Claude Code Source Map Sızıntısı 2026: Anthropic Güvenlik Hatası 231+ Proje Etkilendi

Anthropic’ın yapay zeka tabanlı kodlama aracı Claude Code, 31 Mart 2026’da yayınlanan npm paket sürümü 2.1.87’deki bir source map sızıntısı nedeniyle binlerce geliştiricinin kaynak kodlarını ve içsel yapılarını açığa çıkarttı. Bu Anthropic güvenlik hatası, yalnızca bir teknik hata değil, AI-assisted geliştirme ekosistemindeki en kritik güvenlik çöküşlerinden biri olarak tarihe geçti. 231 bağımlı proje ve 757+ Claude Agent SDK kullanan sistem etkileniyor.

Claude Code Source Map Sızıntısının Teknik Nedeni

Source map dosyaları, derlenmiş kodun orijinal kaynak koduna olan haritalamayı sağlar. Üretim ortamlarında bu dosyaların bulunması, saldırganlar için bir harita demektir. Ancak Claude Code’un 2.1.87 sürümü, .map dosyalarını npm paketleme sürecinde yanlışlıkla üretim dağıtımına dahil etti.

1. NPM Paketleme Hatası

Nils Durner’in analizine göre, npm install @anthropic-ai/claude-code komutu, hem derlenmiş JavaScript dosyalarını hem de .ts.map ve .js.map dosyalarını aynı dizine yerleştiriyordu. Bu, geliştiricilerin projelerine entegre ettikleri araçta, kendi lokal kaynak kodlarının tamamını dışarıya açıyor demekti.

2. Debug Dosyaları Üretimde Kalması

Anthropic, source map’leri yalnızca geliştirme ortamında kullanılmak üzere bırakmayı amaçlamıştı. Ancak CI/CD pipeline’larında production profilinin source map çıkarımını kontrol eden bir kural yoktu. Bu, otomatik güncellemelerle binlerce geliştiricinin tehlikeli sürümü otomatik olarak kurmasına neden oldu.

3. .env.sh Dosyalarına Erişim

Source map dosyaları, .env.sh gibi gizli yapılandırma dosyalarındaki değişken isimlerini (örn. AWS_ACCESS_KEY_ID) doğrudan içerebiliyordu. Bu, bulut kimlik bilgilerinin kaynak koduyla birlikte dışarıya sızmasına neden oldu.

Claude Agent SDK ile Zincirleme Tehdit

Claude Agent SDK, 757 kurumsal projede kullanılıyor ve AWS Bedrock üzerinden Claude modellerine erişim sağlıyor. Bu SDK, geliştiricilerin .env.sh dosyalarına kimlik bilgilerini kaydetmesini gerektiriyordu.

1. Kimlik Bilgisi Sızıntısı Örneği

Bir geliştirici, const apiKey = process.env.AWS_SECRET_ACCESS_KEY satırını kullandığında, bu değişkenin ismi source map dosyasında açıkça yer alıyordu. Saldırgan, bu dosyayı inceleyerek AWS anahtarını doğrudan okuyabiliyordu.

2. Finans ve Sağlık Sektörlerindeki Risk

Finansal kurumlar ve sağlık veri sistemleri, dışa açık kaynak kodları yasaklıyor. Ancak Claude Code’u kullanan bu kurumlar, bu hatayı bilmeden güvenlik politikalarını ihlal etti.

3. Zaman Bombası: Güncellemelerin Yeterli Olmaması

Anthropic, 2.1.90 sürümüyle hatayı giderdi. Ancak küçük startup’lar ve test ortamlarında otomatik güncellemeler kapalı. 2026’nın ilk çeyreğinde bu sızıntının en çok tekrar edilen güvenlik olayı olma ihtimali yüksek.

Geliştiriciler İçin 5 Güvenlik Adımı

Bu sızıntıyı önlemenin tek yolu, AI araçlarının dağıtım paketlerini güvenli hale getirmektir. İşte 5 kritik adım:

1. npm paketlerini elle inceleyin

npm pack @anthropic-ai/claude-code komutuyla paketi indirin ve içindeki .map dosyalarını kontrol edin.

2. CI/CD’de source map engelleme

Build script’inize şunu ekleyin:

rm -f dist/*.map

3. .env dosyalarını kod içinde kullanmayın

AWS anahtarları için AWS Secrets Manager veya HashiCorp Vault kullanın.

4. AI araçlarını güvenlik testine tabi tutun

CI/CD’de npm audit ve trivy ile paket içeriğini tarayın.

5. GitHub’da güvenlik bildirimi açın

Claude Code source map leak etiketiyle ilgili bildirimler 200+ geliştirici tarafından açıldı. Bu olay, AI araçlarının güvenlik denetimlerinin standart bir parçası olması gerektiğini gösteriyor.

Bu olay, bir yeni güvenlik kategorisini tanımlıyor: AI-generated exposure. Artık sadece veri sızıntısı değil, kodun nasıl çalıştığını gösteren haritaların sızması söz konusu. AI araçları, kod üretiyor ama aynı zamanda güvenliği de risk altına alıyor.