178.000'den fazla GitHub kullanıcısı tek bir markdown dosyasını yıldızladı. Dosya yalnızca bir yapay zekaya nasıl davranacağını anlatıyor.
Dört kural: Kodlamadan Önce Düşün. Önce Sadelik. Cerrahi Değişiklikler. Hedef Odaklı Yürütme. Hepsi bu. Kütüphane yok. Çerçeve yok. Yükleyici yok. Forrest Chang, Andrej Karpathy'nin LLM kodlama hata modları hakkındaki gözlemlerini tek bir CLAUDE.md dosyasında paketledi ve geliştirici topluluğu bunu izleyen aylarda 178.000 GitHub yıldızının ötesine taşıdı.
Orada ne olduğuna gözünüzü kısarak bakarsanız, her mühendislik organizasyonunun yeterince acı çektikten sonra eninde sonunda ihtiyaç duyduğunu fark ettiği şeye çok benzer: kodun nasıl yazılacağına dair ortak bir kısıtlama kümesi. Bir kurallar katmanı. Eskiden bir kod inceleme kontrol listesinde, bir stil rehberinde veya kıdemli bir mühendisin kurumsal hafızasında yaşayan türden bir şey. Vibe kodlama topluluğu, aynı disiplinin çok daha hafif bir versiyonunu buldu: kuralları markdown'da yazın ve ajanın kod yazmadan önce bunları okumasına izin verin.
Bu tek seferlik bir şey değil. Bir kalıp.
Kısaca
- Ajan talimatı ekosistemi (CLAUDE.md, AGENTS.md, paylaşımlı skills kütüphaneleri ve erişilebilirlik ajanları) yapay zeka destekli kodlama için dağıtık bir kalite uygulama katmanı haline geliyor.
- Yanıt verdiği kalite açığı gerçek: Snyk, ClawHub ve skills.sh'den 3.984 skill taradı ve 1.467'sinin, yani %36,82'sinin en az bir güvenlik kusuru olduğunu; 534'ünün, yani %13,4'ünün en az bir kritik düzeyde sorunu olduğunu buldu.
- Topluluğun yanıtı, yaklaşımı terk etmek değil daha fazla kural inşa etmek oldu ve Vercel'den OWASP'a, Linux Foundation'a kadar kuruluşlar artık işin içinde.
Kalite Açığı Gerçek ve Topluluk Bunu Biliyor
Topluluk skills dosyalarının %13,4'ü kritik güvenlik kusurları içeriyor. Bu şu kaynaktan: Snyk'in ToxicSkills raporu, Şubat 2026'da ClawHub ve skills.sh'den 3.984 skill tarandıktan sonra yayınlandı. %36,82'sinin en az bir güvenlik açığı vardı. 76'sı tamamen kötü niyetliydi ve bunların %91'i teslim mekanizması olarak prompt enjeksiyonu kullanıyordu.
Daha geniş yapay zeka kod kalitesi hikayesi de benzer. CodeRabbit'in kod inceleme verisi analizine göre, yapay zeka destekli kod, insan yazımı kod için 6,45'e karşılık çekme isteği başına ortalama 10,83 sorun içeriyor, yani yaklaşık 1,7 kat daha fazla sorun. GitClear'ın yıllık kod çalışması, kod klonlamasında "4 kat büyüme" dediği şeyi raporladı: 2021 ile 2024 arasında değişen satırların %8,3'ünden %12,3'üne bir yükseliş.
Bunlar satıcı rakamları, bu yüzden hassasiyeti uygun bir şüphecilikle ele alın. Yine de yönsel olarak yararlılar: yapay zeka destekli kodlama, geliştiricilerin etrafında yeni korumalar inşa edecek kadar kalite baskısı yaratıyor.
Önemli olan, topluluğun bu bilgiyle ne yaptığı. Yanıt "skills dosyaları tehlikeli, kullanmayı bırakın" olmadı. Şu oldu: OWASP şunu başlattı: Agentic Skills Top 10 (AST10), skills ekosisteminin Web Application Security Top 10 eşdeğeri. Daha fazla kural. Daha fazla yapı. Resmi olmayan bir ekosistem için resmi bir güvenlik çerçevesi.
Bu, ağır süreçten kaçınmaya sıkça çalışan bir topluluktan bile gelse, klasik bir mühendislik yanıtıdır.
Ortaya Çıkan Ekosistem
2026'nın ilk yarısı boyunca bu, bir avuç izole markdown dosyasından çok katmanlı bir ekosisteme benzemeye başladı.
Davranışsal katmanla başlayın. Karpathy ilhamlı CLAUDE.md Forrest Chang'in Andrej Karpathy'nin LLM kodlama hata gözlemlerinin versiyonunu tek bir talimat dosyasında paketler ve şimdi 178.000'den fazla GitHub yıldızında oturuyor, dört basit kural etrafında inşa edilmiş bir dosya için GitHub tarihinin en çok yıldızlanan depolarından biri. Bu kuralların ne olduğu, ne temsil ettiklerinden daha az ilginç: kıdemli bir mühendisin kod incelemesi sırasında uygulayacağı muhakemeyi kodlama girişimi.
