클로드 코드 소스 맵 유출, 노출된 내용과 그 의미

클로드 코드가 뉴스가 된 것은 누군가 프런트엔드에서 기발한 실수를 발견했기 때문이 아닙니다. 3월 31일 공개 보고에 따르면 Anthropic의 npm 배포 CLI가 외부인이 읽을 수 있는 TypeScript 소스를 재구성할 수 있는 충분한 소스 맵 메타데이터를 노출했고, 거의 즉시 여러 공개 GitHub 미러가 다음에서 파생되었다고 주장하며 등장했기 때문에 뉴스가 된 것입니다. cli.js.map 에 대한 @anthropic-ai/claude-code 버전 2.1.88. Anthropic의 자체 변경 로그 및 GitHub 릴리스는 다음을 보여줍니다. 2.1.88 를 2026년 3월 30일의 실제 공개 릴리스로 설정했으며, 이는 미러의 이름과 일치하는 버전입니다. (X(이전의 트위터))

그렇다고 온라인에 떠도는 모든 무서운 주장이 사실이라는 의미는 아닙니다. 가장 강력한 공개 증거는 패키징 및 아티팩트 노출 이벤트를 뒷받침하는 것으로, 배포된 CLI와 관련된 디버그 또는 매핑 아티팩트가 상당한 소스 재구성을 위해 충분한 것으로 보입니다. 이는 이미 심각한 문제입니다. 그러나 이는 Anthropic의 클라우드 시스템 침해가 확인된 것과는 다르며, 고객 리포지토리, 프롬프트 또는 로컬 파일의 유출이 입증된 것과는 다릅니다. 2024년 Astro의 권고를 포함한 유사한 소스 맵 사례는 처음에는 기밀성 실패로, 두 번째는 이후 익스플로잇 연구를 위한 촉진제로만 취급되었습니다. (GitHub)

한 가지 세부 사항을 주의 깊게 살펴볼 필요가 있습니다. 공개 미러와 원본 소셜 게시물은 노출이 발생했다는 강력한 증거입니다. 현재 공개 패키지 탐색 페이지는 동일한 아티팩트가 현재에도 여전히 도달 가능한지에 대한 약한 증거입니다. 예를 들어, jsDelivr는 현재 다음을 보여줍니다. @anthropic-ai/claude-code 버전 2.1.88 및 목록 cli.js로 표시되지만 명확하게 나열되지는 않습니다. cli.js.map 를 공개 찾아보기 페이지에 표시합니다. 그렇다고 해서 해당 사건이 반증되는 것은 아닙니다. 이는 과거 노출 주장과 현재 접근성 문제를 엄격하게 분리하여 작성해야 한다는 의미입니다. (jsDelivr)

가장 깨끗한 현재 수치는 다음과 같습니다.

질문	현재 가장 많이 지원되는 답변
클로드 코드 소스가 재구성 가능한 형태로 노출되었을 가능성이 있나요?	예, 3월 31일에 게시된 공개 미러는 다음에서 재구성되었다고 합니다. `cli.js.map` 에 대한 `@anthropic-ai/claude-code` `2.1.88`
Is `2.1.88` 실제 공식 클로드 코드 릴리스	예, Anthropic의 공개 변경 로그 및 GitHub 릴리스는 다음을 보여줍니다. `2.1.88` 2026년 3월 30일 출시
공개 스토리에 npm 배포 아티팩트가 포함되나요?	예, 퍼블릭 미러는 소스 재구성을 npm이 게시한 패키지에 명시적으로 연결합니다.
Is `r2.dev` 기술적으로 공개 파일을 제공할 수 있는 객체 URL	예, Cloudflare 문서 `r2.dev` 를 공개 액세스가 활성화된 경우 R2 버킷의 공개 개발 URL로 사용합니다.
오늘날의 공용 CDN 탐색 페이지가 여전히 지도에 액세스할 수 있음을 증명합니까?	아니요, 현재 찾아보기 페이지만으로는 이 문제를 해결할 수 없습니다.

위의 표는 Anthropic 릴리스 데이터, Cloudflare의 자체 R2 설명서, 현재 패키지 미러 메타데이터 및 이벤트 이후에 게시된 공개 재구성 리포지토리를 기반으로 합니다. (GitHub)

소스 맵으로 번들을 가독성 있는 소스로 전환할 수 있는 이유

소스 맵은 마법이 아닙니다. 소스 맵은 변환되거나 번들된 JavaScript를 원래 작성된 소스에 다시 연결하는 구조화된 파일입니다. MDN에서는 소스 맵을 변환된 코드와 수정되지 않은 원본 소스 사이를 매핑하는 JSON 파일로 설명하므로 원본을 재구성하여 디버깅에 사용할 수 있습니다. 일반적인 개발에서는 편리한 기능입니다. 보안 측면에서는 정보 노출 표면입니다. (MDN 웹 문서)

메커니즘은 간단합니다. 생성된 자바스크립트는 일반적으로 sourceMappingURL 지시어를 사용할 수 있습니다. Sentry의 설명서에 따르면 이러한 지시어를 발견한 도구는 소스 파일을 기준으로 소스 맵 URL을 확인하거나 직접 임베드된 경우 정규화된 URL을 사용한다고 설명합니다. 빌드 아티팩트가 포인터를 게시하면 공개 파일을 읽을 수 있는 모든 것이 체인의 나머지 부분을 가져오거나 재구성할 수 있게 되므로 이는 중요합니다. (센트리 문서)

OWASP는 바로 이러한 이유로 노출된 소스 맵을 정보 유출의 한 형태로 취급합니다. 웹 보안 테스트 가이드에 따르면 소스 맵은 사람이 코드를 더 쉽게 읽을 수 있게 해주며 공격자가 취약점을 찾거나 숨겨진 경로, 내부 구조 또는 하드코딩된 세부 정보와 같은 민감한 정보를 수집하는 데 도움이 될 수 있다고 합니다. 중요한 점은 소스 맵이 항상 치명적이라는 것이 아닙니다. 핵심은 공격자의 비용 모델을 변화시킨다는 점입니다. 이전에는 노이즈가 많거나 평평하거나 추론하기 어려웠던 코드가 훨씬 더 쉽게 연구할 수 있게 됩니다. (OWASP)

다음은 수비수가 염두에 두어야 할 단순화된 멘탈 모델입니다.

