Geçen ay İstanbul’da küçük bir SaaS ekibiyle oturmuştum, kahve içerken. Aynı cümleyi tam üç kez duydum: “Bir haftada yaptık, ama sonra niye dağıldığını anlayamadık.” İşin aslı şu — bu artık istisna değil. Yapay zekâ destekli araçlarla uygulama kurmak inanılmaz hızlandı; hatta bazen ürünü canlıya almak, kahvaltı bitmeden oluyor, ne kadar tuhaf değil mi? Güzel. Ama biraz fazla güzel…
Ben bu tabloyu ilk kez 2023 sonbaharında, Kadıköy’deki bir startup ofisinde görmüştüm. İki kurucu, neredeyse tamamen AI ile yazılmış bir prototipi önüme sürdü. Demo akıyordu, ekran pırıl pırıldı, yatırımcı sunumu için cuk oturuyordu. Sonra test hesabıyla giriş yapmaya çalıştım. Sistem bir anda tuhaf davranmaya başladı. Hani “çalışıyor” ile “işe yarıyor” arasındaki fark tam olarak burada ortaya çıkıyor ya — işte mesele tam da o.
AI ile üretilen kodun en büyük sorunu çoğu zaman çalışmaması değil; ilk bakışta gayet iyi görünmesi.
Hızlı Çıkan Ürün, Ağır Gelen Borç
AI ile yapılan uygulamaların ilk günleri genelde rüya gibi geçiyor. Kayıt açılıyor, birkaç kullanıcı geliyor, demo da bir düşüneyim… temiz görünüyor. Founder doğal olarak mutlu oluyor — ortada bütçe yok denecek kadar az, ekip minicik, ürün sanki kendiliğinden ilerliyor gibi. Güzel tablo.
Ve işler burada ilginçleşiyor.
Gel gelelim iş büyüyünce her şey değişiyor. Bir buton eklemek için tek satırlık mantık beklerken karşınıza binlerce satırlık dev bir dosya çıkabiliyor; auth tarafı veri tabanı sorgularına karışmış oluyor, form doğrulama ayrı bir yerde değil ana akışın içine gömülmüş oluyor. Kimse bu yapının nereden tutulacağını bilmiyor. Peki bunu neden söylüyorum? Açık konuşayım: bu tip kodu elden geçirmek bazen sıfırdan yazmak kadar — hatta daha fazla — yorucu.
Bunu kendi ellerimle de yaşadım. Geçen yıl Berlin’de kısa süreli danışmanlık yaptığım bir ekipte, AI üretimi kodla başlayan projeyi açınca ilk hissim şuydu: “Burada sistem var. Mimari yok.” Ekip harika niyetle başlamıştı, sorun — ki bu tartışılır — niyet değildi (yanlış duymadınız). Sorun, üretim ortamında dayanacak düzenin hiç kurulmamış olmasıydı.
Çok konuştum, örnekle göstereyim. Bash Alias’ları: Az Yaz, Çok İş Gör yazımızda bu konuya da değinmiştik. Butterfly CSS: 2026’da Dikkat Çeken Hafif Bir Seçenek yazımızda bu konuya da değinmiştik. PDF Dünyasında Bir Nefes: Ücretsiz ve Limitsiz Araçlar yazımızda bu konuya da değinmiştik.
Demo başka şeydir, üretim başka şey
Demosu çalışan ürünle gerçek kullanıcı trafiğini taşıyan sistem arasında uçurum var. Ciddi uçurum. Demo sahnesinde hata toleransı yüksektir; birkaç deneme yapılır, geçilir gider. Ama gerçek dünyada biri şifre sıfırlar, biri ödeme dener, biri API’yi yanlış kullanır, derken o şirin prototip terlemeye başlar (en azından benim deneyimim böyle)
Açıkçası, Bir de şu var: AI araçları sana anlık soruya cevap veriyor ama uzun vadeli yükü pek düşünmüyor. Cache yoksa cache koymuyor, indeks yoksa indeks önermiyor, yedeklilik eksikse omuz silkip devam ediyor. Yani kısa mesafede güzel koşuyor ama maratonu pek sevmiyor diyelim. Ben bunu bir yerde şöyle özetlemiştim: sprint koşucusuna maraton koşturamazsın.
