Claude Code 소스가 통째로 새어나갔어 — KAIROS·undercover 모드까지 드러났어

무슨 일이 일어났나

Anthropic이 npm에 올린 Anthropic v2.1.88 패키지에 59.8MB짜리 JavaScript source map 파일이 그대로 들어갔어. 안에는 약 51만 줄 TypeScript 소스가 들어있었고, 2026-03-31 새벽 4시 23분 ET에 한 인턴이 X에 올리면서 폭발했지. 몇 시간 안에 GitHub 미러가 4만 번 넘게 포크됐어. 노출 시점부터 패키지가 npm에서 내려질 때까지 약 6시간 걸렸어.

Anthropic 측은 “릴리스 패키징 휴먼 에러이지 보안 침해는 아니다”라고 발표했고, 유저·고객 데이터 노출은 없다고 못 박았어. npm과 GitHub 원본은 즉시 내려졌지만 이미 미러는 곳곳에 퍼져있어.

무엇이 드러났나

deeplearning.ai 정리에 따르면 핵심 발견 세 가지야:

• KAIROS: Claude Code를 항상 켜져있는 백그라운드 에이전트로 돌리는 시스템. 유저가 자리를 비운 사이에도 세션을 굴리고, autoDream이라는 메모리 통합 프로세스를 돌려.
• Undercover 모드: 공개 오픈소스에 조용히 기여할 때 쓰는 모드. 시스템 프롬프트에 “커밋 메시지에 Anthropic 내부 정보를 포함하지 말라”는 지시가 박혀있어.
• 모델 코드네임: Capybara가 Claude 4.6 변종, Fennec이 Opus 4.6에 매핑돼있어.

어떤 의미인가

코드는 봤지만 모델 가중치는 안 봤어. 진짜 IP는 여전히 Anthropic 서버 안에 있고, 외부에 풀린 건 클라이언트 측 도구 호출 로직과 시스템 프롬프트 정도야. 그래도 Claude Code의 백그라운드 에이전트 로드맵을 미리 본 셈이라, 본인 워크플로에서 어디까지 자동화 영역을 넓힐지 판단 재료가 생긴 거지.

주의할 점

미릴리스 기능명만 보고 동작을 추측하면 어긋나기 쉬워. KAIROS와 undercover 모드가 실제 그 형태로 출시될지는 Anthropic도 확정한 적이 없어. 코드 분석을 본인 도구 설계에 참고할 때는 “이런 방향을 시도하고 있다” 정도로만 받아들이는 게 안전해. 실제 동작은 정식 출시 후 검증해야 해.