{
  "버전": 3,
  "파일": "bundle.js",
  "소스": ["src/main.ts", "src/permissions.ts", "src/remote.ts"],
  "매핑": "..."
}

이러한 파일은 첨부된 다른 항목에 따라 위험도가 낮을 수도 있고 위험도가 높을 수도 있습니다. 원본 소스가 인라인으로 포함되어 있으면 즉시 공개됩니다. 예측 가능한 외부 아티팩트를 가리키는 경우, 공개 요청이 한 번 더 필요할 수 있습니다. 단순히 줄 번호만 매핑하고 원본 소스가 비공개인 경우에는 그 영향이 더 작습니다. 장애의 종류는 "누군가 파일을 잘못 업로드했다"는 것보다 더 광범위합니다. 이는 전체 패키징 경로가 디버그 아티팩트를 공개로 처리했는지 비공개로 처리했는지에 관한 것입니다. (MDN 웹 문서)

그렇기 때문에 Sentry의 자체 지침이 주목할 만합니다. 문서에서는 공개 호스팅을 최상의 기본값으로 제시하지 않습니다. 더 안정적인 패턴은 소스 맵을 Sentry에 직접 업로드하는 것이며, 팀이 검색을 허용하면서 맵을 비밀로 유지하려면 토큰이나 기타 인증 메커니즘으로 액세스를 게이트해야 한다고 말합니다. 즉, 성숙한 도구는 이미 소스 맵을 공개적으로 노출하지 않는 정당한 이유가 있다고 가정합니다. (센트리 문서)

AI 해커 도구 무료 체험 >>

패키징 실패는 하나의 파일이 아니라 연쇄적인 문제였습니다.

공개적으로 보도된 클로드 코드 사건은 단일 사고가 아닌 여러 단계에 걸친 장애 연쇄를 암시합니다. 공개적으로 게시된 게시물에 따르면 이 소식통은 .map 파일과 npm 배포판의 r2.dev/src.zip 경로로 이동했습니다. 공개 거울은 다음과 같이 말했습니다. cli.js.map 에서 @anthropic-ai/claude-code 2.1.88 에서 소스를 재구성했습니다. 정확한 공개 경로의 일부 세부 사항이 아직 해결되지 않았더라도 빌드 출력, 패키지 내용, 맵 참조, 오브젝트 저장소 노출이 모두 중요하다는 것을 추론할 수 있을 만큼 보고된 체인은 명확합니다. (X(이전의 트위터))

Cloudflare의 R2 설명서는 액세스 모델을 추측 없이 설명하기 때문에 유용합니다. 퍼블릭 버킷은 기본적으로 비공개이지만, 퍼블릭 액세스가 활성화되면 Cloudflare가 관리하는 r2.dev 하위 도메인. Cloudflare는 또한 루트 버킷 목록은 공개 버킷에서 사용할 수 없다는 점에 주목합니다. 이는 과소평가된 세부 사항입니다. 다른 아티팩트가 이미 정확한 개체 경로를 제공하는 경우 버킷을 리스팅할 수 없다고 해도 도움이 되지 않습니다. 소스 맵, 빌드 매니페스트 또는 에러 추적이 공격자에게 전체 URL을 제공하는 순간 모호성에 의한 보안은 무너집니다. (Cloudflare 문서)

그렇기 때문에 "유출된 소스 맵일 뿐"이라는 표현은 너무 가벼운 표현입니다. 맵 노출 이벤트는 배포 제어 이벤트인 경우가 많습니다. 의미 있는 질문은 .map 가 빌드 중 어딘가에 존재했다고 가정합니다. 의미 있는 질문은 최종 공개 공급망에서 해당 맵 또는 그 뒤에 있는 공개 포인터가 외부인이 접근할 수 있는 채널로 살아남을 수 있도록 허용했는지 여부입니다. 실제로는 타르볼, CDN 복사본, 오브젝트 저장소 규칙, 빌드 스크립트 기본값, 게시 후 확인 단계를 검토하는 것을 의미합니다. (센트리 문서)

공개 패키지 생태계는 실수를 빠르게 증폭시키기 때문에 npm 각도가 중요합니다. 현재 Anthropic의 자체 문서와 공식 GitHub README에서는 npm 설치가 더 이상 사용되지 않으며 대신 네이티브 설치 방법을 권장하는 한편, 호환성 사례를 위해 npm을 계속 문서화하고 있습니다. 그렇다고 해서 이 사건으로 인해 사용 중단이 이루어졌다는 것을 증명하는 것은 아니며, 그렇게 주장하는 것은 무책임한 태도입니다. 하지만 배포 경로가 다르고 예상되는 아티팩트가 다르기 때문에 방어자는 npm 기반 클로드 코드 배포를 네이티브 설치와 즉시 분리해야 한다는 것을 의미합니다. (Claude API 문서)

클로드 코드 소스 맵 유출이 일반적인 프론트엔드 소스 맵보다 더 중요한 이유

클로드 코드는 장식용 번들이 아닙니다. Anthropic의 개요에 따르면 코드베이스를 읽고, 파일을 편집하고, 명령을 실행하고, 터미널, IDE, 데스크톱 및 브라우저 표면에서 개발 도구와 통합하는 에이전트 코딩 도구로 설명되어 있습니다. 이는 이미 정적 사이트 번들이나 대시보드 위젯과는 다른 보안 범주에 속합니다. 이러한 도구의 구현 세부 사항을 더 쉽게 읽을 수 있다면 호기심 많은 개발자에게 더 멋진 구문 강조 표시를 제공하는 것 이상의 의미가 있습니다. 신뢰 경계, 권한 결정, 오케스트레이션 흐름 및 통합 표면을 보다 명확하게 파악할 수 있습니다. (Claude)

Anthropic의 보안 문서는 이 점을 강조합니다. Claude Code는 기본적으로 엄격한 읽기 전용 권한을 사용하고, 추가 작업에 대한 승인을 요청하며, 샌드박스가 적용된 bash, 쓰기 범위 제한 및 프롬프트 인젝션 완화 기능을 포함합니다. 샌드박스가 적용된 bash 모델은 특히 파일 시스템 및 네트워크 격리를 사용하며, Anthropic의 권한 설명서에 따르면 샌드박스 제한은 프롬프트 인젝션이 Claude의 의사 결정에 영향을 미치는 경우에도 bash 명령이 정의된 경계를 벗어난 리소스에 도달하는 것을 차단할 수 있다고 합니다. 이와 같은 런타임과 관련된 소스 노출 이벤트는 단순히 UI의 모양을 학습하기 위한 것이 아닙니다. 이러한 보호 기능이 실제로 어떻게 조립되는지 분석하는 데 드는 비용을 낮추기 위한 것입니다. (Claude)

원격 제어 표면은 요점을 더욱 선명하게 만듭니다. 다른 브라우저나 기기에서 로컬 클로드 코드 세션을 계속하는 방법으로 원격 제어를 문서화했습니다. 이 문서에는 세션이 여전히 사용자 컴퓨터에서 실행되고, 로컬 프로세스가 아웃바운드 HTTPS 요청만 하며, 연결이 짧은 범위의 자격 증명을 사용한다는 점이 명시되어 있습니다. 이는 결함의 증거가 아니라 좋은 보안 설계 공개입니다. 그러나 복잡한 에이전트 런타임에서 세션 상태, 인증 경계, 액션 브로커링을 이해하려는 모든 사람에게 구현 세부 정보가 전략적으로 중요한 하위 시스템이기도 합니다. (Claude)

이제 Anthropic은 다음과 같은 자동화된 보안 검토 기능도 Claude Code에 제공합니다. /보안-리뷰 및 GitHub 작업 기반 검토를 지원합니다. 즉, Claude Code는 단순히 추상적인 코딩 보조 도구가 아닙니다. 점점 더 실제 개발자 보안 워크플로우의 일부가 되고 있습니다. 따라서 이러한 종류의 도구와 관련된 소스 공개는 개발자가 다른 소프트웨어를 검사하는 데 사용하는 도구의 신뢰성을 평가하는 방식에 영향을 미칠 수 있다는 2차적인 효과를 가져옵니다. 보안 도구는 경제성이 다르기 때문에 더 높은 수준의 조사가 필요합니다. 연구자들은 첫날에 직접 익스플로잇을 발견하지 않아도 이러한 유출이 문제가 될 수 있습니다. 더 나은 출발점이 필요합니다. (Claude 도움말 센터)

이해관계에 대해 실용적으로 생각해 볼 수 있는 방법은 다음과 같습니다.