| Durum | Küçük startup | Büyüyen işletme |
|---|---|---|
| Kullanıcı sayısı | 10-50 kişiyle idare eder | Aynı yapı burada tökezler |
| Kod yapısı | “Bir şekilde çalışıyor” hissi verir | Bakımı pahalılaşır |
| Maliyet | Düşük başlar | Hata düzeltme faturası kabarır |
| Risk | Sessiz kalabilir | Kritik seviyeye çıkar |
Güvenlik Açıkları En Sevdiği Şey: Acele Edilmiş Kodlar
Dürüst olayım. Güvenlik açıkları demo ekranında bağırmaz. Onlar sessizdir, sinsidir. Ta ki biri API anahtarını kaynak koda gömene kadar, ya da kullanıcı giriş verisini düzgün süzmeden işleme sokana kadar. O noktaya gelindiğinde iş işten geçmiş oluyor çoğunlukla.
Bu konuyu not alırken aklıma Mart 2024’te Ankara’daki bir müşteri görüşmesi geldi. Ekip çok gururluydu — sistemi iki günde ayağa kaldırmışlardı. Ben repo’ya bakınca hardcoded credential gördüm ve içim cız etti. Böyle şeyler saniyeler içinde sızıyor; “nasıl olsa kimse bulmaz” diye düşünmek resmen açık kapı bırakmak demek. Hatta daha kötüsü: kapıyı açık bırakıp üstüne de bir tabela asmak. Daha fazla bilgi için Braves Booth’ta Sessiz Devrim: Ekran Sıkışınca Her Şey Değişiyor yazımıza bakabilirsiniz.
Evet, biraz sert konuşuyorum ama sebebi net. AI aracı sana güvenlik modeli vermez; özellikle acele ettiriyorsan sadece “örnek gibi görünen” kod verir. Yani parola yönetimi, gizli anahtar saklama, istek doğrulama gibi can alıcı şeyleri insan eliyle tekrar ele almak şart. Kaçış yok bundan. Daha fazla bilgi için Bir Web Uygulamasıyla Kötü Anıları Yakmak: Garip Derecede İyi Fikir yazımıza bakabilirsiniz.
Nerede patlıyor?
- Sabitlenmiş API anahtarları: GitHub’a düşerse geçmiş olsun.
- Zayıf input kontrolü: SQL enjeksiyonu ya da veri sızıntısı kapıda olur. — ciddi fark yaratıyor
- Erişim yetkileri: Herkes her şeyi görürse iş biter.
- Kötü loglama: Gizli bilgi log’a yazılırsa yangın büyür. — ciddi fark yaratıyor
Trafik Gelince Gerçek Sınav Başlıyor
Pilot kullanıcıyla çalışan sistem başka bir şey. Product Hunt sonrası gelen trafik bambaşka bir şey anlatıyor — itiraf edeyim, beklentimin üstündeydi —. On kullanıcıyı rahat taşıyan yapı, iki bin kullanıcıda nefes nefese kalabiliyor — çünkü ölçekleme ayrı bir mühendislik problemi. AI araçları bunu çoğunlukla hissettirmiyor bile (bizzat test ettim)
Bunu geçen sene Amsterdam’da tanıştığım bir founder çok net anlattı: “İlk günlerde herkes bizi alkışladı,” dedi, “ama kampanya başlayınca sunucu dakikalar içinde kilitlendi.” O an düşündüğüm şey şuydu — kapasite planlaması olmayan hız aslında gecikmiş kriz üretir. Sadece bu. Başka bir şey değil.
Küçük startup için bu bazen tolere edilebilir; zarar sınırlıdır, ekip küçüktür. Ama enterprise seviyede? Orada her dakika para demek. Ayrıca itibar kaybı da cabasıdır — müşteri destek hattına düşen her hata kaydı aslında gelecekteki churn ihtimalidir.
# Basit ama önemli kontrol listesi
- Gizli anahtarlar repoda mı?
- Input validasyon katmanı var mı?
- Database index'leri tanımlandı mı?
- Log'larda hassas veri tutuluyor mu?
- Rate limit uygulanıyor mu?
- Hata yakalama merkezi mi dağıtık mı?Neden AI Kodu Bakımı Zorlaştırıyor?
