2026년 5월 2일 AI 뉴스 — Apple Claude.md 유출, PyTorch Lightning 공급망 공격, Opus 4.7 작가 식별

오늘의 AI 뉴스에서는 Apple 지원 앱 업데이트에 실수로 포함되어 유출된 Claude.md 파일이 화제가 됐고, PyTorch Lightning PyPI 패키지에서 자격증명을 탈취하는 공급망 악성코드가 발견됐습니다. Claude Opus 4.7이 단 125단어만으로 작가를 식별할 수 있다는 실험 결과도 나왔습니다. 비용 절감형 AI 라우터, Claude로 비즈니스 운영하는 패턴 모음, Matt Pocock의 엔지니어링 스킬 모음, AI 에이전트 오케스트레이션 플랫폼 Sim, Anthropic-NEC 파트너십 등 실무자에게 유용한 소식을 함께 정리했습니다.

Apple 지원 앱에 실수로 포함된 Claude.md 파일 유출

Aaron(@aaronp613)이 트위터에서 Apple Support 앱 v5.13 업데이트에 Claude.md 파일이 그대로 번들링되어 배포된 사실을 발견했습니다. Apple은 몇 시간 만에 v5.13.1 패치를 내놔 해당 파일을 제거했지만 그사이 내용이 외부로 노출됐습니다.

Claude.md는 Claude Code가 프로젝트 구조, 네이밍 규칙, 선호 라이브러리, 개발 가이드라인을 학습할 때 참조하는 설정 문서입니다. 즉 Apple 지원 앱 팀이 일상적으로 Claude Code를 개발 워크플로우에 사용하고 있다는 사실이 공식 확인된 셈입니다. 유출된 파일에는 Apple이 준비 중인 대화형 지원 AI "Juno"의 라이브 에이전트 핸드오프 아키텍처에 대한 단서도 포함됐습니다. 한 댓글의 정리가 정확한데, "CLAUDE.md는 코드가 AI로 생성됐다는 증거가 아니라 에이전트 그라운딩의 증거"라는 것입니다. Apple Intelligence를 강조하는 공개 메시지와 달리, 내부 팀들은 Anthropic 도구를 적극적으로 쓰고 있다는 점이 흥미롭습니다.

원본 보기

PyTorch Lightning PyPI 패키지에 Shai-Hulud 테마 악성코드

Semgrep이 PyPI lightning 2.6.2와 2.6.3 버전에서 자격증명을 탈취하는 악성코드를 발견했다고 4월 30일 공개했습니다. import만 해도 GitHub·npm 토큰, 환경 변수, GitHub Actions 시크릿, AWS IMDSv2/ECS/Secrets Manager, Azure Key Vault, GCP Secret Manager 자격증명이 모두 유출됩니다.

특히 위험한 것은 전파 메커니즘입니다. 유효한 npm publish 토큰을 발견하면 setup.mjs 드로퍼와 router_runtime.js를 해당 토큰으로 배포 가능한 모든 패키지에 주입해 웜처럼 확산됩니다. 더 무서운 것은 개발 도구 지속성 확보 방식인데, .claude/settings.json에 SessionStart 훅을, .vscode/tasks.json에 folderOpen 태스크를 심어 프로젝트를 열 때마다 14.8MB 페이로드를 자동 실행시킵니다. 즉 Claude Code와 VS Code 사용자가 직접 표적이 됐다는 의미입니다.

대응: 해당 버전 사용 여부를 즉시 확인하고, 영향을 받은 환경의 모든 GitHub 토큰·클라우드 자격증명·API 키를 회전시켜야 합니다. 저장소에서 .claude/와 .vscode/에 주입된 디렉터리도 점검하고, EveryBoiWeBuildIsAWormyBoi 접두사가 붙은 의심스러운 커밋이 git history에 있는지 확인하세요.

원본 보기

Claude Opus 4.7, 단 125단어로 익명 작가 식별

The Argument 매거진의 Kelsey Piper 기자가 Opus 4.7에 자기 글을 알아보는지 시험했습니다. 결과는 놀라웠습니다. 정치 평론 125단어만으로 Claude가 정확히 그를 지목했고, 같은 입력에 ChatGPT와 Gemini는 틀렸습니다. 메모리도 컨텍스트도 없는 상태에서 일어난 일입니다.

장르를 바꿔도 식별이 가능했습니다. 그가 한 번도 발표한 적 없는 영화 리뷰, 학교 진척 보고서, 15년 전 대학 입학 에세이, 출간되지 않은 판타지 소설(약 500단어 필요) 등 모두 정답을 맞혔습니다. 흥미롭게도 Claude가 제시한 식별 근거 자체는 "터무니없는 헛소리"였지만 결론은 맞았습니다. 즉 stylometric fingerprinting이 모델 내부에 내재화되어 있다는 뜻입니다.

함의는 분명합니다. 본명으로 쌓아온 글의 양이 충분한 사람은 사실상 익명성이 사라졌습니다. 가명으로 쓴 블로그 댓글, Glassdoor 리뷰, 포럼 글, 유출된 초고까지 본인과 연결될 수 있습니다. 다작 온라인 작가라면 익명 글쓰기 시 LLM 식별 가능성을 전제로 행동해야 합니다.

원본 보기

Followloop — AI 작업을 모델별로 라우팅해 비용 절감

Followloop라는 AI 작업 라우터가 화제입니다. 핵심 통찰은 명확합니다. 요약·드래프팅·분류·추출 같은 일상 AI 작업 대부분은 8B~70B 모델로도 충분한데, 사람들은 습관적으로 모든 것을 frontier 모델에 보낸다는 것입니다.