클로드 코드 기능	공식 문서에서 이미 공개하고 있는 내용	구현 노출이 중요한 이유
명령 실행	Bash는 권한 기반이며 샌드박스가 가능합니다.	연구자들은 정확한 시행 및 엣지 사례를 연구할 수 있습니다.
리포지토리 트러스트 및 파일 편집	기본적으로 읽기 전용, 범위 지정 쓰기, 권한 모드	사전 신뢰 주문 버그 및 범위 실수를 더 쉽게 추론할 수 있습니다.
원격 제어	세션은 로컬로 실행되며, 아웃바운드 HTTPS 전용, 단기 크레딧입니다.	세션 오케스트레이션 및 인증 전환을 보다 저렴하게 분석할 수 있습니다.
후크, MCP, 하위 프로세스	Claude는 도구 및 정책 계층과 통합할 수 있습니다.	비밀 전파 및 간접 실행 경로가 더 잘 보입니다.
보안 검토 기능	`/보안-리뷰` 및 GitHub 액션이 지원됩니다.	검토 논리, 제외 및 가정을 더 쉽게 테스트할 수 있습니다.

이 요약은 공개 유출로 인해 모든 내부 정보가 무기화될 수 있는 방식으로 노출되었다는 주장이 아닙니다. 이는 에이전트 개발자 런타임에 대한 기밀성 손실이 일반적인 프론트엔드 자산에 대한 기밀성 손실보다 더 심각한 이유를 설명하는 것입니다. Anthropic의 공개 문서에는 이미 모델의 의미 있는 부분이 공개되어 있으며, 가독성 구현은 나머지 장벽을 낮춰줍니다. (Claude)

Anthropic은 이미 보안 모델의 일부를 공개하고 있으므로 정확성이 더욱 중요해졌습니다.

유출이 발생하면 모든 것을 비밀로 취급하고 모든 것을 손상된 것으로 간주하려는 유혹이 있습니다. 하지만 이는 성숙한 제품 보안 분석이 작동하는 방식이 아닙니다. Anthropic은 이미 권한 모드, 계획 모드, 자동 모드, 샌드박싱, 원격 제어 및 보안 검토 기능 등 상당량의 Claude Code 보안 모델을 공개적으로 문서화했습니다. 특히 자동 모드 문서에는 설계 의도가 잘 드러나 있습니다. 별도의 분류기가 상황에 따라 작업을 검토하고, 분류기 입력에서 도구 결과가 제거되며, 이 기능은 안전성을 보장하는 것이 아니라 연구용 미리보기 기능이라고 설명되어 있습니다. 그 자체가 취약점은 아닙니다. 하지만 이는 에이전트 코딩 도구가 신뢰 경계와 승인 로직에 따라 사활을 건다는, 방어자가 보는 것과 동일한 문제를 Anthropic도 보고 있다는 것을 보여줍니다. (Claude)

이러한 공개는 두 가지 측면에서 도움이 됩니다. 긍정적인 측면에서는 외부인이 광범위한 설계 철학을 이해하기 위해 정보를 유출할 필요가 없다는 것을 의미합니다. 부정적인 측면에서는 가장 흥미로운 남은 질문은 바로 구현에 관한 질문들, 즉 검사는 어떤 순서로 실행되는지, 예외는 어디에 적용되는지, 신뢰는 언제 설정되는지, 프롬프트 전에 어떤 경로가 허용되는지, 하위 프로세스에서 상속되는 것은 무엇인지, 경쟁 조건이나 잘못된 입력에서 폴백은 어떻게 작동하는지 등입니다. 이러한 질문은 소스를 읽을 수 있게 되면 탐색하기가 더 쉬워집니다. (Claude)

공개 증거가 증명하지 못하는 것

급변하는 사건에서 가장 중요한 원칙은 증거가 뒷받침하지 않는 것을 말하는 것입니다. 이 이야기를 위해 검토한 공개 리포지토리와 게시물은 패키지 배포 아티팩트에서 소스 재구성에 대한 주장을 뒷받침합니다. 하지만 그 자체만으로는 고객 저장소, 세션 기록 또는 사용자 프롬프트의 도용을 입증하지 못합니다. 유출 후 공개적으로 미러링된 자료는 사용자 데이터가 아닌 소스 코드로 설명됩니다. (GitHub)

Astro 소스맵 권고사항은 조용한 부분을 큰 소리로 말하기 때문에 유용한 비교 대상입니다. 이 경우 즉각적인 영향은 소스 코드가 노출되는 것이지만, 비밀이나 환경 값은 소스에 그대로 존재하는 경우에만 노출됩니다. 이 권고안은 또한 코드가 공개되면 공격자가 다음에 발견할 수 있는 것이 더 심각한 다운스트림 위험이라고 지적합니다. 이러한 프레임워크는 여기에도 적용됩니다. 소스 노출 이벤트는 절대적으로 심각하게 다루어야 합니다. 하지만 증거가 뒷받침되지 않는 주장으로 부풀려서는 안 됩니다. (GitHub)

원격 제어 기능은 정밀도가 중요한 또 다른 영역입니다. 클로드 코드와의 원격 상호 작용이 존재한다고 해서 제품이 개발자 컴퓨터에서 인바운드 포트를 여는 것은 아닙니다. Anthropic의 문서에 따르면 로컬 프로세스는 아웃바운드 HTTPS 요청만 하고 웹 또는 모바일 인터페이스는 로컬 세션의 창 역할을 한다고 합니다. 소스 맵 유출로 인해 모든 클로드 코드 머신에 인터넷에 노출된 백도어가 있다고 주장하는 사람이 있다면, 공개 문서는 그러한 주장을 뒷받침하지 않습니다. (Claude)

따라서 현재 올바른 분류는 더 좁고 신빙성이 높습니다. 이는 고가의 에이전트 개발자 도구와 관련된 소스 기밀성 사건으로 보입니다. 이는 실제 우려를 정당화하기에 충분합니다. 허구를 정당화하기에는 충분하지 않습니다. (GitHub)

두 번째 현실 점검은 추가할 가치가 있습니다. 공개 패키지 찾아보기 페이지는 사후 재구성을 복잡하게 만드는 방식으로 세부 정보가 지연되거나, 다르거나, 누락될 수 있습니다. 3월 31일 미러는 다음에서 소스를 추출했다고 합니다. cli.js.map 공식 패키지에 포함되어 있습니다. 현재 공개 jsDelivr 브라우징 표시 버전 2.1.88 및 메인 cli.js 파일은 있지만 cli.js.map 항목이 루트 목록에 없습니다. 이러한 불일치가 바로 인시던트 작성 시 노출 시점에 액세스할 수 있었다고 보고된 내용과 며칠 후 독자가 개인적으로 클릭할 수 있는 내용을 구분해야 하는 이유입니다. 이 두 가지 상태를 혼동하는 것이 바로 루머가 분석을 대체하는 방식입니다. (GitHub)

