앤트로픽, 실수로 ‘클로드코드’ 소스코드 유출...메모리 아키텍처 등 핵심 기술 외부 공개

[디지털투데이 황치규 기자]앤트로픽이 에이전트 AI 코딩툴인 클로드 코드(Claude Code) 내부 소스코드를 실수로 공개하는 해프닝이 벌어졌다.

앤트로픽은 31일(현지시간) 공식 입장을 내고 "클로드 코드 배포 과정에서 일부 내부 소스코드가 포함됐다. 고객 데이터나 인증 정보는 노출되지 않았다. 이번 사건은 보안 침해가 아닌 패키징 과정에서 발생한 인재"라고 밝혔다.

벤처비트에 따르면 유출은 버전 2.1.88이 자바스크립트 개발자들이 코드 패키지를 올리고 내려받는 공개 저장소인 npm(Node Package Manager)에 배포되면서 시작됐다. 59.8메가바이트 규모 자바스크립트 소스맵 파일이 패키지에 포함됐고 솔레이어 랩스(Solayer Labs) 인턴 개발자 샤오판 쇼우(@Fried_rice)가 X(트위터)를 통해 이같은 사실을 공개했다.

이후 몇 시간 만에 약 51만2000줄 규모 타입스크립트 코드베이스가 깃허브에 복제됐고, 개발자 수천여명이 이를 분석했다.

앤트로픽은 연간 환산매출 190억달러 규모로 성장했고 클로드 코드 연간 반복 매출(ARR)만 25억달러를 넘어섰다. 클로드 코드 ARR은 올해 초 대비 두 배 이상 증가하며 고성장을 구가하는 상황이다. 이런 가운데 클로드 코드 소스코드가 유출된 것은 경쟁사들에게 상업적으로 검증된 AI 에이전트 설계 방식을 그대로 공개한 셈이라고 벤처비트는 전했다.

벤처비트에 따르면 유출된 코드 중 가장 주목 받는 부분은 메모리(기억) 아키텍처다. 앤트로픽은 AI 에이전트가 장시간 작업할수록 혼란에 빠지는 이른바 '컨텍스트 엔트로피'(context entropy) 문제를 해결하기 위해 3단 메모리 구조를 구현했다. 핵심은 메모리.md(MEMORY.md) 파일로, 데이터가 아니라 위치 정보만 저장하는 경량 인덱스 역할을 한다. 실제 프로젝트 정보는 별도 토픽 파일에 분산 저장되며, 에이전트는 필요할 때만 해당 파일을 불러오는 방식이다.

코드는 '카이로스(KAIROS)'라는 기능에 대한 부분도 포함하고 있다. 소스 전반에 걸쳐 150회 이상 언급된 이 기능은 사용자가 자리를 비운 시간에 에이전트가 메모리를 정리하고 모순된 정보를 제거하는 백그라운드 작업 모드라고 벤처비트는 전했다.

모델 로드맵도 일부 공개됐다. 소스코드에 따르면 '카피바라(Capybara)'는 클로드 4.6 변형 버전 내부 코드명이며, '페넥(Fennec)'은 오퍼스(Opus) 4.6, '넘뱃(Numbat)'은 아직 테스트 중인 미출시 모델이다. 내부 주석에는 카피바라 v8 버전에서 허위 주장 비율이 29~30%에 달한다는 내용도 담겼다. v4에서 기록한 16.7%보다 오히려 높아진 수치다.