최근 굵직한 사건이 많았죠.

Anthropic이 Claude Code의 소스 코드를 실수로 공개해버렸고, 주간 1억 회 다운로드되는 npm 라이브러리가 공급망 공격을 당하기도 했습니다.

보여줄 생각이 없었던 것들이 드러나 버렸네요.

포커스

보여줄 생각이 없었던 코드가 열리면서, 그리고 열린 생태계가 뚫리면서 드러난 것들에 대한 이야기입니다.

Claude Code, 소스가 열리다

Anthropic이 npm 배포 과정에서 .npmignore 설정을 빠뜨리면서 Claude Code의 TypeScript 소스맵 전체가 노출됐습니다. 수십만 줄 규모의 코드가 그대로 풀린 거죠.

DMCA로 제거에 나섰지만 오히려 역효과만 키웠구요. 포크가 쏟아지면서 되돌릴 수 없는 상황이 됐습니다.

Claude Code 창시자 Boris Cherny는 "개인의 실수가 아닌 프로세스의 문제"라고 공개적으로 회고했구요. 이번이 세 번째 유출이라는 점을 생각하면, 빌드 파이프라인의 구조적 문제로 보는 게 맞겠죠.

유출 자체도 사건이지만, 정작 파장을 일으킨 건 코드 안에 담긴 내용이었습니다.

두 개의 Claude Code

커뮤니티가 코드를 분석한 결과, process.env.USER_TYPE === 'ant'라는 플래그가 발견됐다고 합니다. 이 플래그 하나로 외부 사용자와 Anthropic 내부 엔지니어가 받는 시스템 프롬프트가 완전히 달라지는 구조라는 거죠.

분석에 따르면, 내부 버전에는 "사용자 요청이 오해에 기반한 경우 알려라", "테스트 실패 출력인데 '모든 테스트 통과'라 주장하지 마라" 같은 guardrail이 포함되어 있었다고 합니다.

외부 버전은 정성적으로 "간결하게"를 요구하는 반면, 내부 버전은 "도구 호출 사이 텍스트를 25단어 이하로"라는 정량적 기준까지 있었다구요.

이런 guardrail에는 "un-gate once validated on external via A/B"라는 주석이 달려 있었다고 하는데, 내부에서 먼저 검증한 뒤 A/B 테스트를 통해 외부에 단계적으로 출시하는 프로세스를 보여줍니다.

코드 주석에서는 현재 모델의 false claims rate(허위 응답률)가 29-30%로 이전 버전 대비 퇴보했다는 내용도 발견됐다고 합니다.

미공개 기능들도 다수 발견됐다고 합니다. 백그라운드에서 자율적으로 루프를 도는 KAIROS 데몬 모드, 대화를 자동 요약하고 기억하는 AutoDream Memory, 멀티 에이전트 코디네이터 시스템, 44개의 feature flag(기능 활성화 스위치)까지. 사실상 경쟁사에 로드맵이 통째로 노출된 셈이구요.

유출 코드를 비주얼 가이드로 정리한 사이트가 등장하고, 직접 코드를 읽고 유용한 인사이트를 뽑아낸 개발자들도 나왔습니다.

CLAUDE.md 파일이 세션 시작에만 로드되는 게 아니라 매 턴마다 재삽입된다는 사실, 서브에이전트들이 프롬프트 캐시를 공유해서 멀티에이전트 비용이 예상보다 낮다는 구조 등, 실무에 바로 적용할 수 있는 발견들이었습니다.

코드가 열린 건 실수였지만, 그 실수가 도구에 대한 이해를 넓혀준 건 좀 아이러니합니다.

같은 주, 다른 위기: axios 공급망 공격

Claude Code 소스 유출과 거의 같은 시점에, 주간 1억 회 이상 다운로드되는 npm 라이브러리 axios가 공급망 공격을 당했습니다. 메인테이너 계정이 탈취당해 axios@1.14.1과 axios@0.30.4에 악성 코드가 심어진 거죠.

공격 방식이 ...