AI 펜테스트 도구 무료 체험 >>

이 토론에서 이전 클로드 코드 CVE가 중요한 이유

3월 31일의 사건이 신뢰 경계 버그의 이력이 없는 수동적인 도구와 관련된 것이라면 여전히 문제가 되겠지만, 평판 손상으로 먼저 처리하고 보안 문제는 나중에 처리하는 것이 더 쉬울 것입니다. 클로드 코드는 이 설명에 맞지 않습니다. 작년에 Anthropic과 GitHub는 신뢰 프롬프트, 명령 실행, IDE 통합 및 데이터 유출과 직접 관련된 영역에서 Claude Code에 영향을 미치는 여러 권고 사항을 발표했습니다. 이러한 문제는 소스 맵 유출과는 다른 문제입니다. 이 제품 범주에서 읽기 가능한 구현 세부 정보가 전략적으로 유용한 이유를 설명하는 맥락입니다. (GitHub)

권고 사항을 나란히 보면 그 패턴이 분명해집니다.

CVE	무슨 일이 있었나요?	영향을 받는 버전 및 수정 사항	여기서 중요한 이유
CVE-2025-52882	IDE 통합은 임의의 출처에서 웹소켓 연결을 허용하여 영향을 받는 환경에서 파일 및 에디터 상태에 대한 무단 액세스를 허용했습니다.	`>= 0.2.116, < 1.0.24`에서 수정되었습니다. `1.0.24`	클루드 코드에 대한 오리진과 IDE의 신뢰 경계가 이미 실제 문제가 되고 있음을 보여줍니다.
CVE-2025-59828	사용자가 디렉터리 신뢰 대화 상자를 수락하기 전에 Yarn 구성 및 플러그인이 실행될 수 있습니다.	`< 1.0.39`에서 수정되었습니다. `1.0.39`	사전 트러스트 실행 순서가 중요하고 역사적으로 취약한 표면임을 보여줍니다.
CVE-2025-58764	명령 구문 분석 결함으로 인해 승인 프롬프트를 우회하고 적대적인 컨텍스트에서 신뢰할 수 없는 명령 실행이 트리거될 수 있습니다.	`< 1.0.105`에서 수정되었습니다. `1.0.105`	프롬프트 및 명령 유효성 검사 로직이 이론적인 목표가 아닌 현실적인 목표임을 보여줍니다.
CVE-2025-64755	sed 구문 분석 문제로 인해 읽기 전용 유효성 검사를 우회하여 호스트에 임의의 파일을 쓸 수 있습니다.	`< 2.0.31`에서 수정되었습니다. `2.0.31`	"읽기 전용" 보장이 구문 분석기와 적용 경계에서 실패할 수 있음을 보여줍니다.
CVE-2026-21852	클로드 코드는 신뢰 확인 전에 API 요청을 발행하고 악의적인 저장소 설정을 통해 Anthropic API 키를 포함한 데이터를 유출할 수 있습니다.	`< 2.0.65`에서 수정되었습니다. `2.0.65`	신뢰 확인 전의 시작 및 프로젝트 로드 흐름이 가장 가치가 높은 연구 대상 중 하나임을 보여줍니다.

이것이 소스 노출이 중요한 더 큰 이유입니다. 이러한 권고 사항을 통해 반복되는 주제를 알 수 있습니다. 가장 치명적인 클로드 코드 버그는 장식용 버그가 아닙니다. 사용자 의도, 프롬프트 컨텍스트, 리포지토리 신뢰, 실행 승인, IDE 출처 및 시작 동작 사이의 이음새에 있는 버그입니다. 바로 이러한 종류의 소프트웨어에서 가독성 있는 소스를 사용하면 에지 케이스를 찾는 데 드는 비용을 크게 줄일 수 있습니다. (GitHub)

CVE-2026-21852를 예로 들어보겠습니다. GitHub 권고에 따르면 악성 리포지토리는 다음과 같이 설정할 수 있습니다. anthropic_base_url 를 사용하여 신뢰 프롬프트를 표시하기 전에 요청을 수행하여 API 키가 유출될 가능성이 있습니다. 이는 소스 맵 취약점이 아닙니다. 사전 신뢰 초기화 취약점입니다. 하지만 개발자가 이 제품에서 정확한 프로젝트 로드 순서와 신뢰 프롬프트 타이밍에 신경을 써야 하는 이유를 보여줍니다. 일단 이러한 취약점이 알려지면 구현 연구 비용을 절감할 수 있는 모든 이벤트에 주목할 필요가 있습니다. (GitHub)

CVE-2025-59828은 다른 각도에서 같은 점을 지적합니다. 디렉터리 신뢰가 수락되기 전에 Yarn 관련 코드가 실행될 수 있기 때문에 이 문제가 발생했습니다. 다시 말하지만, 흥미로운 교훈은 "Yarn은 무섭다"가 아닙니다. 흥미로운 교훈은 신뢰 설정 전과 후에 어떤 하위 시스템이 실행되는지에 따라 클로드 코드의 안전 태세가 달라진다는 것입니다. 이는 아키텍처 의도보다 구현 세부 사항이 더 중요한 전형적인 사례입니다. (GitHub)

CVE-2025-58764와 CVE-2025-64755는 시작 신뢰에서 실행 신뢰로 이야기를 옮깁니다. 한 권고에 따르면 적대적인 컨텍스트가 승인 프롬프트를 우회하여 신뢰할 수 없는 명령 실행을 트리거할 수 있다고 합니다. 다른 하나는 sed 구문 분석 결함으로 인해 읽기 전용 유효성 검사를 우회하여 임의의 파일을 쓸 수 있다고 말합니다. '승인'과 '읽기 전용'은 마법의 상태가 아니라는 것을 함께 보여줍니다. 이는 파싱, 매칭 및 시행 코드를 통해 구현되는 정책 주장입니다. 소스를 더 쉽게 읽을 수 있게 되면 이러한 정책 클레임은 테스트하고 이의를 제기하기가 더 쉬워집니다. (GitHub)

CVE-2025-52882는 IDE 측면에서도 비슷한 이유로 중요합니다. GitHub의 권고에 따르면 영향을 받는 VS Code 및 JetBrains 통합은 임의의 출처에서 무단 웹 소켓 연결을 허용하고 파일 및 에디터 상태를 노출할 수 있다고 합니다. 이 문제는 CLI 타르볼과는 다른 측면에서 발생한 문제입니다. 하지만 이 이슈는 원본 처리, 메시지 라우팅, 세션 경계가 모두 보안과 관련된 더 큰 멀티서피스 제품군의 일부라는 점을 보여주기 때문에 같은 맥락에 속합니다. CLI에 영향을 미치는 소스 노출 이벤트가 발생해도 IDE가 자동으로 중단되지는 않습니다. 하지만 제품군을 외부 연구에 더 투명하게 공개할 수 있습니다. (GitHub)

로컬 CLI, 원격 제어 및 웹 세션은 동일한 위협 표면이 아닙니다.

