앤스로픽, 클로드 코드 51만 줄 소스 통째로 유출

앤스로픽(Anthropic)이 자사 AI 코딩 도구 클로드 코드(Claude Code)의 소스코드 51만 2,000줄을 npm 패키지에 실수로 포함해 공개했다. 고객 데이터 유출은 없었지만, 미공개 자율 에이전트 기능 ‘KAIROS’와 내부 코드네임 은폐 시스템까지 노출되며 파장이 커지고 있다. 엎친 데 덮친 격으로, 같은 날 npm 생태계에서는 인기 라이브러리 axios의 악성 패키지 주입 사건까지 터졌다.

클로드 코드의 전체 소스코드가 npm 패키지를 통해 세상에 공개됐다. 2026년 3월 31일, 앤스로픽이 배포한 @anthropic-ai/claude-code 버전 2.1.88에 59.8MB 크기의 자바스크립트 소스맵(.map) 파일이 포함된 사실이 발견됐다. 소스맵은 본래 번들링된 코드를 원본 소스와 연결하기 위한 디버깅용 파일이지만, 이번에는 난독화되지 않은 타입스크립트 원본 전체를 그대로 담고 있었다. 솔레이어 랩스(Solayer Labs) 인턴 차오판 셔우(Chaofan Shou)가 오전 4시 23분(미 동부 시간)에 X(구 트위터)를 통해 이 사실을 공개했고, 수 시간 만에 깃허브(GitHub)에 백업 저장소가 생성되어 41,500건 이상 포크(fork)됐다.

유출 규모와 기술적 구조

이번에 유출된 클로드 코드의 소스코드는 약 1,900개의 타입스크립트 파일, 51만 2,000줄 이상에 달하는 방대한 규모다. 유출된 코드에는 약 40개의 빌트인 도구와 약 50개의 슬래시 명령어 라이브러리가 포함되어 있었다. 가장 큰 모듈인 쿼리 엔진(Query Engine)은 4만 6,000줄로, 모든 LLM API 호출과 스트리밍, 캐싱, 오케스트레이션을 담당하는 핵심 구성 요소다. 기본 도구 정의만 2만 9,000줄에 이른다. 런타임은 노드(Node)가 아닌 번(Bun)을 사용하고, 터미널 UI는 리액트(React)와 잉크(Ink)로 렌더링하며, 유효성 검증에는 조드(Zod) v4를 채택한 것으로 확인됐다.

미공개 기능 KAIROS와 언더커버 모드

유출된 코드에서 가장 주목받은 것은 미공개 자율 에이전트 기능 ‘KAIROS’다. 소스 전체에서 150회 이상 언급된 KAIROS는 클로드 코드를 상시 백그라운드 에이전트로 동작시키는 데몬 모드를 구현한다. /dream이라는 슬래시 명령어를 통해 ‘야간 메모리 증류(nightly memory distillation)’를 수행하고, 사용자가 유휴 상태일 때 관찰 내용을 병합하고 모순을 제거하며 모호한 인사이트를 확정된 사실로 변환하는 ‘autoDream’ 프로세스를 갖추고 있다. 깃허브 웹훅 구독과 5분 간격의 크론 스케줄 갱신 기능도 포함되어 있어, 앤스로픽이 완전 자율형 코딩 에이전트를 준비하고 있음을 보여준다.

‘언더커버 모드(Undercover Mode)’도 화제를 모았다. 이 시스템은 앤스로픽이 클로드 코드를 사용해 외부 오픈소스 저장소에 ‘스텔스’ 기여를 할 때 내부 정보가 노출되지 않도록 설계된 것이다. 소스에서 발견된 시스템 프롬프트에는 “당신은 언더커버로 작동 중이다… 커밋 메시지에 앤스로픽 내부 정보를 절대 포함하지 마라. 정체를 드러내지 마라(Do not blow your cover)”라는 문구가 명시되어 있다. 내부 코드네임인 ‘카피바라(Capybara)’, ‘텐구(Tengu)’ 등의 언급을 차단하고, 내부 슬랙 채널이나 저장소 이름이 노출되는 것을 방지한다. 코드 주석에는 “강제 해제 기능은 없다(There is NO force-OFF)”라고 명시되어 있어, 보안에 대한 앤스로픽의 엄격한 접근을 보여준다.

