📌 오늘의 픽
- 🤖 Google Gemma 4 공개 — Apache 2.0 라이선스, 31B 모델이 Elo 1452로 자기 크기 20배 모델 압도
- 🔓 Claude Code 소스코드 npm 소스맵 유출 — 2,000개 TypeScript 파일, 51만 줄 전체 노출. 미공개 기능 대거 발견
- ⚠️ LiteLLM PyPI 공급망 공격 사후 보고서 — Trivy 취약점 → PyPI 토큰 탈취 → 12만 회 다운로드. 포크 폭탄 버그로 발각
- 🚀 es-toolkit, npm 주간 1,000만 다운로드 돌파 — 토스 프론트엔드 팀의 lodash 대체 라이브러리, 글로벌 확산
- 💼 Bloomberg "Vibe Coding이 만드는 새로운 FOMO" — 비개발자까지 AI 코딩 도구 채택, 생산성 압박 심화
🤖 1. Google Gemma 4 공개 — 오픈 모델의 새 기준
Google DeepMind가 4월 2일 Gemma 4를 공개했습니다.
이번에 달라진 점이 꽤 많습니다.
모델 라인업:
모델 파라미터 용도
| Gemma 4 2B Effective | 20억 | 모바일/엣지 |
| Gemma 4 4B Effective | 40억 | 모바일/엣지 |
| Gemma 4 26B MoE | 260억 | 서버 (Elo 1441, 6위) |
| Gemma 4 31B Dense | 310억 | 서버 (Elo 1452, 3위) |
Gemma 3 대비 성능 향상:
벤치마크 Gemma 3 Gemma 4
| AIME 2026 (수학) | 20.8% | 89.2% |
| LiveCodeBench (코딩) | 29.1% | 80.0% |
| GPQA (과학) | 42.4% | 84.3% |
310억 파라미터로 자기보다 20배 큰 모델을 이기는 건 꽤 인상적입니다.
그리고 처음으로 Apache 2.0 라이선스를 적용했습니다. 커스텀 사용 정책도, 종료 조항도 없습니다. 상업적 사용에 법적 리뷰 마찰이 사라진 셈입니다.
context window 256K, 140개 이상 언어 지원, 네이티브 비전/오디오 처리, function calling, JSON 구조화 출력까지 지원합니다.
Hugging Face, Ollama, vLLM, llama.cpp, LM Studio 등 주요 생태계에서 Day-1 지원 중입니다.
📎 Google 공식 블로그 | Google Cloud 블로그 | Engadget
🔓 2. Claude Code 소스코드, npm 소스맵으로 전체 유출
3월 31일, Anthropic의 CLI 코딩 에이전트 Claude Code 전체 소스코드가 npm에 실수로 포함되어 공개됐습니다.
보안 연구원 Chaofan Shou가 @anthropic-ai/claude-code 패키지 v2.1.88에서 59.8MB짜리 소스맵 파일을 발견했습니다. 약 2,000개 TypeScript 파일, 51만 2천 줄의 코드가 그대로 노출됐습니다.
원인은 Bun 번들러. Bun은 소스맵을 기본으로 생성하는데, 명시적으로 끄지 않으면 빌드 결과물에 포함됩니다. Anthropic 측은 "패키징 과정의 휴먼 에러"라고 발표했습니다.
유출된 코드에서 발견된 것들:
- 44개 feature flag — 완성됐지만 아직 출시되지 않은 기능들
- KAIROS 모드 — 사용자가 타이핑하지 않아도 알아서 관찰하고 행동하는 상시 실행형 어시스턴트
- 타마고치 시스템 — 종별 18종, DEBUGGING/CHAOS/SNARK 같은 스탯을 가진 동반자 시스템
- 내부 코드네임 — Capybara = Claude 4.6 변형, Fennec = Opus 4.6, Numbat = 미출시
- Undercover Mode — 내부 정보 유출을 막기 위한 시스템… 인데 소스코드 자체가 유출됨
GitHub에 올라온 복제 저장소는 이미 3만 스타, 4만 포크를 넘겼습니다.
더 심각한 건, 유출 직후 공격자들이 이를 악용해 타이포스쿼팅 공격을 시도했다는 점입니다. 3월 31일 00:21~03:29 UTC 사이에 npm으로 Claude Code를 설치한 경우, 악성 axios 패키지(RAT 포함)를 받았을 수 있습니다.
Anthropic은 현재 npm 대신 네이티브 인스톨러 사용을 권장하고 있습니다.
📎 VentureBeat | The Hacker News | DEV Community | Cybernews
⚠️ 3. LiteLLM 공급망 공격 — PyPI 사후 보고서 공개
PyPI가 4월 2일 LiteLLM/Telnyx 공급망 공격에 대한 공식 사후 보고서를 발표했습니다.
공격 경로:
- 공격 그룹 TeamPCP가 Trivy 보안 스캐너를 먼저 침해
- LiteLLM의 CI/CD 파이프라인이 Trivy를 버전 고정 없이 사용 중이었음
- 침해된 Trivy가 GitHub Actions 환경에서 PyPI 배포 토큰을 탈취
- 탈취한 토큰으로 litellm v1.82.7, v1.82.8 악성 버전 배포
악성 페이로드가 하는 일:
- Python 인터프리터 시작 시 자동 실행되는 .pth 파일 설치
- SSL/SSH 키, 클라우드 인증정보, K8s 설정, Git 인증, API 키, 암호화폐 지갑 등 탈취
- Kubernetes 클러스터 횡이동 시도
- systemd 백도어 설치
발각 경위가 아이러니합니다. 악성코드 구현 결함으로 재귀적 포크가 발생해 포크 폭탄이 되어 머신이 크래시했습니다. Andrej Karpathy도 "이 버그가 없었으면 훨씬 오래 발견되지 않았을 것"이라고 언급했습니다.