많은 대중이 유출된 모든 클로드 코드 배포 모드를 하나의 블롭으로 축소합니다. 그러면 분석이 더 어려워집니다. Anthropic의 문서에서는 로컬 클로드 코드, 원격 제어, 웹상의 클로드 코드 사이의 실제 경계를 구분합니다. 로컬 클로드 코드는 사용자 컴퓨터에서 실행됩니다. 원격 제어는 사용자 컴퓨터에서 실행을 유지하며 웹 또는 모바일 인터페이스를 제어 표면으로 사용합니다. 반면 웹상의 Claude Code는 Anthropic이 관리하는 클라우드 인프라에서 실행됩니다. 이는 동일한 신뢰 모델이 아니며 증거 추적도 동일하지 않습니다. (Claude)

인시던트 영향은 노출된 구현이 실제로 적용되는 위치에 따라 달라지기 때문에 이러한 구분이 중요합니다. npm 배포 CLI의 패키징 문제는 주로 npm이 설치된 로컬 클라이언트에서 사용하는 경로에 영향을 미칩니다. 그렇다고 해서 클라우드 호스팅 웹 환경에서도 동일한 아티팩트 체인이 존재한다는 것을 자동으로 의미하지는 않습니다. 반대로 클라우드 환경의 문제가 로컬 npm 타르볼에 존재하는 것에 대해 자동으로 많은 것을 말해주지는 않습니다. 성숙한 사고 처리는 폭발 반경 예측을 시작하기 전에 이러한 배포 경계를 그리는 것으로 시작됩니다. (Claude API 문서)

네트워크 동작에 대한 신뢰 가정에도 동일한 뉘앙스가 적용됩니다. Anthropic의 데이터 사용 설명서에 따르면 로컬 클로드 코드는 네트워크를 통해 프롬프트와 모델 출력을 Anthropic 서비스로 전송합니다. 이는 제품 경험에 항상 원격 서비스 구성 요소가 있다는 것을 의미합니다. 그러나 문서에서는 원격 제어 세션은 세션이 시작된 컴퓨터에서 실행되므로 로컬 데이터 흐름을 따른다고도 말합니다. 즉, 로컬 런타임의 소스 노출이 클라우드 실행 손상과 자동으로 동일한 것은 아니며, 로컬 런타임 기밀성 이벤트가 문제가 되기 위해 클라우드 실행 손상이 필요하지 않습니다. (Claude)

첫 24시간 동안의 심각한 방어자 대응의 모습

이러한 사고가 발생한 후 대부분의 팀이 가장 먼저 저지르는 운영상의 실수는 자체 자산 인벤토리에 대한 답변보다 인터넷에 대한 답변을 먼저 시도하는 것입니다. 지루한 질문부터 시작하세요. 현재 환경에서 Claude Code는 어디에 설치되어 있나요? 어떤 설치 경로가 사용 중인지. 어떤 버전이 있는지. 더 이상 사용되지 않는 npm 경로를 여전히 사용하는 개발자 또는 CI 실행자는 누구인지. Anthropic의 자체 설치 문서와 공식 GitHub 리포지토리는 모두 npm 설치가 더 이상 사용되지 않으며 기본 설치 관리자 경로를 먼저 권장하며, Homebrew 및 WinGet도 문서화되어 있습니다. 따라서 npm 기반 설치는 모든 대응 계획의 첫 번째 파티션이 됩니다. (Claude API 문서)

두 번째 실수는 검색 범위를 개발자 노트북으로 제한하는 것입니다. 에이전트 코딩 도구는 자체 호스팅 CI 러너, GitHub Actions 이미지, devcontainer, 공유 점프 호스트, 일회용 클라우드 워크스테이션, 내부 골든 이미지 등 개발자가 언급하지 않는 곳에 있는 경우가 많습니다. 조직에서 "그냥 npm으로 전역 설치"를 정규화했다면 수동으로 인벤토리를 만들지 않은 곳에 사본이 있다고 가정해야 합니다. 공개 패키지 미러에는 여전히 2.1.88 를 에코시스템에 존재하는 버전으로 간주하므로 "한 경로에서 제거했다"는 것은 노출 수명 주기에 대한 충분한 정신 모델이 아닙니다. (jsDelivr)

실제 첫 번째 통과 인벤토리는 다음과 같습니다.

# 로컬 버전 및 경로
claude --version
어느 클라우드를

# 더 이상 사용되지 않는 npm 설치 확인
npm ls -g @anthropic-ai/claude-code --depth=0

# 대체 패키지 관리자 확인
brew 목록 --버젼 claude-code
윙겟 목록 Anthropic.ClaudeCode

Anthropic은 명시적으로 문서화합니다. claude --version, 네이티브 설치, Homebrew, WinGet, 더 이상 사용되지 않는 npm 설치 등 다양한 설치 경로가 있으므로 여기서 목표는 새로운 워크플로우를 만드는 것이 아닙니다. 공식 설치 안내를 인벤토리 루틴으로 전환하여 각 머신이 실제로 어떤 배포 경로를 사용하고 있는지 파악하는 것입니다. (Claude API 문서)

세 번째 질문은 포장에 관한 것이 아닙니다. 신뢰의 자세에 관한 질문입니다. 팀원들이 일상적으로 신뢰할 수 없는 리포지토리, 플러그인 번들 또는 생성된 아티팩트를 클루드 코드에 지적하나요? 대답이 '예'라면, 제품의 실제 역사적 위험은 종종 신뢰 이전의 경계와 프롬프트 경계에 있었기 때문에 소스 맵 스토리는 클로드 코드 강화에 대한 더 광범위한 검토를 촉발해야 합니다. CVE-2026-21852, CVE-2025-59828, CVE-2025-58764, CVE-2025-64755의 관련 교훈은 "지금 당장은 패닉에 빠지지 말라"는 것이 아닙니다. "오늘의 헤드라인이 직접적인 침해가 아닌 소스 공개에 관한 것이라고 해서 느슨한 런타임 태세를 유지해서는 안 된다"는 것입니다. (GitHub)

네 번째 질문은 현재 얼마나 많은 자율성을 허용하고 있는지입니다. 여기서 앤트로픽의 권한 모드 문서는 장단점을 숨기지 않기 때문에 이례적으로 유용합니다. 계획 모드는 읽기 전용 계획입니다. 기본값 는 읽기 전용 작업 외부에서 작업하기 전에 묻습니다. 자동 는 분류기를 사용하며 완전한 안전성을 보장하기보다는 연구 미리보기로 명시적으로 설명되어 있습니다. 바이패스 권한 는 권한 검사를 비활성화하고 인터넷에 액세스할 수 없는 컨테이너 또는 가상 머신과 같은 격리된 환경에서만 적절하게 문서화됩니다. 즉, 인시던트 분류에는 패키지 버전 검토뿐 아니라 권한 태세 검토도 포함되어야 합니다. (Claude)