Bunun üzerinde bir topluluk toplama katmanı oturuyor. Antigravity Awesome Skills 1.595+ agentic skill'i aştı, Claude Code, Cursor, Codex CLI, Gemini CLI, Antigravity ve diğer yapay zeka kodlama asistanları için yeniden kullanılabilir oyun kitapları topluyor. Alan için hızlı hareket eden paylaşımlı bir kütüphane gibi işlev görüyor: bir standartlar komitesinin PDF'ler yerine GitHub üzerinden hareket etse üretebileceği türden bir şey.
Sonra çerçeveler ortaya çıktı. Vercel şunu yaptı: vercel-labs/agent-skills resmi bir organizasyon deposu, şimdi 28.000 yıldızda. Tek başına React Best Practices skill'i, waterfall'lar, paket boyutu, sunucu tarafı performans, istemci tarafı veri çekme, yeniden render optimizasyonu, render performansı ve JavaScript mikro-optimizasyonları dahil sekiz performans odaklı kategori boyunca 40+ kural içeriyor. Dağıtım platformunuza sahip olan şirket yapay zeka ajanları için resmi kalite kuralları gönderdiğinde, ekosistem topluluk deneyinden üretim altyapısına mezun olmuştur.
Ve en üstte, bir standartlar katmanı. OpenAI, AGENTS.md spesifikasyonunu Linux Foundation'ın Agentic AI Foundation'ına (AAIF) MCP (Anthropic) ve Goose (Block) ile birlikte bağışladı: araçlar arası, ajanlar arası, standart hattında. Yön taşınabilirliğe doğru: AGENTS.md, ekiplere projeye özel ajan yönlendirmesi için ortak bir yer verir, bireysel araçlar bu talimatları nasıl yükleyip uyguladıklarında hâlâ farklılık gösterebilse de.
Bu parçalar merkezi olarak planlanmış tek bir yığın olarak ortaya çıkmadı. Talep gerçek olduğu için bir araya geldiler.
Kimsenin Konuşmadığı Boyut
Güvenlik ve kod kalitesi verisi haber oluyor. Erişilebilirlik boyutu neredeyse hiç olmuyor.
Community-Access/accessibility-agents 21 Şubat 2026'da altı ajanla başladı. Haziran 2026 itibarıyla: sekiz ekip boyunca 79 uzmanlaşmış ajan, 18 yeniden kullanılabilir erişilebilirlik skill'i, WCAG 2.2 AA hedeflemesi ve beş platform boyunca destek: Claude Code, GitHub Copilot, Gemini CLI, Codex CLI ve MCP uyumlu istemcilere hizmet verebilen bir MCP Server.
Bu projenin ne olduğu, açık terimlerle: bir grup geliştirici, yapay zeka kodlama araçlarının varsayılan olarak erişilemeyen kod ürettiğine (ARIA kurallarını atlarlar, klavye navigasyonunu görmezden gelirler, ekran okuyucuları sıkıştıran modallar üretirler) karar verdi ve yapay zekanın unutmaya devam ettiği kuralları uygulamak için 79 uzmanlaşmış ajan inşa etti.
Bu, olması dikkat çekici bir şey. Frontend mühendisleri tarihsel olarak erişilebilirlikte yetersiz kaldılar. Son teslim tarihi baskısı altında kesilen ilk şeydir. accessibility-agents projesi, vibe coder'ların aksi takdirde uygulamak için kıdemli bir mühendise ihtiyaç duyacakları kuralları yazması ve bunu herkese açık şekilde, ücretsiz, beş desteklenen entegrasyon boyunca yapmasıdır.
Benim okumamda, proje gönüllü bir erişilebilirlik çabası için alışılmadık derecede titiz, özellikle erişilebilirliği geç bir QA endişesinden kod üretimi sırasında çalışan yeniden kullanılabilir ajan talimatlarına dönüştürdüğü için.
Bu Neden Kaçınılmazdı
"Skills dosyaları sadece yapay zeka için README'ler" argümanı, herhangi bir tek dosyaya bakıyorsanız adildir. OWASP'ın ekosistem için bir güvenlik çerçevesi başlatmasına, Vercel'in resmi bir kalite kütüphanesi göndermesine veya gönüllü bir erişilebilirlik projesinin 79 uzmanlaşmış ajana büyümesine baktığınızda geçerliliğini yitirir.
İşte aslında olan şey: kalite uygulaması, süreci kaldırdığınızda yok olmaz. Farklı bir biçimde yeniden ortaya çıkar, çünkü kalitenin yokluğu hızla acı üretir ve o acıya en yakın olan kişi onu kaynağında düzeltir.
