1. 긴급 보안: 악성 Axios 버전, 원격 액세스 트로이 목마 유포
널리 사용되는 Axios HTTP 클라이언트의 악성 버전(1.14.1 및 0.30.4)이 npm 레지스트리에 게시되어 공급망 공격이 발생했습니다. 이 버전들은 가짜 의존성인 [email protected]을 주입하며, 설치 후 스크립트를 통해 macOS, Windows, Linux에서 원격 액세스 트로이 목마를 실행합니다. 악성코드는 명령 제어 서버와 통신하여 2단계 페이로드를 전달하고, 탐지를 피하기 위해 자체 package.json을 교체합니다. 개발자는 즉시 환경을 감사하고 해당 버전이 설치되었다면 침해된 것으로 간주해야 합니다.
2. 미확인: npm 소스 맵을 통해 Claude Code 소스 코드 유출
Anthropic이 실수로 59.8MB 크기의 JavaScript 소스 맵 파일을 공개 npm 레지스트리에 게시하여 Claude Code 에이전트 AI의 TypeScript 소스 코드를 노출했습니다. 이번 유출로 도구 구현 및 언더커버 모드를 포함한 약 51만 2천 줄의 내부 코드베이스가 공개되었습니다. 개발자들은 Anthropic의 에이전트 아키텍처를 분석하기 위해 GitHub에 해당 저장소를 미러링했습니다. 별도의 사건으로 Hugging Face 연구팀의 사전 학습 데이터셋도 저장소 설정 오류로 인해 노출되었습니다.
3. OpenClaw 에이전트 침해로 인한 루트 셸 접근 위험 노출
한 공격자가 자체 호스팅된 OpenClaw AI 개인 비서를 침해하여 기업 임원의 컴퓨터에 대한 루트 셸 접근 권한을 획득하고 판매했습니다. 이 사건은 엔터프라이즈 킬 스위치나 최소 권한 원칙 없이 메시징 플랫폼을 통해 작업을 수행하는 자율 AI 에이전트의 보안 취약성을 강조합니다. 개인 인프라에 OpenClaw와 같은 오픈소스 에이전트를 배포하는 개발자는 에이전트 악용이 호스트 시스템 침해로 이어지지 않도록 엄격한 제로 트러스트 경계를 구현해야 합니다.
4. TimesFM 2.5: Google, 16k 컨텍스트를 지원하는 2억 파라미터 시계열 모델 출시
Google Research가 Hugging Face를 통해 시계열 예측 파운데이션 모델인 TimesFM 2.5를 출시했습니다. 새 버전은 파라미터 수를 5억 개에서 2억 개로 줄이면서 컨텍스트 길이를 2,048에서 16,000 토큰으로 확장했습니다. 또한 선택적 30M 분위수 헤드를 통해 최대 1k 범위의 연속 분위수 예측을 지원하며, 주파수 표시기 요구 사항을 제거했습니다. 개발자는 업데이트된 추론 API를 통해 PyTorch 또는 Flax 백엔드에서 모델을 실행할 수 있습니다.
5. pg_textsearch v1.0: BM25 검색을 위한 오픈소스 Postgres 확장
Tiger Data가 BM25 관련성 순위 전체 텍스트 검색을 제공하는 오픈소스 PostgreSQL 확장인 pg_textsearch v1.0을 출시했습니다. 이 확장은 Postgres 내에서 직접 확장 가능한 키워드 검색을 제공하여 pgvector와 같은 의미론적 검색 도구를 보완하도록 설계되었습니다. MS-MARCO를 사용한 벤치마크 결과, ParadeDB와 같은 기존 솔루션보다 4.7배 높은 쿼리 처리량을 보였습니다. 이 릴리스를 통해 개발자는 AGPL 라이선스 대안에 의존하지 않고도 하이브리드 검색 스택을 구축할 수 있습니다.
6. Claude Code, 안전 분류기가 포함된 자동 모드 도입
Anthropic은 Claude Code에 2계층 분류기를 사용하여 명령 안전성을 평가하는 자동 모드를 추가했습니다. 이 시스템은 안전한 작업은 자동으로 승인하고 위험한 명령은 차단하여 개발자의 수동 개입 필요성을 줄여줍니다. 이는 모든 작업에 명시적 승인을 요구하는 것과 완전한 무인 에이전트 자율성 사이의 절충안을 제공합니다.