팀이 광범위한 자율성이 활성화된 낯선 리포지토리를 탐색하는 경우, 초기 검사 작업을 다음 리포지토리로 이동하는 간단한 단기 변경으로 큰 가치를 얻을 수 있습니다. 계획 모드 또는 기본 모드로 설정하고 샌드박싱을 활성화한 상태로 유지하고 바이패스 권한 를 사용하여 진정한 격리 환경을 구축할 수 있습니다. Anthropic의 샌드박싱 문서에 따르면 샌드박싱된 배시 도구는 OS 수준의 파일 시스템과 네트워크 격리를 사용하며, 보안 문서에 따르면 샌드박싱 및 거부 규칙은 즉각적인 주입이 Claude의 결정에 영향을 주더라도 피해를 제한하는 데 도움이 된다고 합니다. 이는 3월 31일 이벤트가 이미 완전히 해결된 것으로 판명되더라도 여전히 중요한 강화 단계입니다. (Claude)

또 다른 빠른 승리는 하위 프로세스에 대한 자격 증명 위생입니다. Anthropic의 v2.1.83 릴리스 소개 claude_code_subprocess_env_scrub=1를 사용하여 Bash, 후크, MCP 스튜디오 서버와 같은 하위 프로세스 환경에서 Anthropic 및 클라우드 제공자 자격 증명을 제거합니다. 이 릴리스 노트가 중요한 이유는 메인 에이전트 런타임이 제어되고 있는 경우에도 하위 프로세스 상속이 버그나 악의적인 워크플로의 폭발 반경을 넓힐 수 있다는 실제 운영상의 진실을 인정하고 있기 때문입니다. 민감한 환경에서 클로드 코드를 실행하는 경우 이 설정에 특히 주의해야 합니다. (GitHub)

원격 제어 정책도 검토할 필요가 있습니다. Anthropic은 모든 요금제에서 원격 제어를 사용할 수 있지만 관리자가 활성화하기 전까지는 Team 및 Enterprise의 경우 기본적으로 꺼져 있다고 말합니다. 조직에서 원격 제어가 필요하지 않은 경우 이 기능을 비활성화하면 일상적인 노출에서 벗어날 수 있는 표면이 하나 더 제거됩니다. 원격 제어는 설계상 사용자의 로컬 파일 시스템 및 로컬 도구와 상호 작용하므로 필요한 경우에는 정책을 명시적으로 만들고 로컬 세션 실행이 허용되는 위치를 문서화하세요. (Claude)

방어자가 하지 말아야 할 한 가지는 "소스 유출이 키가 도난당했음을 증명한다"는 이론을 근거로 모든 자격 증명을 뒤집는 것입니다. 공개적인 증거는 이러한 주장을 뒷받침하지 않습니다. 구체적인 노출 경로를 기준으로 Anthropic API 키, OAuth 토큰 또는 클라우드 자격 증명을 회전해야 합니다. 예를 들어2.0.65 적대적인 리포지토리의 클로드 코드, CVE-2026-21852는 실제 키 유출 문제를 야기합니다. 3월 31일의 소스 맵 보고서만으로는 그렇지 않습니다. 이 두 가지 모델을 함께 사용하면 표적 대응 대신 비용이 많이 드는 극장을 만들 수 있습니다. (GitHub)

아티팩트에 대해 논쟁하지 않고 검사하는 방법

포장 사고에 대한 가장 건강한 대응은 스크린샷에 대한 끝없는 추측이 아닙니다. 아티팩트 검사입니다. 어떤 이유로든 여러분의 환경이 여전히 npm으로 배포된 클로드 코드에 의존하고 있거나 자체 패키지에 동일한 규율을 적용하고 싶다면 실제 타르볼을 검사하세요. 소스 맵, 공개 디버그 URL, 그리고 sourceMappingURL 디렉티브를 리포지토리나 빌드 폴더뿐만 아니라 최종 배포 아티팩트에 포함시켜야 합니다. 이것이 사용자와 공격자가 모두 받는 것과 일치하는 유일한 검사입니다. (센트리 문서)

안전한 로컬 인증 패턴은 다음과 같습니다.

TMPDIR="$(mktemp -d)"
cd "$TMPDIR"

# 검사하려는 정확한 패키지 버전을 가져옵니다.
npm pack @anthropic-ai/claude-code@2.1.88

# 글로벌 설치 없이 패키지 내용 검사하기
tar -tf ./*.tgz | grep -E '\.map$|cli\.js$'

# 매핑 지시어 또는 공개 디버그 URL 추출 및 검색
tar -xzf ./*.tgz
grep -R -n 'sourceMappingURL' 패키지 2>/dev/null
grep -R -n 'r2.dev\|src.zip' 패키지 2>/dev/null

이 워크플로는 아무것도 공격하지 않습니다. 단순히 공개 아티팩트에 패키지-공급망 위생을 적용할 뿐입니다. 배포 전 자체 내부 패키지, 검토 중 미러링된 타사 패키지 또는 조직에서 아직 캐시한 인시던트 범위 버전에 대해서도 동일한 방법을 사용할 수 있습니다. 보안 가치는 배포 경계를 넘은 정확한 것을 확인하는 데서 비롯됩니다. (OWASP)

자체 제품의 CI에도 동일한 논리가 적용됩니다.

set -euo pipefail

npm pack >/dev/null
PKG="$(ls *.tgz | head -n1)"
WORKDIR="$(mktemp -d)"
tar -xzf "$PKG" -C "$WORKDIR"

find "$WORKDIR/package" -type f | grep -E '\.map$' >/dev/null; then
  echo "빌드 실패: 패키지에서 소스맵 아티팩트가 발견되었습니다."
  exit 1
fi

if grep -R -n 'sourceMappingURL\|r2.dev\|src.zip' "$WORKDIR/package" >/dev/null 2>&1; then
  echo "빌드 실패: 디버그 포인터 또는 공용 아티팩트 URL이 발견되었습니다."
  exit 1
fi

목표는 소스 맵의 존재를 금지하는 것이 아닙니다. 목표는 의도적으로 만드는 것입니다. 필요할 때는 비공개로 업로드하고, 호스팅해야 하는 경우에는 접근을 제한하는 것이 좋습니다. 마지막 번들러의 기본값에 맡겨두지 마세요. (센트리 문서)

이 사건 이후 클로드 코드를 강화하는 방법

패키징 응답은 하나의 레이어에 불과합니다. 런타임 태세는 시간이 지날수록 더 중요합니다. Anthropic의 보안 문서에 따르면 Claude Code는 기본적으로 읽기 전용이며 더 위험한 작업에 대해서는 명시적인 승인을 요청합니다. 권한 모드 문서는 다음과 같이 말합니다. 계획 모드는 편집 전 읽기 전용 분석을 위해 설계된 반면 자동 분류기를 통해 프롬프트를 줄이고 바이패스 권한 는 격리된 환경에서만 검사를 해제합니다. 대부분의 팀에게 합리적인 강화 기준은 간단합니다. 계획 또는 익숙하지 않은 리포지토리의 경우 기본 모드로 설정하고, 이를 허용할 수 있는 모든 워크플로에 샌드박스를 활성화하고, 사용자가 확인 없이 실행할 수 있는 경우를 대폭 제한하세요. (Claude)