İşin garibi, Lafı gevelemeden söyleyeyim: sorun sadece teknik değil, organizasyonel de. AI bazı projelerde öyle karmaşık dosyalar üretiyor ki yeni gelen geliştirici neyin nereye bağlı olduğunu çözemiyor (evet, doğru duydunuz). O noktada değişiklik yapmak küçük bir operasyon olmaktan çıkıp arkeoloji kazısına dönüşüyor. Ben buna geçen yıl Londra’daki bir fintech toplantısında şaka yollu “kod ormanı” demiştim. Pek gülmediler. Çünkü tam üstüne bastım sanırım.
Eh, Bazı kurucular bunu görünce moral bozuyor — anlıyorum, normal. Ama dur bir saniye, şunu söyleyeyim: çözüm AI’dan kaçmak değil. Çözüm onun çıktısını taslak olarak kabul etmek, insan eliyle sadeleştirmek, modüllere bölmek. Hatta mümkünse kritik parçaları ayrı bir review sürecine sokmak. Çünkü “çalışma mantığı” ile “dayanıklı mimari” gerçekten aynı şey değil (ki bu çoğu kişinin gözünden kaçıyor)
Kod neden ağırlaşıyor?
- Aşırı tek dosya yaklaşımı: Karmaşık iş mantığı parçalanmadan yazılıyor, sonra bakım zorlaşıyor. Her şey aynı yerde olunca değiştirmek de risk oluyor.
- Ayrıntısız yorumlama: Kodun niye öyle yazıldığı anlaşılmıyor, dokümantasyon eksik kalıyor.
- Sahte basitlik: Ekran sade görünüyor ama arkada borç katlanmış oluyor.
- Sınanmadık varsayımlar: Lokal ortamda çalışan yapı prod’da sürpriz yapabiliyor.
Peki Ne Yapmalı?
İnanın, Neyse, uzatmayalım. Eğer ürününüz zaten canlıdaysa panik yok. Ama gözünüzü kapatıp devam etmek de pek akıllıca değil. İlk iş olarak deneyimli biriyle teknik gözden geçirme yapmak lazım — bir günlük sağlam analiz bazen haftalarca sürecek kriz düzeltmesinden çok daha ucuzdur, bunu defalarca gördüm. Bilhassa Temmuz 2024’te İzmir’de görüştüğüm lojistik girişimi bunu yaptıktan sonra hatalarını tek tek yakaladı ve ciddi rahatladı.
Daha sağlıklı ilerlemek için pratik adımlar
- Kritik sırları environment variable ya da secret manager’a taşıyın.
- Error handling’i merkezi hale getirin.
- Sorgulara index bakışı atın.
- Kodu parçalara ayırın; büyük dosyalardan kurtulun.
- Lansmandan önce yük testi yapın.
- Email, ödeme, auth gibi alanları elle kontrol edin.
Kapanışa Doğru Küçük Bir Gerçek Daha
Açık konuşayım: ben AI destekli geliştirmeye karşı biri değilim. Tam tersine, çok seviyorum. En çok da prototiplemede ciddi hız veriyor, bunu inkâr edemem. Ama onu ustanın elindeki keskin bıçak (söylemesi ayıp) gibi görmek gerekiyor — doğru elde çok işe yarar, savruk elde ise parmak götürür. Bu kadar net.
Bence önümüzdeki dönem “AI yaptıysa tamamdır” devri değil. “AI yaptıysa şimdi kim düzeltecek?” devri olacak. Ve asıl değer orada ortaya çıkacak. Hem mühendislik kalitesi hem iş disiplini olan ekipler kazanacak. Diğerleri ise lansmandan sonra sessizce toparlanmaya çalışacak — kimi zaman da yetişemeyecek.
Sıkça Sorulan Sorular
AI ile yapılan uygulamalar neden risk taşıyor?
Ne yalan söyleyeyim, Çünkü AI çoğu zaman çalışan kod üretir ama sürdürülebilir mimari kurmaz.l Güvenlik, ölçekleme ve bakım detaylarını atlayabilir…. İlk etapta sorun görünmese de gerçek trafik gelince açıklar ortaya çıkar………….♻️ => ❌::”] }
[invalid]
Error;;;;;;;;;
`Kaynaklar Ve Ileri Okuma`?
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
