패키징 실수 하나가 AI 에이전트의 전체 청사진을 드러냈다

2026년 3월 31일, 보안 연구원 Chaofan Shou가 Anthropic의 npm 레지스트리에서 이상을 발견했다. @anthropic-ai/claude-code 패키지 v2.1.88에 59.8MB 크기의 소스맵 파일(cli.js.map)이 포함되어 있었고, 이를 통해 도구의 전체 소스 코드가 공개된 상태였다.

유출된 코드베이스는 512,000줄의 TypeScript, 1,906개 파일에 걸쳐 있었으며, 44개의 숨겨진 feature flag가 포함되어 있었다. 이 중 최소 20개는 완성되었지만 미출시된 기능을 가리키고 있었다. 수 시간 만에 GitHub에 미러링되어 84,000개 이상의 스타와 82,000회 이상의 포크를 기록했다. Anthropic이 패키지를 내렸지만 코드는 이미 영구적으로 공개 영역에 유입된 상태였다.

Anthropic은 “인적 오류로 인한 릴리스 패키징 문제이며 보안 침해가 아니다” 라고 밝혔고, 고객 데이터나 인증 정보 유출은 없었다고 강조했다. 하지만 AI 업계 전체에게 이 유출의 진정한 가치는 보안 사고 자체가 아니라 차세대 AI 코딩 에이전트 아키텍처의 전체 그림이 드러났다는 점에 있다.

KAIROS: 24시간 자율 운영되는 AI 에이전트

유출 코드에서 가장 주목할 만한 발견은 KAIROS(고대 그리스어로 “적절한 시기”를 의미)다. 소스코드에서 150회 이상 등장하는 이 명칭은 개발자와 AI 도구 간 관계의 근본적 전환을 나타낸다. 명령에 대한 수동적 응답에서 자발적으로 행동하는 24시간 백그라운드 에이전트로의 진화다.

KAIROS 작동 원리

  • 데몬 모드: KAIROS는 상주 백그라운드 서비스로 설계되었다. 시스템이 일정 간격으로 하트비트 신호를 보내 “지금 할 만한 일이 있는가?”라고 에이전트에게 묻는다.
  • 능동적 개입: 개발 환경을 지속적으로 모니터링한다. 야간에 서버가 다운되면 KAIROS가 자동으로 코드를 수정하고 서비스를 재시작할 수 있다. GitHub PR이 업데이트되면 자동으로 리뷰하고 결과를 보고한다.
  • 전용 도구 세트: 일반 모드에서는 사용할 수 없는 기능에 접근 가능하다. 푸시 알림(모바일 기기 직접 알림)과 PR 구독(코드 저장소 변경 자동 추적) 등이 포함된다.

autoDream: AI가 당신이 자는 동안 “꿈을 꾼다”

KAIROS 프레임워크 내에는 autoDream이라는 기억 통합 메커니즘이 있다. 사용자가 유휴 상태일 때 에이전트가 흩어진 관찰 메모를 통합하고, 논리적 모순을 제거하며, 모호한 추측을 확정된 사실 기록으로 변환하는 백그라운드 프로세스를 실행한다.

주목할 만한 설계 원칙으로, 에이전트는 자신의 기억을 “진실”이 아닌 “힌트”로 취급하도록 지시받으며, 행동 전에 실제 코드베이스와 대조하여 검증해야 한다. 이 “회의적 기억” 아키텍처는 AI 에이전트의 신뢰성 과제와 해결 전략을 동시에 보여준다.

44개 Feature Flag: 의도치 않게 공개된 제품 로드맵

유출 코드에는 44개의 컴파일된 feature flag가 포함되어 있었다. 완전히 구축되었지만 프로덕션 빌드에서 false로 평가되는 컴파일 타임 스위치로 제어된다. 사실상 완전한 제품 로드맵이 공개된 셈이다.

미출시 주요 기능

  • 멀티 에이전트 오케스트레이션: 여러 AI 에이전트가 하위 작업을 협력 처리하며, 작업 위임과 결과 집계 워크플로를 완성한다.
  • Memory MD: 경량 자기복구형 기억 아키텍처이다. 모든 데이터를 컨텍스트 윈도우에 넣는 기존 방식과 달리 인덱스 포인터만 저장하고 필요 시 식별자로 원본 콘텐츠를 검색한다. 토큰 소비와 운영 비용을 대폭 절감하는 설계이며, 엔터프라이즈 AI 플랫폼의 자원 관리와 공통된 철학을 가진다.
  • 언더커버 모드: 약 90줄의 코드로 구현한다. 비내부 프로젝트에서 Claude Code 사용 시 Anthropic 내부 흔적을 자동 제거한다.
  • 네이티브 클라이언트 인증: 서드파티 도구가 Claude Code를 사칭하여 구독 등급 API 접근을 얻는 것을 방지하는 인증 메커니즘이다.

