Claude Code’un 512 Bin Satırlık Sızıntısı Anthropic’in 350 Milyar Dolarlık IPO Hedeflerini Sarstı
Anthropic, 31 Mart’ta rutin bir npm güncellemesi sırasında amiral gemisi yapay zeka kodlama aracı Claude Code’a ait 512 bin satırlık özel kaynak kodunu bir hata ayıklama dosyasıyla yanlışlıkla yayınlayarak büyük bir güvenlik ihlali yaşadı. Sızıntı, tahmini 2,5 milyar dolar yıllık yinelenen gelir üreten ürünün tüm mimarisini ifşa etti .
Güvenlik araştırmacısı Chaofan Shou, Claude Code sürüm 2.1.88’de açıkta kalan kaynak harita dosyasını ilk fark eden kişi oldu ve X’te bir indirme bağlantısı paylaştı. Saatler içinde kod tabanı GitHub’a yayıldı ve Anthropic DMCA bildirimleri göndermeden önce on binlerce çatal (fork) biriktirdi .
Claude code kaynak kodu, npm kayıtlarındaki bir harita dosyası aracılığıyla sızdırıldı!
— Chaofan Shou (@Fried_rice) 31 Mart 2026
Kod: https://t.co/jBiMoOzt8G pic.twitter.com/rYo5hbvEj8
📌 Twitter Embed Açıklaması: Güvenlik araştırmacısı Chaofan Shou, Claude Code kaynak kodunun npm kayıtlarındaki bir harita dosyası aracılığıyla sızdırıldığını duyuruyor ve indirme bağlantısını paylaşıyor.
Olay, bundan sadece beş gün önce ayrı bir CMS yapılandırma hatasının Anthropic’in yayınlanmamış “Mythos” modeline ait detaylar da dahil olmak üzere yaklaşık 3.000 dahili dosyayı ifşa etmesinin ardından geldi. Bir hafta içinde yaşanan iki ayrı güvenlik açığı, 350 milyar dolar değerindeki şirket ve 2026’nın dördüncü çeyreğinde halka arz planları için ciddi operasyonel soruları gündeme getiriyor .
Kod internete düştüğünde artık kalıcı hale geldi. Wall Street Journal’ın geçen yıl 25 milyar Claude Code tokeni tükettiğini bildirdiği Kore kökenli Kanadalı geliştirici Sigrid Jin, güneş doğmadan sızdırılan kodun temiz oda Python yeniden yazımını tamamladı. Onun claw-code deposu, yayınlanmasından sonraki iki saat içinde GitHub’ta 50.000 yıldız topladı .
Sızdırılan dosyalar, özellikle Claude’un Anthropic’in kendi sırlarını sızdırmasını önlemek için geliştirilmiş “Gizli Mod” (Undercover Mode) adlı bir dahili özelliği ortaya çıkardı. Bir sır saklama özelliğinin bir sızıntıda ifşa olmasının ironisi gözlemcilerin dikkatinden kaçmadı. Kod ayrıca 44 özellik anahtarı (feature flag), KAIROS adlı yayınlanmamış bir arka plan programı ve Claude 4.6 varyantı için “Capybara” dahil dahili model kod adlarını da ifşa etti .
Anthropic, sızıntıyı çeşitli medya kuruluşlarına doğruladı ve bunu insan hatasından kaynaklanan bir paketleme hatası olarak nitelendirdi. Ancak Claude Code gelirinin tahmini %80’ini oluşturan kurumsal müşteriler için hasar kalıcı olabilir. Aracın güvenlik mantığı, izin atlatma teknikleri ve iç mimarisi artık açık internette mevcut .
Güvenlik uzmanları, zamanlamanın daha kötü olamayacağını belirtiyor. Anthropic, kendisini OpenAI’a kurumsal düzeyde bir alternatif olarak konumlandırıyor ve güvenlik ile emniyeti temel farklılaştırıcıları olarak vurguluyor. Bu büyüklükte bir sızıntı—günler önceki başka bir olayın hemen ardından—bu anlatıyı kritik bir anda zedeliyor .
Rakipler sızdırılan kodu analiz etmeye başladı bile. Açık kaynak geliştiricileri bileşenleri çatallayıp yeniden amaçlandırıyor. Jin’in temiz oda yeniden yazımı, orijinal kod tabanı olmasa bile mimari bilgilerin tek başına aracın önemli bölümlerini yeniden inşa etmek için yeterli olduğunu gösteriyor .
Halka arza hazırlanan bir şirket için olay, iç kontroller, güvenlik duruşu ve amiral gemisi ürünlerinin güvenilirliği hakkında rahatsız edici soruları gündeme getiriyor. Yatırımcıların sızıntıyı tek seferlik bir hata mı yoksa daha derin operasyonel sorunların bir belirtisi mi olarak göreceği henüz belli değil .
Anthropic, IPO takviminde herhangi bir değişiklik duyurmadı. Ancak beş gün içinde yaşanan iki güvenlik açığı, özel kodun kalıcı olarak ifşa olması ve açık kaynak topluluğu tarafından hızla kopyalanması, şirketin en değerli fikri mülkiyetini nasıl yönettiğinin yeniden değerlendirilmesini zorunlu kılabilir .
