게 변화시킬 수도 있습니다. 잠재 고객들은 공급업체에게 더욱 엄격한 기준을 적용할 가능성이 높습니다. 릴리스 관리, CI/CD 보호 조치 및 사고 대응 프로세스안전한 퍼블리싱 파이프라인을 진지한 AI 플랫폼에서 필수적인 요소로 간주합니다.

보안 교훈: 설정 파일부터 MCP 서버까지

보안 분야의 리더들과 실무자들은 이번 정보 유출을 발판 삼아 다음과 같은 제안들을 내놓았습니다. 구체적인 방어 조치 에이전트 코딩 도구를 이미 실험 중인 조직의 경우, 반복적으로 권장되는 사항은 다음과 같습니다. 클로드 코드와 관련된 감사 구성 파일같은 CLAUDE.md .claude/config.json이는 숨겨진 명령어를 주입하거나 보안 설정을 완화하는 데 사용될 수 있는 높은 권한의 공격 경로 역할을 할 수 있습니다.

또 다른 중점 분야는 다음과 같습니다. 외부 도구 서버 및 모델 컨텍스트 프로토콜(MCP) 엔드포인트를 신뢰할 수 없는 종속성으로 처리합니다.이제 계약 표면이 상세하게 드러나면서 악의적인 공격자는 합법적인 서버를 가장하거나 통합 지점에서 동작을 미묘하게 변경하려고 시도할 수 있습니다. 버전 고정, 변경 사항 모니터링 및 접근 제어 강화는 이러한 위험을 줄일 수 있습니다.

AI 비서가 코드를 얼마나 빠르게 이동시킬 수 있는지를 고려할 때, 팀들은 또한 다음과 같은 조치를 취하도록 권장받고 있습니다. 셸 권한을 제한하고 체계적으로 비밀 정보를 스캔하세요. 저장소에 접근하기도 전에 문제가 발생할 수 있습니다. 에이전트의 생산성을 높이는 능력, 즉 구성을 빠르게 편집하고, CI를 연결하고, 여러 서비스를 동시에 조작하는 능력은 단 한 번의 실수로 심각한 자격 증명 유출을 초래할 수도 있습니다.

마지막으로, 조직에 대한 압력이 점점 커지고 있습니다. AI 지원 커밋의 출처를 추적합니다.전 세계 코드의 점점 더 많은 부분이 에이전트에 의해 작성되거나 수정됨에 따라 규제 기관과 감사 기관은 특히 민감하거나 규제 대상 영역에서 명확한 정보 공개 정책, 강력한 로깅 시스템, 그리고 핵심 로직의 출처를 확인할 수 있는 방법을 기대할 수 있습니다.

종합적으로 볼 때, 이러한 제안들은 AI 에이전트를 단순히 개발자 도구로만 여기는 것에서 벗어나 AI 에이전트를 중요한 존재로 인식하는 방향으로의 변화를 반영합니다. 핵심 인프라와 자체적인 위협 모델공급망 취약성 및 거버넌스 요구 사항.

결론적으로, npm을 통한 클로드 코드 유출 사건은 단 하나의 결함 있는 릴리스에 대한 이야기라기보다는 그 이면에 있는 더 큰 문제를 보여주는 이야기입니다. 최신 소프트웨어 개발 파이프라인에서 흔히 발생하는 작은 오류가 경쟁 구도와 보안 환경을 완전히 뒤바꿀 수 있습니다. AI 분야에서 에이전트의 내부 플레이북이 사실상 공개됨에 따라, 앤트로픽과 그 동종 업계 기업들은 공개 프로세스를 강화하고, 엣지에서 노출하는 로직의 양을 재고하며, 최첨단 모델 아키텍처만큼이나 세부적인 구성 사항까지 꼼꼼하게 검토하는 문화를 구축해야 한다는 압력을 점점 더 많이 받고 있습니다.