공격 기간 동안 12만 회 이상 다운로드됐고, AI 채용 플랫폼 Mercor는 4TB 데이터 유출 피해를 입었습니다.
해당 버전을 설치한 경우, 모든 API 키와 인증정보를 즉시 교체해야 합니다. 안전한 버전은 v1.83.0입니다.
📎 PyPI 공식 보고서 | InfoQ | Snyk | BleepingComputer
🚀 4. es-toolkit, npm 주간 다운로드 1,000만 돌파
토스 프론트엔드 팀이 만든 JavaScript 유틸리티 라이브러리 es-toolkit이 npm 주간 다운로드 1,000만 건을 넘겼습니다.
한국에서 만든 글로벌 스케일 JavaScript 라이브러리는 거의 최초입니다.
lodash 대비 성능:
항목 lodash es-toolkit 개선
| sample 번들 크기 | ~2,000 bytes | 88 bytes | 96% 감소 |
| omit 런타임 속도 | 기준 | 11.8배 빠름 | — |
| 전체 번들 크기 | 기준 | 최대 97% 감소 | — |
ES Modules와 TypeScript 기반으로 처음부터 새로 설계했고, es-toolkit/compat으로 lodash 100% 호환 드롭인 교체가 가능합니다.
현재 Microsoft, Yarn, Storybook, IBM, Recharts 등이 사용 중입니다.
마이그레이션도 간단합니다. package.json에 "lodash": "npm:es-toolkit@^1.44.0"만 추가하면 됩니다.
💼 5. Bloomberg — "Vibe Coding이 만드는 새로운 FOMO"
Bloomberg이 4월 5일 "Vibe Coding"과 AI FOMO에 대한 기사를 냈습니다.
Andrej Karpathy가 2025년 2월 만든 용어 "Vibe Coding" — AI에 완전히 맡기고 분위기로 코딩하는 것. 1년 지난 지금, 개발자뿐 아니라 마케터, 작가, 광고인까지 AI 코딩 도구를 쓰기 시작했습니다.
현재 수치들:
- 미국 개발자 92%가 AI 코딩 도구를 매일 사용
- 전 세계 코드의 41%가 AI 생성
- Fortune 500 기업 87%가 최소 1개 이상의 vibe coding 플랫폼 도입
하지만 이면도 있습니다.
- AI 생성 코드의 24.7%에 보안 결함 존재
- 개발자 63%가 "AI 코드 디버깅에 직접 작성보다 더 많은 시간 소요" 응답
Bloomberg은 이를 "새로운 종류의 생산성 압박"으로 진단합니다. 도구를 안 쓰면 뒤처지는 느낌, 쓰면 쓰는 대로 디버깅에 시간을 뺏기는 딜레마입니다.
📎 Bloomberg (유료) | Bloomberg - AI FOMO (유료)
💬 에디 코멘트
이번 주는 보안 쪽이 정말 뜨겁습니다. Claude Code 소스맵 유출, LiteLLM 공급망 공격… 둘 다 "빌드 과정의 사소한 설정 하나"가 원인이었습니다.
Bun이 소스맵 기본 생성하는 거, Trivy를 버전 고정 없이 쓴 거. 알고 보면 누구나 할 수 있는 실수인데 결과가 너무 크네요 ㅠ
그리고 es-toolkit 주간 1,000만은 진짜 대단합니다. 한국 팀이 만든 라이브러리가 Microsoft랑 Storybook에서 쓰인다니. lodash 쓰시는 분들, 한번 바꿔보시는 것도 좋겠습니다 ㅎ
🔗 전체 링크 모음
- 🤖 1. Google Gemma 4 공개 — Google 공식 블로그
- 🔓 2. Claude Code 소스코드 유출 — VentureBeat
- ⚠️ 3. LiteLLM 공급망 공격 보고서 — PyPI 공식
- 🚀 4. es-toolkit 1,000만 다운로드 — 토스 기술블로그
- 💼 5. Vibe Coding과 AI FOMO — Bloomberg
'개발 트렌드 > 데일리 픽' 카테고리의 다른 글
| 2026년 4월 8일 개발 트렌드 — Anthropic OpenAI 추월, Linux 7.0 PostgreSQL 성능 이슈 (0) | 2026.04.08 |
|---|---|
| 2026년 4월 7일 개발 트렌드 — Gemma 4 출시, Apple eGPU 드라이버 승인 (0) | 2026.04.07 |
| 2026년 4월 5일 개발 트렌드 — Claude Code 유출·Mythos·Gemma 4 (0) | 2026.04.05 |
| 2026년 4월 4일 개발 트렌드 — Anthropic Mythos 사이버보안 경고, Google Gemma 4 출시 (0) | 2026.04.04 |
| 2026년 4월 3일 개발 트렌드 — Claude Code 소스코드 유출, OpenAI $122B 펀딩, Copilot opt-out 마감 임박 (0) | 2026.04.03 |