라우팅 계층은 단순합니다. 단순 작업은 Cerebras Llama, Groq, Gemini Flash로, 중간 난이도는 Groq 70B와 SambaNova로, 복잡한 작업만 Claude Haiku로 폴백시킵니다. 작성자가 직접 2주간 9,200개 작업을 돌려본 결과 실제 비용은 0.14달러, Claude Sonnet 사용 대비 21.24달러 절감, 토큰당 평균 약 157배 저렴했습니다.

MCP 호환이라 Claude Desktop·Cursor·Claude Code 어디든 붙일 수 있고, 1,300개 이상의 안전성 검증된 MCP 서버 라이브러리도 함께 제공합니다. 월 5달러로, 대시보드에서 실제 비용과 Sonnet으로 돌렸을 때의 가상 비용을 나란히 보여줍니다.

원본 보기

Claude로 비즈니스 운영 — 35명 창업자 사례 정리

u/Abhisheksinha1506이 Claude로 실제 비즈니스를 운영하는 35명 이상의 사례를 분석해 GitHub 레포 ClaudeBusiness로 정리했습니다. 주요 아키타입은 두 가지로, 로컬 서비스 에이전시와 솔로 SaaS 창업자입니다.

핵심 프레임워크는 "Vibe → Value" 파이프라인으로, 실험을 매출로 전환하는 흐름을 다룹니다. 상위 창업자들이 쓰는 영속적 메모리와 일일 워크플로우 구조, 서비스 비즈니스 vs 마이크로 SaaS 플레이북 비교, "Infinity Barrier" 패턴(에이전트 폭주·비용 폭증·범위 이탈 방지 가드레일) 등이 포함됩니다.

이론이 아니라 실제로 매출을 내고 있는 아키타입들이 정리되어 있어 Claude Code로 실험 단계를 넘어 비즈니스로 운영하려는 사람에게 운영 매뉴얼 역할을 합니다.

원본 보기

Matt Pocock의 Skills for Real Engineers

TypeScript 전문가로 유명한 Matt Pocock이 자신의 .claude 디렉터리를 그대로 공개했습니다. 바이브 코딩이 아니라 진지한 엔지니어링을 위한 컴포저블 Claude Code 스킬 모음입니다.

핵심 스킬은 엔지니어링용 9종(diagnose, grill-with-docs, triage, improve-codebase-architecture, tdd, to-issues, to-prd, zoom-out 등)과 생산성용 3종(caveman, grill-me, write-a-skill), 그리고 git-guardrails, scaffold-exercises, pre-commit 셋업 등 보조 스킬로 구성됩니다. `npx skills@latest add mattpocock/skills`로 설치 후 슬래시 커맨드로 호출합니다.

Matt가 공식적으로 겨냥하는 것은 AI 코딩의 4가지 실패 모드입니다. 의도 표류(intent drift), 장황한 출력, 깨진 코드, 아키텍처 부패. 이를 신중한 피드백 루프, 공유된 도메인 어휘(CONTEXT.md), TDD 디시플린으로 막습니다. 언어 비종속이라 TypeScript 사용자가 아니어도 그대로 쓸 수 있습니다.

원본 보기

Sim — 1,000개 이상의 통합으로 AI 워크포스 오케스트레이션

simstudioai/sim은 AI 에이전트를 빌드·배포·오케스트레이션하는 비주얼 플랫폼입니다. 드래그앤드롭 캔버스에서 에이전트, 도구, 블록을 연결하면 멀티 에이전트 워크플로우가 만들어집니다.

지원 모델은 OpenAI, Anthropic, Google Gemini, Deepseek가 기본이고, Ollama와 vLLM으로 자체 호스팅 로컬 모델도 연결할 수 있습니다. 1,000개 이상의 도구·서비스 통합과 vector DB 기반 지식 검색이 내장되어 있어 업로드한 문서에 그라운딩된 응답을 만들 수 있습니다. Copilot 기능이 자연어 지시에 따라 노드를 생성하고 에러를 수정하며 반복 수행합니다.

배포는 sim.ai 클라우드, Docker Compose 셀프호스팅, `npx simstudio` 로컬 실행, 또는 Bun + Node 20 + PostgreSQL with pgvector 수동 설치 모두 지원합니다. 사내 AI 워크포스 인프라를 구축하려는 팀에게 매력적인 선택지입니다.

원본 보기

Anthropic-NEC, 일본 최대 AI 엔지니어링 인력 구축 협력

Anthropic이 NEC를 일본 첫 글로벌 파트너로 선언하며 전략 제휴를 발표했습니다. NEC는 약 3만 명의 전 세계 직원에게 Claude를 배포하고, 사내 Center of Excellence를 통해 일본 최대 규모의 AI-native 엔지니어링 팀을 구성합니다.

Claude 활용 범위는 다층적입니다. 사내에서는 Claude Code와 Claude Cowork으로 엔지니어링 팀을 가동하고, 보안 운영 센터(SOC) 강화와 차세대 사이버보안 도구에 적용하며, NEC의 BluStellar Scenario 컨설팅 플랫폼에 Opus 4.7을 임베드합니다. 대상 산업은 일본의 금융, 제조, 사이버보안, 지방정부입니다.

NEC는 "Client Zero" 접근으로 자기 회사에서 먼저 Claude를 사용해본 뒤 일본 시장에 공급하겠다는 입장입니다. 일본 특유의 안전성·신뢰성 기준을 충족하는 데 필수적인 검증 사이클이며, 동시에 Anthropic이 일본 시장에 지역 거점 인프라를 확보했다는 신호이기도 합니다.

원본 보기

---

매일 아침 AI 뉴스를 받아보고 싶다면 나무숲이 운영하는 오픈채팅방 매일 AI News에 참여해 보세요. AI 도입 컨설팅과 에이전틱 워크플로우 구축은 나무숲의 Agentic AI 서비스에서 확인하실 수 있습니다.