Claude Code 전체 소스 코드 노출

Odaily 소식 블록체인 보안 회사 Fuzzland의 인턴 연구원 Chaofan Shou가 X에서 지적한 바에 따르면, Anthropic의 AI 코딩 도구 Claude Code의 npm 패키지에는 전체 소스 맵 파일(cli.js.map, 약 60MB)이 포함되어 있어 모든 TypeScript 소스 코드를 복원할 수 있다고 합니다. 검증 결과, 오늘 출시된 최신 버전 v2.1.88에도 여전히 해당 파일이 포함되어 있으며, 1,906개의 Claude Code 자체 소스 파일의 전체 코드를 담고 있어 내부 API 설계, 분석 원격 측정 시스템, 암호화 도구, 프로세스 간 통신 프로토콜 등의 구현 세부 사항을 포함하고 있습니다.

소스 맵은 JavaScript 개발에서 압축된 코드를 원본 소스 코드에 매핑하기 위한 디버깅 파일로, 프로덕션 릴리스 패키지에 포함되어서는 안 됩니다. 2025년 2월, Claude Code 초기 버전이 동일한 문제로 이미 노출된 바 있으며, Anthropic은 당시 npm에서 이전 버전을 제거하고 소스 맵을 삭제했습니다. 그러나 이 문제가 이후 다시 발생했으며, GitHub에는 복원된 소스 코드를 추출하고 정리한 여러 공개 저장소가 있으며, 그 중 ghuntley/claude-code-source-code-deobfuscation은 거의 천 개의 스타를 받았습니다.

유출된 것은 Claude Code CLI 도구의 클라이언트 구현 코드로, 모델 가중치나 사용자 데이터와는 무관하며 일반 사용자에게 직접적인 보안 위험은 없습니다. 그러나 전체 소스 코드의 지속적인 노출은 내부 아키텍처, 보안 메커니즘 및 원격 측정 로직이 외부에 완전히 투명하게 공개됨을 의미합니다.