Anthropic의 문서에서도 프롬프트 인젝션에 대해 중요한 점을 지적하고 있습니다. 보안 페이지에 따르면 Claude 코드에는 프롬프트 주입에 대한 안전 장치가 포함되어 있으며, 권한 문서에는 샌드박스 제한이 Claude의 의사 결정에 영향을 주더라도 정의된 경계를 벗어난 배시 액세스를 차단할 수 있다고 나와 있습니다. 즉, 이 제품은 이미 모델 판단만으로는 충분하지 않다는 가정을 바탕으로 설계되었습니다. 방어자는 동일한 가정을 채택해야 합니다. "모델이 무엇이 안전한지 이해할 것이다"라는 가정에 의존하지 마세요. 샌드박싱, 거부 규칙 및 환경 분리를 사용하여 안전하지 않은 경로는 모델이 조향하더라도 실행할 수 없도록 하세요. (Claude)

권한 모드 문서는 대부분의 공급업체보다 다음과 같은 사항에 대해 솔직하게 설명합니다. 자동. Anthropic은 이 기능이 연구용 미리보기이며, 분류기를 추가하고, 안전을 보장하지 않는다고 말합니다. 문서에는 코드 다운로드 및 실행, 외부 엔드포인트로 민감한 데이터 전송, 파괴적인 소스 제어 작업, 프로덕션에 영향을 미치는 작업 등 분류기가 기본적으로 차단하는 항목에 대해서도 설명되어 있습니다. 이는 유용하지만, 방어자는 다음과 같은 사항을 주의해서 처리해야 한다는 의미이기도 합니다. 자동 를 제한적인 편의 모드가 아니라 주변 통제를 완화하기 위한 핑계로 사용해야 합니다. 워크플로우가 잘못된 작업을 한 번만 승인해도 사람이 불쾌해할 정도로 민감한 작업이라면 명시적인 검토와 좁은 경계가 필요할 만큼 민감한 작업입니다. (Claude)

클로드 코드의 확장성을 기반으로 구축하는 팀은 특히 후크, 플러그인, MCP 서버 및 하위 프로세스에 주의해야 합니다. 이러한 요소는 제어하면 강제 승수가 되고, 엉성하면 폭발 승수가 됩니다. Anthropic의 자체 릴리스 노트 소개 claude_code_subprocess_env_scrub=1 는 최상위 세션이 통제되고 있다고 느껴지는 경우에도 지원 프로세스를 통해 비밀이 확산될 수 있음을 상기시켜 줍니다. 사용 중인 환경에서 클레드 코드가 내부 리포지토리, 클라우드 API 또는 권한 있는 MCP 커넥터에 대한 액세스 권한을 부여하는 경우 주 프로세스가 헬퍼를 생성한 후 이러한 자격 증명이 어디로 흘러가는지 감사하세요. (GitHub)

권한이 있는 보안 팀에게 유용한 침해 패턴은 증거 우선 사용입니다. 코드 경로, 구성 에지, 의심되는 전제 조건에 대해 클로드 코드가 추론하도록 하세요. 이러한 추론이 익스플로잇 가능성에 대한 최종 결론이 되지 않도록 하세요. 자동화된 보안 검토는 기존의 보안 관행과 수동 검토를 대체하는 것이 아니라 보완해야 한다고 Anthropic은 말합니다. 이는 일반적으로 이러한 종류의 도구에 대한 건전한 기본값입니다. (Claude 도움말 센터)

이 글을 읽은 후 패키지 게시자가 변경해야 할 사항

패키지 퍼블리셔에게 중요한 교훈은 "소스 맵을 유출하지 말라"는 것이 아닙니다. 이는 실제 릴리스 파이프라인과의 접촉에서 살아남기에는 너무 얄팍합니다. 실제 교훈은 디버그 아티팩트에는 고유한 라이프사이클과 고유한 액세스 모델이 필요하다는 것입니다. 가능한 경우 소스 맵을 통합 가시성 백엔드에 비공개로 업로드하고, 공개 호스팅이 불가피한 경우 게이트 액세스를 사용하는 것이 올바른 아키텍처라고 Sentry의 설명서는 이미 지적하고 있습니다. 소스 맵을 또 다른 정적 자산으로 취급하면 이러한 예방 가능한 종류의 장애가 발생합니다. (센트리 문서)

오브젝트 스토리지도 동일한 규율을 적용해야 합니다. Cloudflare의 R2 문서에 따르면 퍼블릭 액세스는 기본적으로 사용 설정되어 있지 않으며 r2.dev 는 비프로덕션 사용 사례를 위한 공개 개발 URL입니다. 이 문구는 릴리스에 인접한 아티팩트를 저장하는 모든 사용자에게 정책 경고처럼 들릴 것입니다. 조직에서 디버그 아카이브, 심볼 번들 또는 임시 빌드 제품을 오브젝트 스토리지에 저장하는 경우, 공개 개발 엔드포인트는 이러한 제품을 저장하기에 부적절한 장소라고 가정하는 것이 안전합니다. 버킷 루트 리스팅을 사용할 수 없다고 해서 다른 아티팩트가 정확한 키를 공개할 수 있다면 오브젝트 노출이 안전하지 않습니다. (Cloudflare 문서)

또 다른 엔지니어링 교훈은 빌드 후 검사는 소스 트리가 아닌 최종 패키지에 대해 수행해야 한다는 것입니다. 팀에는 종종 리포지토리의 비밀을 금지하는 린터와 Docker 이미지를 스캔하는 CI 작업이 있습니다. 사용자가 사용하는 정확한 타르볼, zip 또는 CDN에 업로드된 개체 트리를 검사하는 팀은 훨씬 적습니다. Claude Code 사건은 그 전의 Astro 소스맵 권고와 마찬가지로 공개 아티팩트가 미묘한 방식으로 개발자의 정신 모델과 다를 수 있음을 상기시켜 줍니다. 패키지는 리포지토리 측면에서 "깨끗한" 상태일 수 있지만 빌드, 업로드 및 미러링이 완료되면 여전히 공개 경로를 제공할 수 있습니다. (GitHub)

배포 모델이 지원하는 경우 최소한의 웹 측 제어를 사용하는 것도 가치가 있습니다. 퍼블릭 웹 서버가 다음과 같은 서비스를 제공하지 않아야 하는 경우 .map 파일에 명시적으로 말하세요.

