오늘의 흐름 한 줄 정리
화요일 이후 코딩 에이전트는 “비동기 풀”로 분산되는 변화가 한 단계 더 굳었고, 같은 주간 AI 보안에서는 공격에도 방어에도 AI가 동시에 올라온 사건이 이어졌다. 본인은 두 흐름이 같은 신호로 보인다.
비동기·멀티세션으로 옮겨간 코딩 에이전트
Claude Code v2.1.139에 /goal 명령이 들어왔다. “모든 테스트 통과”, “PR 머지 가능 상태” 같은 완료 조건을 걸어두면 에이전트가 그 조건을 만족할 때까지 비동기로 돈다. 같은 시기 claude agents 명령으로 다중 세션을 한 화면에서 디스패치하고 목록으로 보는 Agent View가 Research Preview로 공개됐다. 본인이 보기에 두 변화의 함의는 같다 — 에이전트가 “터미널 탭에 묶인 동기 도구”에서 “백그라운드 풀에 띄워두고 결과를 모아 보는 도구”로 형태가 바뀐다.
운영자 입장에서 함정도 같이 드러났다. 프로젝트의 .env에 ANTHROPIC_API_KEY가 남아 있으면 Claude Code가 Pro/Max 구독이 아니라 그 키 기반 API 계정으로 사일런트 청구된다는 제보가 올라왔다. 한 사용자는 187달러를 잃었다. 비동기로 오래 돌릴수록 누수의 폭은 커진다.
같은 주간 AI 보안의 두 얼굴
방어 쪽에서는 Anthropic의 코드 보안 스캐너 Mythos가 curl 17.6만 라인을 훑어 확진 취약점 1건과 일반 버그 약 20건을 찾았다. curl 메인테이너 다니엘 스텐버그는 “유용하지만 비범하지는 않다”는 톤으로 결과를 받았다. 같은 주간 dnsmasq 메인테이너도 AI 기반 보안 연구로 발견된 6건의 CERT CVE를 공개하고 2.92rel2를 배포했다. 본인은 이쪽이 “AI 보안 도구의 평범화” 신호로 읽힌다.
공격 쪽에서는 TanStack npm 공급망 사고 포스트모템이 공개됐다. GitHub Actions 체이닝, 캐시 포이즈닝, OIDC 토큰 탈취가 결합된 사례다. AI가 직접 일으킨 사건은 아니지만, 같은 시점 Google이 보고한 “AI 작성 코드로 2FA 우회 zero-day” 사례와 묶어 보면 같은 도구셋이 양쪽에서 동시에 도달했다는 그림이 보인다.
한 줄 정리
비동기·멀티세션은 코딩 에이전트의 기본값을 바꾸고, AI 보안은 공격·방어 양쪽에서 같은 주간 같은 강도로 올라왔다. 본인은 두 흐름 모두 “다음 한 사건”보다 “동시에 도는 다섯 사건”이 다음 질문이라고 본다.
조회수: 2