내부 모델 코드네임 노출

  • Capybara = Claude 4.6 변형
  • Fennec = Opus 4.6
  • Numbat = 테스트 중인 미발표 모델

내부 주석에 따르면 Capybara는 v8까지 반복되었지만 허위 주장률이 29-30%(v4의 16.7%에서 오히려 악화)이며, 리팩토링 시 모델이 과도하게 공격적으로 되는 것을 방지하는 “assertiveness counterweight” 기구도 확인되었다. 이러한 내부 벤치마크는 다른 주요 모델의 알려진 한계와 흥미로운 대조를 이룬다.

같은 날의 퍼펙트 스톰: axios 공급망 공격

상황을 더욱 악화시킨 것은 같은 날 npm 레지스트리에 대한 별도의 공급망 공격이었다. 3월 31일 00:21~03:29 UTC 사이에 널리 사용되는 axios HTTP 라이브러리의 악성 버전(1.14.1 및 0.30.4)이 게시되어 원격 접근 트로이목마(RAT)가 내장되어 있었다.

Claude Code가 axios에 의존하기 때문에 해당 시간대에 npm을 통해 설치 또는 업데이트한 개발자는 감염된 종속성을 가져왔을 수 있다. 공격자들은 이후 유출 사건을 소셜 엔지니어링 미끼로 활용하여 GitHub에 가짜 “공식 유출” 저장소를 만들어 Vidar Stealer와 GhostSocks 멀웨어를 배포했다. Zscaler ThreatLabz의 분석에 따르면 이러한 공격은 완전한 악성 공급망을 형성하고 있다.

업계에 미치는 깊은 영향: 포스트 프롬프트 시대의 가속

채팅창에서 보이지 않는 인프라로

KAIROS의 존재는 업계 트렌드를 확인시켜 준다. AI는 사용자 입력을 기다리는 “대화 도구”에서 백그라운드에서 지속적으로 가동되는 “보이지 않는 인프라“로 진화하고 있다. 이 “포스트 프롬프트 시대(Post-Prompting Era)”에서 대규모 언어 모델은 무대 뒤로 물러나 개발 워크플로의 기반 배관이 된다.

개발자의 역할은 “코드를 한 줄씩 작성하는 실행자”에서 “AI 산출물을 리뷰하고 방향을 잡는 큐레이터”로 전환된다.

오픈소스 생태계의 추격 가속

유출된 코드베이스는 “프로덕션급 AI 에이전트 구축에 관한 현존하는 가장 상세한 공개 문서”로 평가받고 있다. DeepSeek의 오픈소스 전략 Gemini 3의 멀티모달 돌파가 이미 보여주고 있듯이, 이는 오픈소스 커뮤니티의 유사 아키텍처 복제와 개선을 불가피하게 가속할 것이다.

기업 신뢰와 IPO 일정

Anthropic에게 5일 만에 2건의 유출은 AI 안전성을 핵심으로 하는 브랜드에 시련이다. 시장 분석가들은 IPO 일정이 2026년 말에서 2027년으로 밀릴 가능성을 지적하고 있다——최대 경쟁자인 OpenAI의 IPO 역시 순탄치 않은 상황이다.

마치며: 주도권을 넘길 준비가 되었는가

Claude Code 유출 사건은 AI 개발의 미래에 대한 의도치 않은 리허설이다. KAIROS의 자율 에이전트 모드, autoDream의 기억 통합, 멀티 에이전트 오케스트레이션——이것들은 개념 검증이 아니라 컴파일 완료된 프로덕션급 기능이다.

AI가 입력을 기다리는 채팅창에서 24시간 가동되는 보이지 않는 팀메이트로 변할 때, 워크플로의 어느 부분을 위임할 것인지, 어느 부분을 직접 쥐고 있을 것인지. 그것이 포스트 프롬프트 시대의 핵심 질문이다.