Geleneksel mühendislik disiplini (kod incelemesi, stil rehberleri, QA geçitleri, mimari yönetişim) bireysel geliştiricilerin zaman baskısı altında atladıklarını yakalamak için var. Bir ekibiniz ve bir süreciniz olduğunda işe yarar. Vibe coder'lar, tasarımları gereği, çoğunlukla ikisine de sahip değil. Bu yüzden incelemeyi ajanın talimatlarında önceden kodladılar.
CLAUDE.md, önceden kodlanmış kod incelemesidir. Awesome Skills, dağıtık bir stil rehberidir. AGENTS.md, bir yönetişim standardıdır. Kelimeler değişti. İşlev değişmedi.
İlginç olan, kısıtlamaların yeniden ortaya çıkması değil, bu kaçınılmazdı. İlginç olan, ilk seferden daha hızlı, daha herkese açık ve olgun süreçlere sahip bazı mühendislik organizasyonlarını utandıran bir kalite düzeyinde yeniden ortaya çıkmaları.
Vibe kodlama topluluğu mühendislik disiplinini gönülsüzce, yönetim baskısı altında yeniden icat etmedi. Bir duvara çarptıkları ve onu düzeltecek araçlar bir markdown dosyası kadar uzakta olduğu için inşa ettiler.
Sıkça Sorulan Sorular
Bir CLAUDE.md Dosyasına Ne Girer?
Yapay zeka için davranışsal kısıtlamalar: neyden kaçınılacağı, neye öncelik verileceği, mimari kurallar, güvenlik kırmızı bayrakları ve projeye özel kurallar. Kalite odaklı kullanım iş akışı kısayollarının ötesine geçer: "testleri geçirmek için hata işlemeyi asla kaldırma" gibi kurallar "her zaman TypeScript kullan" ile yan yana durur. Gerçek, test edilmiş örnekler için şununla başlayın: Awesome Skills topluluk toplaması. Vercel'in agent-skills'i bir başka güçlü referanstır.
AGENTS.md Nedir ve CLAUDE.md'den Nasıl Farklıdır?
AGENTS.md, projeye özel ajan yönlendirmesi için evrensel bir standarttır, OpenAI tarafından yayınlanmış ve Aralık 2025'te Linux Foundation'ın Agentic AI Foundation'ına katkıda bulunulmuştur. CLAUDE.md, Claude Code'un proje yönlendirme dosyasıdır. Amaçta örtüşürler, ancak her araçta birebir aynı biçimler değildir. Pratik çıkarım şu: ekipler giderek ajan talimatlarını bir kez yazıp Codex, Cursor, Copilot, Gemini CLI ve Claude Code gibi araçlar boyunca uyarlayabilir.
Skills Dosyaları Kullanması Güvenli mi?
Topluluk kaynaklı skills'ler import edilmeden önce okunmalıdır. Snyk'in ToxicSkills raporu taranan topluluk skills'lerinin %36'sının en az bir güvenlik kusuru olduğunu ve %13,4'ünün birincil saldırı mekanizması olarak prompt enjeksiyonu ile kritik düzeyde kusurları olduğunu buldu. OWASP Agentic Skills Top 10 saldırı yüzeyini anlamak için referans çerçevedir. Resmi depolardan veya köklü açık kaynak projelerinden gelen skills dosyaları genellikle anonim topluluk katkılarından daha düşük tedarik zinciri riski taşır, ancak yine de import'tan önce incelenmelidir.
OWASP Agentic Skills Top 10 (AST10) Nedir?
OWASP'ın 2026 skills ekosistemi için güvenlik çerçevesi, OWASP Web Application Security Top 10'a benzer ama özellikle yapay zeka ajan talimat dosyalarının yarattığı saldırı yüzeyini ele alır. Claude Code, Cursor/Codex ve VS Code dahil platformlar boyunca en kritik on güvenlik riskini kapsar. Çerçeve 2026 itibarıyla aktif geliştirme aşamasında, 2026 4. çeyreğinde planlanan bir v1.0 sürümü ile.
Kişisel Bir Proje İnşa Ediyorsam Skills Dosyalarına İhtiyacım Var mı?
Yalnızca tutarlı yapay zeka davranışı istiyorsanız. Kısıtlamalar olmadan, yapay zeka kodlama araçları kod kalitesi için değil görev tamamlama için optimize eder ki bu, çoğaltılmış mantık, eksik hata işleme veya erişilemeyen UI bileşenleri üretene kadar gayet iyi çalışır. Yük düşük: proje başına bir dosya, yapay zekanın neyi yanlış yaptığını keşfettikçe bakımı yapılır. Karpathy ilhamlı kurallar makul bir başlangıç noktasıdır; topluluk skills kütüphaneleri, alan özelinde kuralları (güvenlik, erişilebilirlik, dil deyimleri) sıfırdan yazmadan içeri çekmenizi sağlar.
