Claude Code 소스코드 유출

1. 글을 쓰게 된 계기

 

클로드 코드를 계속 사용하고 있었는데 지난주에 꽤나 큰 사건이 터졌다.

엔트로픽에서 클로드 코드 소스코드를 실수로 npm에 통째로 올려버린 것이다.

그 안에는 미공개 기능들도 많았고 코드 자체들이 오픈된거라 이 내용에 대해서 정리해보려고 한다.

 

혹시 제가 잘못알고 있는 부분이 있다면 언제든지 댓글로 말씀해주시면 감사드리겠습니다!!

 

---

2. 어떻게 유출됐나

 

2026년 3월 31일, Claude Code 버전 2.1.88을 npm에 배포하면서 사고가 났다.

빌드 도구 Bun 번들러가 기본적으로 소스맵(.map) 파일을 생성하는데, .npmignore에서 이를 제외하는 설정을 빠뜨린 것이다.

 

소스맵은 난독화된 코드를 원본으로 복원하는 파일이라 패키지에 포함되는 순간 소스코드가 그대로 노출된다.

 

유출 규모는 TypeScript 소스코드 51만 2천 줄, 1,900개 파일.

보안 연구원 Chaofan Shou가 처음 발견해서 X에 올렸고, 몇 시간 만에 GitHub 미러가 다수 생겨났다.

 

---

3. 유출 코드에서 발견된 것들

 

3-1. Anti-Distillation — 가짜 도구를 심어 경쟁사 학습 방해

 

claude.ts에 ANTI_DISTILLATION_CC라는 플래그가 있다.

활성화되면 API 요청에 anti_distillation: ['fake_tools'] 파라미터가 포함되고

서버는 시스템 프롬프트에 존재하지 않는 가짜 도구 정의를 몰래 주입한다.

경쟁사가 Claude Code의 API 트래픽을 녹화해서 자사 모델 학습에 쓰면, 가짜 데이터가 섞여 들어가도록 만드는 방어 장치다.

 

두 번째 메커니즘은 betas.ts에 구현된 커넥터 텍스트 요약이다.

API가 도구 호출 사이의 어시스턴트 응답을 버퍼링해 요약본과 암호학적 서명만 돌려주는 방식으로

트래픽을 녹화해도 전체 추론 체인이 아닌 요약본만 얻게 된다.

 

---

3-2. Undercover Mode — AI가 AI임을 숨기는 모드

 

 

Anthropic 직원(USER_TYPE === 'ant')이 외부 오픈소스 저장소에서 Claude Code를 사용할 때 자동 활성화되는 모드다.

코드 안에 명시된 시스템 프롬프트:

"You are operating UNDERCOVER in a PUBLIC/OPEN-SOURCE repository. Your commit messages, PR titles, and PR bodies MUST NOT contain ANY Anthropic-internal information. Do not blow your cover."

 

동작 내용:

• 내부 코드명(Capybara, Tengu, Opus 4.7, Sonnet 4.8 등) 언급 금지
• 내부 Slack 채널명, 저장소명 언급 금지
• "Claude Code"라는 표현 자체 금지
• git 커밋의 Co-Authored-By 라인(AI 기여 식별자) 제거

 

"There is NO force-OFF. This guards against model codename leaks."

 

강제 해제 방법이 없다. CLAUDE_CODE_UNDERCOVER=1로 강제 ON은 가능하지만, OFF는 불가능하다.

외부 빌드에서는 해당 함수 전체가 dead-code-eliminated된다.

 

---

 

3-3. KAIROS — 미공개 자율 에이전트 모드

 

현재 공개된 Claude Code와 달리 사용자 명령 없이 백그라운드에서 상시 작동하는 에이전트 모드다.

기능 플래그 뒤에 비활성 상태지만, 스캐폴딩은 상당히 구체적으로 구현되어 있다.

 

공개 버전에는 없는 3가지 전용 기능:

 

기능	설명
Push notifications	터미널이 닫혀 있어도 폰·데스크탑으로 알림 전송
File delivery	요청 없이 생성한 파일을 자율 전달
PR subscriptions	GitHub를 감시하며 코드 변경에 자율 반응

그 외 확인된 구성:

• autoDream: 야간에 하루 동안 배운 것을 통합하고 메모리 재구성
• append-only 일별 로그: 인지·결정·행동 이력 축적, 스스로 삭제 불가
• 5분 간격 cron: 주기적 자동 점검
• 세션 종료 후에도 지속: 노트북을 닫아도 KAIROS는 계속 동작

코딩 도구가 아닌 AI 에이전트 OS에 가깝다는 평가가 나오는 이유다.

 

 

4. 정리하며

 

에이전트 OS 수준의 아키텍처나 Undercover Mode도 인상 깊었지만

개인적으로 가장 눈에 띄었던 건 따로 있었다.

 

Boris Cherny가 직접 밝힌 한 마디

"100% of my contributions to Claude Code were written by Claude Code."

 

Anthropic이 자사 제품을 만들면서 그 제품 자체를 도구로 쓰고 있다는 것이다.

 

요즘 들어 비슷한 생각이 자주 든다.

많은 회사들이 Claude Code나 Codex 같은 AI를 활용해서 정말 빠르게 제품을 만들어내고 있다.

분명 좋은 시너지가 나는 건 맞는데

이번 유출 사태처럼 사람이 놓치면 안 될 부분을 놓치는 사고도 함께 나오고 있다.

아무리 AI가 코드를 잘 짜도, 배포 설정 하나를 검토하는 건 결국 사람의 몫이었다는 게 이번 사건이 보여주는 것 같다.

 

물론 그 검토 자체도 에이전트로 대체할 수 있는 시대가 오고 있고

앞으로는 더 빠르게 좋아질 거라는 걸 안다.

그래서인지 요즘은 어떤 방향성이 맞는 건지에 대한 고민이 계속 든다.