Son zamanlarda hepimiz vibe coding yapıyoruz.

Aklımıza bir fikir geliyor, hemen bilgisayarı açıyoruz, bir prompt yazıyoruz, biraz deniyoruz ve ortaya çalışan bir şey çıkıyor.

Açıkçası bu hız çok keyifli. Eskiden haftalar süren şeyleri artık birkaç günde hatta birkaç saatte yapabiliyoruz. Bu da insanı gerçekten motive ediyor.

Ama iş biraz büyümeye başlayınca, kullanıcı sayısı artınca ve sistem karmaşıklaşınca, bu hızın yanında bazı sorunlar da ortaya çıkıyor.

Ben bunu startup sürecimde çalışırken çok net yaşadım: İlk başta her şey hızlı ilerliyor, feature'lar ekleniyor, sistem çalışıyor ve "tamam, oldu bu" diyorsun. Fakat bir süre sonra beklemediğin hatalar çıkmaya başlıyor, kullanıcılar sistemi senin hiç düşünmediğin şekillerde kullanıyor ve bazı açıklar fark ediliyor.

O noktada dönüp koda baktığında şunu fark ediyorsun: Aslında ben bunu yazarken bazı şeyleri hiç düşünmemişim.

AI bana yardımcı oldu, evet. Ama benim yerime sorgulamadı.

Yani kod çalışıyor ama arkasındaki mantık tam oturmamış oluyor.

Refactor ve Bug Fixing Kolay, Güvenlik Zor

Refactor yapmak, kodu temizlemek, performansı iyileştirmek artık çoğumuz için çok zor değil. Component'leri bölmek, API'leri düzenlemek, state management'ı toparlamak günlük işlerimiz haline geldi. Ancak güvenlik tarafına gelince iş tamamen değişiyor.

Çünkü güvenlik sadece "kod düzgün mü" sorusu değil, "biri bunu kötüye kullanmak isterse ne yapabilir" sorusu demek.

Bu soruyu her endpoint için, her akış için, her veri geçişi için sormak gerçekten zor ve zihinsel olarak yorucu.

Açık konuşmak gerekirse, ben de başlarda bu kısmı atladığımı fark ettim. Çünkü ürün yetiştirme telaşı, yeni feature baskısı, demo hazırlıkları derken güvenlik genelde "sonra ilgileniriz detaylı" tarafına kayabiliyor. Ama sonra bir sorun çıktığında, o "sonra"nın aslında hiç gelmediğini anlıyorsun.

Şu an sektörde çok yaygın bir algı var: "AI ile yazıyorsam zaten hızlı zaten çok iyi."

Ben bunun doğru olmadığını defalarca gördüm. Evet kesinlikle, AI sana hız kazandırıyor ama sorumluluk almıyor.

Token'ı nerede sakladığını, rate limit koyup koymadığını, bir endpoint'in abuse edilip edilemeyeceğini AI senin yerine düşünmüyor. Bunları sen düşünmezsen ya da kullandığın yapay zekaya bunu düşündürtmezsen kimse düşünmüyor.

Bir de şu konu var; bazen kısa vadede kolay olan çözüm, uzun vadede en büyük probleme dönüşebiliyor. O an hızlı ilerlemek cazip geliyor ama sonrasında sistemi toparlamak çok daha zor oluyor.

Vibe coding'in en büyük artısı hız ama en büyük eksisi de bu hızın arkasında biriken görünmez borçlar.

Teknik borç, mimari borç ve en önemlisi güvenlik borcu başta fark edilmiyor. Her şey yolunda gidiyor gibi duruyor. Ama zaman geçtikçe sistem ağırlaşıyor, yeni feature eklemek zorlaşıyor ve sürekli eski hataları düzeltmekle uğraşmaya başlıyorsun. Bu nedenle ürünün deneme projesinden ileri gitmiyor.

None

Bu yüzden Guardian gibi pentest araçları benim çok ilgimi çekiyor. Çünkü bu tarz sistemler sana doğrudan "bak, burada açık var" diye gösteriyor. Senin alıştığın ve artık görmediğin noktaları fark ediyor.

İnsan kendi yazdığı koda zamanla körleşiyor, hataları görmemeye başlıyor. Dışarıdan bir göz, ister insan olsun ister AI, bu yüzden çok değerli.

Guardian: AI Destekli Pentest ile "Görmediğin Şeyi Görmek"

İşte bu noktada Guardian gibi araçlar ilgimi çekti. Guardian, normal pentest araçlarının ötesine geçen, yapay zekanın penetrasyon testi süreçlerine stratejik zeka kattığı bir platform.

