Claude 코드 소스 맵 유출로 NPM에 이미 공개된 압축 자바스크립트가 드러나

✍️ OpenClawRadar📅 게시일: April 4, 2026🔗 Source
Claude 코드 소스 맵 유출로 NPM에 이미 공개된 압축 자바스크립트가 드러나
Ad

"유출" 사건의 실제 내용

내부 디버깅용으로 만들어진 .map 소스 맵 파일이 npm의 @anthropic-ai/claude-code 패키지 2.1.88 버전에 실수로 포함되었습니다. 보안 연구원 Chaofan Shou가 이를 발견하고 X에 게시했습니다. Anthropic은 이 문제가 "보안 침해가 아닌 인간 실수로 인한 릴리스 패키징 문제"라고 확인했습니다. 패키지는 철수되었지만 이미 모든 곳에 미러링되었습니다.

이번은 두 번째 발생한 사건입니다. 거의 동일한 소스 맵 유출이 13개월 전인 2025년 2월에도 발생했습니다.

코드는 이미 공개되어 있었음

Claude Code는 단일 번들 JavaScript 파일인 cli.js로 npm을 통해 배포됩니다. 이 파일은 13MB 크기에 16,824줄의 JavaScript이며, 제품 출시 이후부터 unpkg.com/@anthropic-ai/claude-code/cli.js에서 공개적으로 접근 가능했습니다.

파일은 난독화되지 않고 최소화만 되어 있습니다. 차이점은 다음과 같습니다:

  • 최소화(esbuild, Webpack, Rollup과 같은 모든 번들러가 기본적으로 수행)는 변수 이름을 짧게 만들고 공백을 제거합니다
  • 난독화는 문자열을 암호화하고 제어 흐름을 평탄화하며 데드 코드를 주입하고 변조 방지 메커니즘을 추가합니다

Claude Code는 변수 이름 맹글링과 공백 제거를 포함한 표준 최소화를 사용했지만, 다음 난독화 기술은 전혀 적용되지 않았습니다:

  • 문자열 암호화/인코딩: 없음
  • 제어 흐름 평탄화: 없음
  • 데드 코드 주입: 없음
  • 자체 방어/변조 방지: 없음
  • 문자열 배열 회전: 없음
  • 속성 이름 맹글링: 없음
Ad

평문 콘텐츠 추출

모든 148,000개 이상의 문자열 리터럴이 평문으로 저장되어 있습니다. 모든 시스템 프롬프트, 모든 도구 설명, 모든 행동 지침은 텍스트 편집기로 읽을 수 있습니다. 소스 맵이 필요하지 않습니다.

간단한 AST 기반 추출 스크립트를 사용하면 전체 13MB 파일을 1.47초 내에 파싱하여 147,992개의 문자열을 추출할 수 있습니다. 분류 결과:

  • 1,017개의 시스템 프롬프트 및 지침
  • 431개의 도구 설명
  • 837개의 고유한 텔레메트리 이벤트 이름(모두 tengu_ 접두사 - Claude Code의 내부 코드명)
  • 제품 동작을 제어하는 504개의 환경 변수
  • 3,196개의 오류 메시지
  • 하드코딩된 엔드포인트, OAuth URL, DataDog API 키, 전체 모델 카탈로그

커뮤니티 반응

소스 맵 발견 후 하루 만에:

  • GitHub에 코드 덤프가 등장(nirholas/claude-code 등), Anthropic에 의해 몇 시간 내에 DMCA 삭제 요청을 받았지만 수백 번 포크됨
  • Claude Code 아키텍처의 완전한 Rust 재작성판인 Claw Code가 2시간 만에 GitHub 스타 50,000개를 달성하여 역사상 가장 빠르게 해당 이정표에 도달한 저장소가 됨
  • ccleaks.com이 등장 - 소스에서 발견된 모든 미출시 기능, 숨겨진 명령어, 빌드 플래그를 카탈로그화한 완전히 디자인된 분석 사이트
  • DEV Community, YouTube, 기술 블로그에 세부 사항을 분석하는 수십 개의 분석 기사

Geoffrey Huntley는 이번 사건 발생 몇 달 전에 Claude Code의 완전한 "클린룸 트랜스파일레이션"을 공개했습니다.

📖 전체 Source 읽기: HN AI Agents

Ad

👀 See Also

OpenClaw 보안 강화: 자율 에이전트 위험에 대한 다중 계층 보호
Security

OpenClaw 보안 강화: 자율 에이전트 위험에 대한 다중 계층 보호

한 개발자가 자율 에이전트의 파괴적 명령 실행과 데이터 유출을 방지하기 위해 하드-거부 정규식 가드, 재귀적 난독화 해제기, AppArmor 프로필, 감사 통합을 포함한 다중 계층 보안 스택을 OpenClaw 코드베이스에 추가했습니다.

OpenClawRadar
Axios 백도어를 통한 NPM 침해: AI 코딩 에이전트에 미치는 영향
Security

Axios 백도어를 통한 NPM 침해: AI 코딩 에이전트에 미치는 영향

2026년 3월 31일, 북한과 연관된 위협 행위자가 3시간 동안 npm을 해킹하여 악성 코드가 삽입된 Axios 버전(1.14.1 및 0.30.4)을 배포했습니다. 이 악성 코드는 플랫폼별 RAT를 다운로드하는 종속성을 주입하고, 자격 증명을 수집한 후 자가 삭제되었습니다. Claude Code 및 Cursor와 같은 AI 코딩 에이전트는 자동 npm 설치로 인해 특히 취약했습니다.

OpenClawRadar
Litellm PyPI 패키지가 위협받음: 악성 버전 1.82.8이 자격 증명을 유출시켰습니다
Security

Litellm PyPI 패키지가 위협받음: 악성 버전 1.82.8이 자격 증명을 유출시켰습니다

litellm PyPI 패키지가 OpenAI, Anthropic, Cohere 및 기타 LLM 제공업체에 대한 호출을 통합하는 기능을 제공하는데, 악성 버전 1.82.8로 약 1시간 동안 SSH 키, 클라우드 자격 증명, API 키 및 기타 민감한 데이터를 유출하는 방식으로 손상되었습니다.

OpenClawRadar
클로드 코드의 계측 및 원격 측정 기능 분석
Security

클로드 코드의 계측 및 원격 측정 기능 분석

소스 코드 분석 결과, Claude Code는 키워드 기반 감정 분류, 권한 프롬프트 주저 모니터링, 상세한 환경 지문 추적을 포함한 광범위한 행동 추적을 구현하고 있음이 드러났습니다.

OpenClawRadar