
Anthropic, Claude Code 소스코드 512,000줄 유출
유출된 소스맵으로 인해 Anthropic의 R2 버킷과 Claude Code 512,000줄이 노출되었으며, KAIROS 모니터링과 Dream 엔진을 포함한 미공개 기능 4가지가 드러났습니다.
Summary
Claude Code의 npm 패키지에 실수로 번들된 소스맵 파일 하나가, 올바른 URL만 알면 누구든 Anthropic의 비공개 R2 스토리지 버킷과 그 안에 담긴 난독화되지 않은 전체 TypeScript 소스 트리에 직접 접근할 수 있게 만들었다. 노출 규모: 파일 1,900개, 코드 512,000줄 이상. 그보다 더 중요한 이야기는, 지금까지 공개적으로 발표된 적 없는 내부 기능 4가지가 드러났다는 점이다. 여기에는 지속적인 활동 모니터링 모드와 Anthropic이 Dream 엔진이라 부르는 백그라운드 메모리 통합 시스템이 포함된다.
What Happened
개발자들이 프로덕션용 JavaScript나 TypeScript를 빌드할 때, Bun 같은 번들러는 디버깅을 돕기 위해 소스맵 파일(.map)을 생성한다. 이 파일들은 원본의 압축되지 않은 소스 코드를 참조한다. 배포되는 패키지에서 명시적으로 제외하지 않는 한, 패키지가 공개될 때 이 참조 정보도 함께 공개된다.
Anthropic의 엔지니어링 팀은 Bun으로 Claude Code를 빌드했고, 프로덕션 빌드에는 Anthropic의 R2 클라우드 스토리지 상의 URL을 가리키는 .map 파일이 포함되어 있었다. 해당 URL은 접근 제어가 되어 있지 않았다. Web3 기업 FuzzLand의 보안 연구원 Chaofan Shou(@shoucccc)가 2026년 3월 31일 이 참조를 발견했고, URL을 가져와 전체 소스 트리를 확보했다.
이를 막는 데 필요했던 조치는 .npmignore에 한 줄을 추가하거나, 패키징 전에 소스맵 생성을 비활성화하는 것뿐이었다. 둘 다 이루어지지 않았다.
By the Numbers
| Detail | Figure |
|---|---|
| 노출된 TypeScript 코드 줄 수 | 512,000줄 이상 |
| 유출된 소스 파일 수 | 1,900개 |
| 이전에 발표되지 않은 기능 수 | 4개 |
| Anthropic의 공식 입장 발표 | 0건 |
Four Unreleased Features Found Inside
KAIROS Mode
내부용 — 사용자에게 배포되지 않음
사용자 활동을 지속적으로 모니터링하고 기록하는 상시 백그라운드 모드다. 코드를 보면 푸시 알림을 보내고 풀 리퀘스트 이벤트를 구독할 수 있는 것으로 나타나, Claude가 개입할 적절한 시점을 감지했을 때 사용자를 인터럽트하도록 설계된 것으로 보인다. 이름은 "적절한 시기"를 뜻하는 그리스어 개념 "kairos"에서 따왔다. 사전 발표도, 공개 문서도 없었다.
ULTRAPLAN
미출시 — 코드에서 확인되는 클라우드 런타임 인프라
복잡한 다단계 추론을 Anthropic의 Opus 4.6 모델을 실행하는 Cloud Container Runtime(CCR)으로 라우팅하는 원격 플래닝 시스템이다. 세션은 표준 컨텍스트 윈도우를 훨씬 넘어서는 최대 30분까지 비동기로 실행될 수 있다. 목적은 코드 주석에 명확히 나와 있다: 단일 인터랙티브 세션으로 처리하기에는 너무 복잡한 작업을 오프로드해 백그라운드에서 완료하기 위함이다.
The Buddy System
코드는 완성된 상태 — 공개 발표 없음
18종의 종(species)을 가진 반려 캐릭터를 중심으로 한 제품 내 게임화 시스템이다(“Cosmoshale”, “Nebulynx”라는 이름의 생명체도 포함). 이 시스템에는 결정론적 가챠 메커니즘과 절차적으로 생성되는 성격 스탯("SNARK", "WISDOM" 등)이 포함되어 있다. 이것이 리텐션 기능인지, 개발자용 내부 도구인지, 아니면 향후 제품 오퍼링인지는 코드만으로는 명확하지 않다.
The Dream System
아키텍처는 확인됨 — 출시 시점은 불명
세션 사이 오프라인 상태에서 실행되는 메모리 통합 엔진이다. 이 아키텍처는 인간의 기억이 수면 중에 통합된다고 알려진 방식을 그대로 반영하고 있다 — 사용자가 활발히 상호작용하지 않을 때 시스템이 메모리를 처리하고 정리한다. 이는 상태를 갖지 않는(stateless) 기존 AI와는 의미 있게 다른 방향으로, 유휴 상태에서도 지식 기반이 계속 진화하는 에이전트를 뜻한다.