위치 ~* \.(js|css)\.map$ {
    반환 403;
}

이는 완전한 전략이 아닙니다. 패키지 관리자, CDN 또는 오브젝트 스토어가 아티팩트를 다른 곳에 노출하는 경우에는 도움이 되지 않습니다. 여전히 하나의 쉬운 실패 모드를 닫을 수 있습니다. 그리고 조직에서 디버깅을 위해 소스 맵이 필요한 경우, Sentry의 지침은 "소스 맵을 공개하고 아무도 눈치채지 않기를 바란다"는 것보다 더 나은 패턴을 제공합니다. (센트리 문서)

마지막 퍼블리셔 교훈은 문화입니다. 팀은 "소스에 비밀이 없다"고 해서 소스 공개를 무해한 것으로 취급하지 말아야 합니다. Astro 권고문은 즉각적인 영향은 소스 코드에 국한될 수 있지만, 공개된 소스를 통해 추가적인 취약점을 발견할 수 있다고 명시적으로 말합니다. OWASP는 테스트 가이드에서 보다 일반적으로 동일한 내용을 언급하고 있습니다. 에이전트 런타임의 경우 이러한 다운스트림 효과는 가설이 아닙니다. 구현 자체가 공격 표면의 일부입니다. (GitHub)

클로드 코드 소스 맵 유출

AI 해커 도구 무료 체험 >>

이와 같은 유출 후 화이트박스 발견에 블랙박스 증거가 필요한 이유

소스 공개 이벤트가 발생하면 그럴듯한 버그 이론이 쏟아져 나옵니다. 그 이론 중 일부는 맞을 것입니다. 대부분은 틀릴 것입니다. 다른 이론은 이전 빌드, 다른 배포 경로 또는 비활성화된 기능에만 적용될 것입니다. 그렇기 때문에 유출 후 보안 작업은 화이트박스 추론과 블랙박스 증명을 명확하게 분리해야 합니다. 보안 검토 기능은 문제를 찾는 데 도움이 되지만 광범위한 보안 관행을 보완하는 것이지 이를 대체하는 것이 아니라는 점을 좀 더 부드러운 언어로 설명합니다. (Claude 도움말 센터)

이러한 구분은 이 글을 영업 페이지로 만들지 않고도 Penligent를 언급할 수 있는 가장 유용한 부분이기도 합니다. Penligent의 자체 Claude 관련 자료는 일관되게 증거 우선 워크플로우를 주장합니다. 즉, Claude 코드를 사용하여 코드, 신뢰 경계 및 가능한 경로를 추론하고, 외부 검증을 사용하여 배포된 환경에서 이러한 경로가 도달 가능하고 의미 있는지 확인한 다음 수정 후 다시 테스트합니다. 읽기 쉬운 코드베이스는 어떤 팀이 기본적으로 발견한 것으로 간주해야 하는 것보다 더 많은 가설을 생성하기 때문에 소스 노출 이벤트 이후 올바른 자세입니다. (penligent.ai)

실제로 워크플로우는 간단합니다. 보안 팀은 화이트박스 검토에서 의심되는 권한 에지, 시작 순서 결함 또는 도구 호출 경로를 가져와 스테이징 또는 다른 승인된 환경에 대한 제어된 재테스트 계획으로 전환할 수 있습니다. Penligent와 같이 반복 가능한 검증 및 증거 캡처를 중심으로 구축된 플랫폼은 코드 검토를 쓸모없게 만드는 것이 아니라 도달 가능성, 관찰된 동작 및 재현 가능한 증거로 인수를 다시 강제하기 때문에 여기에 유용합니다. 이것이 바로 팀이 유출된 모든 구현 세부 사항을 유령의 크리티컬로 만드는 것을 방지하는 규율입니다. (penligent.ai)

그 반대의 경우도 마찬가지입니다. 코드 컨텍스트 없이 확인된 블랙박스 효과는 종종 깔끔하게 수정하는 데 더 느립니다. 그렇기 때문에 화이트박스에서 블랙박스로의 루프가 중요합니다. 클로드 코드는 의심되는 결함이 무엇을 해야 하는지를 설명하는 데 도움이 될 수 있습니다. 외부 유효성 검사는 배포된 시스템이 실제로 수행하는 작업을 테스트할 수 있습니다. 이 두 가지가 합쳐지는 지점이 바로 유용한 보안 작업이 이루어지는 곳입니다. (Claude 도움말 센터)

다음에 볼 내용

다음 공식적인 신호는 재게시된 스크린샷이 아닙니다. Anthropic 릴리스 노트, GitHub 릴리스, 패키지 배포 변경 사항 및 회사가 게시하기로 선택한 모든 공식 인시던트 커뮤니케이션에서 나올 것입니다. 여기에서 검토한 공식 출처를 기준으로 공개 릴리스 노트에는 다음과 같은 내용이 여전히 표시됩니다. 2.1.88 를 최신 클로드 코드 릴리스로 업데이트했으며, Anthropic의 문서에는 여전히 npm이 더 이상 사용되지 않는 호환성 경로로만 문서화되어 있습니다. 따라서 방어자는 패키징 또는 배포 후속 조치를 계속 주시해야 합니다. (Claude)

또한 공개 패키지 미러와 자체 내부 캐시를 살펴볼 가치가 있습니다. 공개 jsDelivr 페이지는 여전히 추적합니다. 2.1.88 를 에코시스템의 버전으로 유지합니다. 공급업체가 하나의 배포 경로를 제거하거나 변경하더라도 미러 존재와 로컬 캐시 지속성으로 인해 정리 및 포렌식의 확실성이 복잡해질 수 있습니다. 팀에서 확실한 해답이 필요한 경우, 환경에 실제로 저장되거나 설치된 정확한 아티팩트를 검사하세요. (jsDelivr)

클로드 코드보다 더 깊은 교훈이 있습니다. 에이전트 개발자 도구는 보안 검토 관점에서 볼 때 일반적인 소프트웨어가 아닙니다. 코드, 셸, 자격 증명, 클라우드 API, 원격 오케스트레이션 및 정책 사이의 경계에 위치합니다. 즉, 릴리스 아티팩트는 랩핑하는 런타임과 마찬가지로 심각하게 다뤄야 합니다. 해당 등급의 소프트웨어에서 소스 맵 유출은 단순히 외관상 당황스러운 일이 아닙니다. 빌드 파이프라인, 패키지 레지스트리, 개체 저장소 및 승인 모델이 모두 하나의 보안 시스템의 일부라는 사실을 상기시켜 줍니다. (Claude)

추가 읽기

인류학, 클로드 코드 개요 (Claude)
인류학, 클로드 코드 보안, 샌드박싱, 권한 및 권한 모드 (Claude)
인류학, 원격 제어 및 클로드 코드 데이터 사용량 (Claude)
인류학, 클로드 코드의 자동화된 보안 검토 (Claude 도움말 센터)
인류학, 클로드 코드 릴리스 노트 및 GitHub 릴리스다음을 포함합니다. v2.1.88 그리고 v2.1.83 (Claude)
Cloudflare, R2 공개 버킷 및 r2.dev 공개 개발 URL (Cloudflare 문서)
MDN, OWASP 및 Sentry 켜기 소스 맵, 정보 유출 및 디버그 아티팩트의 비공개 처리 (MDN 웹 문서)
Astro를 위한 GitHub 자문, 소스맵을 통한 서버 소스 공개 (GitHub)
클로드 코드에 대한 GitHub 자문, CVE-2025-52882, CVE-2025-59828, CVE-2025-58764, CVE-2025-64755 및 CVE-2026-21852 (GitHub)
Penligent, 펜테스트 코파일럿용 클로드 AI, 클로드 코드로 증거 우선 워크플로 구축하기 (penligent.ai)
Penligent, 클로드 코드 보안 및 펜리전트, 화이트박스 결과에서 블랙박스 증명까지 (penligent.ai)