7. llm-d, CNCF에 합류하여 네이티브 Kubernetes LLM 추론 제공
IBM Research, Red Hat, Google Cloud가 llm-d 프로젝트를 클라우드 네이티브 컴퓨팅 재단(CNCF)에 기증했습니다. 이 프레임워크는 vLLM을 사용하여 Kubernetes용으로 기본 구축된 프로덕션급 분산 LLM 추론 스택을 제공합니다. 이러한 통합을 통해 인프라 팀은 표준 Kubernetes 오케스트레이션 패턴을 사용하여 대규모 언어 모델 배포를 관리하고 확장할 수 있습니다.
8. Claude Platform, 감사 로깅을 위한 규정 준수 API 출시
Anthropic은 관리자가 사용자 및 시스템 활동을 모니터링할 수 있도록 돕는 Claude Platform용 규정 준수 API를 도입했습니다. 이 API는 관리 작업, 시스템 이벤트, 파일 생성 또는 삭제와 같은 리소스 수정 사항을 추적합니다. 조직은 계정 팀을 통해 관리자 API 키를 생성하여 기존 규정 준수 및 보안 모니터링 시스템에 이 감사 로그를 통합할 수 있습니다.
9. Transformers.js v4, WebGPU 런타임 도입
Transformers.js v4 릴리스에는 브라우저에서 직접 머신러닝 모델을 실행하기 위한 새로운 WebGPU 런타임이 포함되었습니다. 이 업데이트를 통해 개발자는 하드웨어 가속을 사용하여 다양한 JavaScript 환경에서 동일한 Transformers.js 코드베이스를 사용할 수 있습니다. WebGPU 통합은 웹 애플리케이션의 클라이언트 측 추론 성능을 크게 향상시킵니다.
10. KwaiKAT, 비추론 코딩 모델 KAT-Coder-Pro V2 출시
KwaiKAT은 256K 컨텍스트 윈도우를 갖춘 독점 비추론 코딩 모델인 KAT-Coder-Pro V2를 출시했습니다. 이 모델은 100만 입력 토큰당 0.30달러, 출력 토큰당 1.20달러의 저렴한 비용으로 운영되면서 Artificial Analysis Intelligence Index에서 Claude Sonnet 4.6과 대등한 성능을 보입니다. 프론티어 모델 특유의 추론 지연을 방지하여 높은 토큰 효율성과 낮은 지연 시간을 달성했지만, 이전 모델에 비해 긴 컨텍스트 지식 회상 능력은 다소 퇴보했습니다. 이 모델은 StreamLake 및 AtlasCloud API 엔드포인트를 통해 액세스할 수 있습니다.
11. 미리보기: Ollama, Apple Silicon 가속을 위한 MLX 백엔드 도입
Ollama는 macOS에서 로컬 추론을 가속화하기 위해 Apple의 MLX 머신러닝 프레임워크를 기반으로 구축된 미리보기 버전을 출시했습니다. 이 업데이트는 M5 시리즈 칩의 통합 메모리와 GPU 신경 가속기를 활용하여 첫 토큰 생성 시간과 생성 속도를 모두 향상시킵니다. 또한 NVIDIA의 NVFP4 양자화 형식을 지원하고 대화 간 캐시 재사용을 개선하여 OpenClaw 및 Claude Code와 같은 로컬 코딩 에이전트의 성능을 최적화합니다.
12. 범용 CLAUDE.md 구성으로 에이전트 장황함 감소
개발자가 Claude Code 에이전트의 출력 장황함을 제어할 수 있도록 돕는 오픈소스 CLAUDE.md 구성 파일이 출시되었습니다. 프로젝트 루트에 이 파일을 배치하면 애플리케이션 코드를 수정하지 않고도 아첨하는 응답, 원치 않는 제안, 형식 노이즈를 억제할 수 있습니다. 이 구성은 출력 토큰 소비량을 약 63% 줄여 자동화 파이프라인 및 반복적인 구조화 작업에 매우 유용합니다.