Additional Findings
| Discovery | Implication |
|---|---|
| 욕설 텔레메트리 | 사용자가 Claude에게 욕설을 할 때 발동하는 전용 이벤트 — 이전에 공개된 적 없는 불만 측정 신호 |
| "Continue" 트리거 | 사용자가 "continue"나 "keep going"을 입력하는 빈도를 추적하는 시스템 — 응답 중간 절단 여부를 측정 |
| Capybara / Mythos 관련 언급 | 내부 코드 주석이 Anthropic의 차기 모델 등급에 관한 3월 27일 CMS 문서 유출 내용을 뒷받침 |
| 중국 APT 관련 문서 | 국가 배후 해킹 그룹이 Claude Code를 이용해 약 30개 조직을 침해한 사례에 대한 내부 보고서 |
| 문서화되지 않은 슬래시 명령어 | /commit, /review, /doctor 등이 확인됨 — 공개 문서보다 훨씬 풍부한 내부 툴셋 |
Context: Anthropic's Third Incident in March 2026
| Date | Incident |
|---|---|
| 3월 초 | 펜타곤 계약 거부 관련 내부 정보가 공식 발표 전에 언론에 유출 |
| 3월 27일 | CMS 설정 오류로 모델 로드맵 초안을 포함한 내부 문서 약 3,000건 노출 |
| 3월 31일 | npm 소스맵 유출 — 이번 사건 |
이번 npm 유출 건은 앞선 두 사건과는 성격이 완전히 다르다. 정책적 결정도, 의도적인 공개도, AI의 오류도 아니다. .npmignore 규칙을 명시적으로 두지 않은 채 Bun을 사용하는 어떤 팀에서도 일어날 수 있는 통상적인 패키징 실수다. 이 사건의 중요성은 실수 자체보다 그로 인해 드러난 코드 내용에 있다.
What Follows
Anthropic은 소스맵 생성을 비활성화하거나 필터링한 패치 버전의 npm 패키지를 배포할 것이다. R2 버킷은 이미 접근 제한이 걸렸을 가능성이 있다. instructkr/claude-code와 Kuberwastaken/claude-code를 포함한 GitHub 미러 저장소는 이 글 작성 시점 기준 여전히 공개적으로 접근 가능하지만, 조만간 DMCA 통지를 받을 가능성이 높다.
KAIROS와 Dream 두 기능은 가장 지속적인 논쟁을 불러일으킬 것이다. 특히 상시 사용자 모니터링 모드인 KAIROS는, Claude Code가 프롬프트에 실제로 응답하지 않는 순간에도 무엇을 관찰하고 기록하는지에 대한 의문을 제기할 것이다. 기능 플래그 뒤에 숨겨져 있다는 사실이 그 아키텍처적 의도 자체를 바꾸지는 않는다.
현재 사용자 입장에서 정리하면: 이번 사건으로 노출된 것은 Anthropic의 소스 코드다. 사용자 데이터, 대화 내용, 자격 증명은 노출되지 않았다.
Frequently Asked Questions
소스 코드는 어떻게 유출됐나요? Claude Code의 npm 패키지 안에 소스맵 파일이 포함되어 배포됐습니다. 이 파일에는 Anthropic의 R2 스토리지 버킷을 가리키는 직접 URL이 담겨 있었고, 그곳에는 원본 TypeScript 소스 트리가 접근 제어 없이 호스팅되어 있었습니다. 해당 URL을 가져온 사람은 누구나 전체 코드베이스를 확보할 수 있었습니다. 근본 원인은 배포 패키지에서 .map 파일을 제외하지 않은 것입니다.
Claude Code 사용자로서 제 데이터에 영향이 있나요? 없습니다. 이번 유출로 노출된 것은 Anthropic의 독점 소스 코드이며, 사용자의 대화 내용이나 파일, API 자격 증명이 아닙니다. 사용자 데이터가 관련되었다는 정황은 없습니다.
유출된 코드 속 KAIROS Mode는 무엇인가요? KAIROS는 사용자 활동을 기록하고 푸시 알림을 보내거나 저장소 이벤트를 구독할 수 있는, 아직 출시되지 않은 "상시 작동" 모니터링 모드입니다. 내부 플래그로 게이트되어 있으며 공식적으로 배포된 적은 없습니다. 코드 안에 이것이 존재한다는 사실은, Anthropic이 Claude Code 아키텍처에 어떤 형태의 사용자 활동 모니터링을 구축해 두었는지에 관한 의문을 제기합니다.
유출된 코드의 GitHub 미러는 어디에 있나요?
2026년 3월 31일 기준으로 github.com/instructkr/claude-code와 github.com/Kuberwastaken/claude-code가 있습니다. 둘 다 DMCA 삭제 요청을 받을 것으로 예상해야 합니다.
Sources
- DEV Community — "Claude Code's Source Code Leaked via npm Source Maps" (dev.to, 2026년 3월 31일)
- ByteIota — "Claude Code Source Leaked via npm: 512K Lines Exposed" (2026년 3월 31일)
- Reddit r/ClaudeAI — 소스 유출 관련 토론 스레드 (2026년 3월 31일)
- GitHub mirrors: instructkr/claude-code, Kuberwastaken/claude-code