경쟁사 데이터 보호 장치와 좌절 감지 시스템

유출된 코드에는 경쟁사로부터 자사 기술을 보호하기 위한 ‘반(反)증류(Anti-Distillation)’ 메커니즘도 포함되어 있었다. ANTI_DISTILLATION_CC 플래그를 활성화하면 API 요청에 가짜 도구 정의(fake tools)를 자동 주입해, 누군가 API 트래픽을 녹화해 학습 데이터로 활용하려 할 경우 오염된 데이터를 제공하는 방식이다. 이는 AI 업계에서 경쟁사의 모델 증류(distillation) 시도에 대응하는 구체적인 기술적 방어 수단이 실제로 구현되어 있음을 보여주는 사례다.

사용자 ‘좌절 감지(Frustration Detection)’ 정규 표현식도 눈길을 끌었다. “wtf”, “broken”, “useless” 등의 키워드와 “so frustrating”, “this sucks” 같은 문구를 패턴으로 감지하는 시스템이 내장되어 있었다. 이전에 수정되기 전에는 하루 약 25만 건의 불필요한 API 호출이 발생했고, 50회 이상 연속 실패한 세션이 1,279건에 달했던 것으로 나타났다.

이중 위기: axios 악성 패키지 동시 발생

같은 날, npm 생태계에서는 주간 다운로드 1억 건에 달하는 인기 HTTP 클라이언트 라이브러리 axios에서 악성 패키지 주입 사건이 발생했다. axios 1.14.1과 0.30.4 버전에 원격 접속 트로이 목마(RAT)를 투하하는 악성 의존성 plain-crypto-js가 삽입된 것이다. 공격자는 axios의 주 관리자인 jasonsaayman의 npm 계정 자격 증명을 탈취해 정상 CI/CD 파이프라인을 우회했으며, 구글 위협 분석 팀은 북한 연계 해커 그룹의 소행으로 추정하고 있다. 악성 버전은 약 2시간 만에 삭제됐지만, 주간 1억 건의 다운로드를 고려하면 잠재적 피해 규모는 상당하다. 클로드 코드 역시 HTTP 호출에 axios를 사용하고 있어, 소스코드 유출과 맞물린 이중 위기라는 평가가 나온다.

앤스로픽의 대응과 향후 전망

앤스로픽 대변인은 “오늘 클로드 코드 릴리스에 일부 내부 소스코드가 포함됐다. 민감한 고객 데이터나 자격 증명은 포함되거나 노출되지 않았다. 이는 인적 오류로 인한 릴리스 패키징 문제이며, 보안 침해가 아니다”라고 밝혔다. 그러나 레이어엑스 시큐리티(LayerX Security)의 수석 AI 보안 연구원 로이 파즈(Roy Paz)는 “대형 기업은 보통 코드가 프로덕션에 도달하기 전에 엄격한 프로세스와 다중 검사를 거친다. 앤스로픽에서는 그런 프로세스가 갖춰져 있지 않았던 것으로 보인다”고 지적했다.

더욱이 이번 사건은 5일 전인 3월 26일에 미공개 AI 모델 ‘미토스(Mythos)’와 ‘카피바라’의 존재를 담은 약 3,000개의 내부 파일이 실수로 공개된 데 이은 두 번째 보안 사고라는 점에서, 앤스로픽의 내부 보안 체계에 대한 근본적인 의문이 제기되고 있다. 유출된 코드를 통해 경쟁사가 클로드 코드의 역량을 역설계하거나 오픈소스 대안을 개발할 가능성이 높아졌으며, 앤스로픽의 제품 로드맵이 사실상 공개된 셈이다.