Klasik pentest araçları genelde şunu yapıyor: tarama yap, bilinen açıklara bak, raporla.

Guardian bunu yapıyor ama onu bir adım ileri taşıyor.

Guardian nasıl çalışıyor? Kabaca şöyle:

  1. Önce hedef sistemi keşfediyor (scanning)
  2. Ardından AI, bu keşif verilerine göre nerede daha derin test yapılacağını belirliyor
  3. Sıradaki adımı dinamik olarak seçiyor, çünkü sadece statik bir listeyi takip etmiyor
  4. Sonuçları raporluyor ama sadece "şu açık var" demekle kalmıyor, bulguların neden önemli olduğunu bağlama oturtuyor

Bu süreç klasik otomasyondan farklı çünkü AI burada bir "stratejik karar alma" yapısı kullanıyor. Yani sadece araçları peş peşe çalıştırmak yerine, bulgulara göre bir sonraki hareketi belirliyor.

Guardian'ı Nasıl Kullanabilirsiniz?

Guardian kullanımı, özellikle temel sızma testi deneyimi olmayanlar için bile oldukça öğretici olabilir. Örneğin şöyle bir akış izlenebilir:

  • Target Belirleme: Hangi uygulamayı/test ortamını tarayacaksın? Guardian bu hedefe bir başlangıç taraması yapar.
  • Tarama + AI Analizi: İlk taramadan gelen port, servis, endpoint gibi bilgiler AI tarafından incelenir.
  • Stratejik Testler: AI, önceki veriler üzerinden bir sonraki test adımlarını belirler. Örneğin bir admin panel taraması bulduysa, bunun etrafındaki auth mekanizmalarını hedef alabilir.
  • Raporlama: Guardian bulguları anlamlı şekilde raporlar ve yüksek riskli açıkları ön plana çıkarır.

Mesela bir web uygulaması düşün. Normalde tek tek araçlarla tarama yaparsın (Nmap, SQLMap, vs.). Guardian bunu yapıyor ama tarama sonuçlarına göre akışı dinamik olarak değiştiriyor.

Bu da klasik otomasyonun eksik bıraktığı "bağlama göre karar alma" kısmını dolduruyor.

Neden Bu Önemli?

Bir endpoint'in çalışıyor olması seni tatmin edebilir. Ama çalışma şekli ile kötüye kullanılma şekli arasındaki farkı bilmek, işin güvenlik tarafını gerçekten anlamak demek. Ve bu anlayış AI'nin kod yazma hızıyla gelmiyor. Bu anlayış, sistemi gerçekten "derin" sorgulamakla geliyor.

Guardian gibi araçlar bize bunu gösteriyor: kendi yazdığın sistemde kaçırdığın açıkları, senin düşünmediğin saldırı yollarını yakalayabiliyor. Bu hem öğrenme hem de güvenlik bilincini geliştirme açısından çok değerli.

Öğrendiklerim

Bu süreçlerde öğrendiğim en önemli şey şu oldu: Ürün yapmak başka, ürünü sürdürülebilir ve dayanıklı kılmak başka. Sistem sadece çalışıyor diye bize aitmiş gibi hissettirmiyor. Onu gerçekten anlamalıyız: nerede risk var, nerede kırılabilir, hangi akışlar saldırıya açık. Bunları bildiğinde hem daha rahat ediyorsun hem de yaptığın şeyin gerçekten senin olduğunu hissediyorsun.

Ben hâlâ vibe coding yapıyorum ve bunun keyfi bambaşka. Ama artık sadece hızlı olmaya değil, ne yaptığımı gerçekten anlamaya da odaklanıyorum. Çünkü uzun vadede fark yaratan şey bence sadece hızlı olan değil, AI çağında hızlı + bilinçli olan ekipler.

Son

Vibe coding kötü değil. Ben seviyorum. AI harika bir araç ama güvenlik bilinci otomatik gelmiyor. Onu sürece entegre etmemiz ve uçtan uca test edebilmemiz gerekiyor. Bu yüzden vibe coding yaparken vibe security'e de kaymamız gerekiyor.

Hem yazılımı hızla üretip hem de sistemin zayıf noktalarını erken görebilecek yöntemler öğrenmek zorundayız. Guardian gibi yaklaşımlar bu öğrenme sürecini hızlandırıyor.

Ve bence artık mesele şu: Sadece "çalışıyor" demek değil, "kırılmaya hazır mı?" diye sorabilmek.

Bu yazıyı okuduğunuz için teşekkür ederim. Sohbet etmek, eleştiri göndermek veya kendi perspektifinizi paylaşmak isterseniz bana her zaman ulaşabilirsiniz:

e-mail 📧 || linkedin 📱