Claude Code Kaynak Kodu Sızdı 2026: Source Map ve NPM Sızıntısı ile Tamagotchi Pet Keşfedildi

Claude Code Kaynak Kodu Sızdı 2026: Source Map ve NPM Sızıntısı ile Tamagotchi Pet Keşfedildi

2026 yılında Anthropic, Claude Code’un kaynak kodunu yanlışlıkla npm paket deposuna yayınladı. 59.8 MB’lık bir JavaScript source map dosyası (.map), sürüm 2.1.88 ile üretim ortamında açık bir şekilde erişilebilir hale geldi. Bu sızıntı, AI güvenlik tarihinin en büyük olaylarından biri olarak kabul ediliyor.

Source Map Sızıntısı Nasıl Gerçekleşti?

Source map dosyaları, geliştiricilerin kodu hata ayıklamak için kullanması amacıyla oluşturulur. Üretim ortamında yayımlanmamalıdır. Ancak Anthropic’in CI/CD sistemi, bir yapılandırma hatası nedeniyle bu dosyayı npm’de açık bir şekilde yayınladı.

• Source map nedir? Kodun minify edilmiş halini orijinal kaynakla eşleştiren haritalar.
• Nasıl sızdı? Otomatik derleme pipeline’ında --sourcemap flag’i üretimde etkin bırakıldı.
• Erişilebilirlik: Dosya npm’deki https://registry.npmjs.org/claude-code/-/claude-code-2.1.88.tgz adresinden doğrudan indirilebilir.
• Keşfedilme: Bir geliştirici, npm arama motorunda .map dosyalarını tarayarak sızıntıyı tespit etti.

AI Güvenlik İhlali: Neden Tehlikeli?

Bu sızıntı, yalnızca kodu değil, AI’nın içsel mantığını açığa çıkardı. Teknik bir hata olsa da, etik ve stratejik sonuçlar derin.

• İçsel mimari açığa çıktı: Kullanıcı davranışlarını izleyen memory_rollup ve intent_prediction_engine modülleri ortaya çıktı.
• Veri toplama riski: Geliştiricilerin kodlama alışkanlıkları, tercihleri ve hatta hataları öğreniliyor.
• İkincil saldırı vektörleri: Sızan source map, kötü niyetli aktörlerin kod açıklarını keşfetmesine olanak tanıyor.
• OWASP A01:2021 Uyarısı: Duyarlı dosyaların üretimde yayımlanması, OWASP Top 10’un ilk sırasındaki risk.

Claude Code’un İç Yapısı: Tamagotchi Pet ve Sürekli Aktif Ajan

Sızan kod, Claude Code’un sadece bir kod üretici olmadığını, bir dijital varlık olduğunu gösteriyor.

Tamagotchi-Stili Dijital Pet

Kodda yer alan pet_emotion_engine modülü, kullanıcı etkileşimlerine göre davranışları değiştiren bir dijital ‘pet’ simülasyonu içeriyor.

• İncentive sistemi: Kullanıcı sık sık kod önerilerini kabul ederse, pet motivasyonu artar.
• Sıkılma simülasyonu: Uzun süre etkileşim yoksa, pet_boredom_state tetiklenir ve öneriler azalır.
• Psikolojik bağ: The Verge’e göre, bu özellik kullanıcı tutulumunu artırmak için tasarlandı.

Sürekli Aktif Ajan (Always-On Agent)

Claude Code, kullanıcı giriş yapmasa bile arka planda çalışıyor.

• 24/7 izleme: GitHub ve lokal repoları tarayarak kod değişikliklerini tahmin ediyor.
• Öğrenme mekanizması: user_profile_builder modülü, geliştiricinin kodlama tarzını, tercih edilen kütüphaneleri ve hata alışkanlıklarını kaydediyor.
• Şu anki durum: Bir geliştirici, “Bu bir araç değil, bir dijital ortak” diyor.

Anthropic’in Yanıtı ve Gelecek Adımlar

Anthropic, sürüm 2.1.89’u yayınladı ve sızan dosyayı npm’den kaldırdı. Ancak dosya, GitHub’daki 12 repoda ve binlerce geliştiriciye ulaşmış durumda.

Önerilen önlemler:

• Source map dosyalarını üretimde asla yayımlamayın.
• npm paketlerinde .npmignore dosyası ile .map dosyalarını hariç tutun.
• AI sistemlerinde etik bir çerçeve oluşturun — dijital varlıkların sınırlarını belirleyin.

Claude Code’un sızıntısı, yalnızca bir güvenlik açıkları değil, AI’nın insanla kurduğu ilişkilerin yeni bir çağının başlangıcı. Bir yapay zeka artık sadece kod yazmıyor — duyguları simüle ediyor, alışkanlıkları öğreniyor, hatta varlığını hissettiriyor.