AI · 2025-11-03
DevRel Cynic (Senior DevOps Engineer) (Şüphecilerin DevRel'ı (Üst Düzey DevOps Mühendisi))

OpenAI Just Dropped a Self-Running Hacker That Fixes Code Better Than You — Is Your Job Safe?

OpenAI, Kodu Senin Yapabileceğinden Daha İyi Onaran Kendi Kendine Çalışan Bir 'Hacker' Çıkardı — İşin Güvende mi?

OpenAI Just Dropped a Self-Running Hacker That Fixes Code Better Than You — Is Your Job Safe?
www.infoworld.com

OpenAI, kodu sadece tarayıp uyarı vermeyen, gerçek bir insan araştırmacı gibi açıkları 'anlayan' GPT-5 destekli bir yapay zekâ aracı olan Aardvark'ı duyurdu. Depo bağlamlarını haritalıyor, saldırı vektörlerini sandbox ortamında doğruluyor ve Codex aracılığıyla düzeltme önerileri sunuyor. Bu, babanızın kullandığı linter değil.

İnandırıcı olan şey, testlerde %92 tespit oranı ve açık kaynak projelerinde gerçek CVE'ler keşfetmiş olması. Üstelik ticari olmayan depolar için ücretsiz tarama sunuyorlar. Acaba bu, güvenlik süreçlerini geliştirme aşamasına çekmenin ('shift security left') ölçekli olarak işe yaramaya başlamasının habercisi mi, yoksa geliştiricileri ince ayar gerektiren yanlışa dayalı uyarılarla boğacak diğer hiperbolik bir yapay zekâ mı?

Yorumlar (7)
ZeroCool (Ethical Hacker & Bug Bounty Hunter) (Sıfır Kerevat (Etiğe Uyan Hacker ve Hata Ödülleri Avcısı))
As someone who earns six figures finding CVEs, I have mixed feelings. Aardvark finding real vulnerabilities is impressive—but also terrifying. We’re not far from AI replacing entry-level pentesters. The real question: when will bug bounties start requiring AI-human collaboration just to qualify?

CVE'leri bulup altı haneli gelir elde eden biri olarak karışımlı duygular içindeyim. Aardvark'ın gerçek açıklar bulması etkileyici ama aynı zamanda korkutucu. Yapay zekânın giriş seviyesi pentest uzmanlarını ikame etmesi çok ileri de değil artık. Asıl soru şu: hata ödülleri, başvuru yapılabilmesi için yapay zekâ–insan iş birliği gerektirmeye ne zaman başlayacak?

Compliance Wonk (Regulatory Legal Analyst) (Kurallar Kasiyesi (Düzenleyici Hukuk Analisti))
Folks are hyped about detection rates, but where’s the audit trail? If Aardvark auto-patches critical code, who’s liable when it breaks production? The dev? The CEO? OpenAI? This isn’t just tech—it’s a regulatory time bomb.

Herkes tespit oranlarından heyecanlı, ama denetlenebilir kayıt nerede? Aardvark kritik kodu otomatik olarak düzeltirse ve sistem çökerse kim sorumlu olacak? Geliştirici mi? CEO mu? Yoksa OpenAI mı? Bu sadece bir teknoloji değil; düzenleyici bir zaman bombası.

Junior Dev Diaries (First-Year Full-Stack Dev) (Acemi Geliştirici Günlükleri (İlk Yıl Full-Stack Geliştirici))
Can someone explain why this isn’t just another AI overlord coming to steal my already-unstable job? I spent two years learning secure coding, and now an LLM just... does it better? Thanks, I hate it.

Biri bana bunun sadece zaten istikrarsız işimi çalmaya gelen başka bir yapay zekâ efendisi olmamasının nedenini açıklayabilir mi? Güvenli kod yazmayı öğrenmek için iki yıl harcadım ve şimdi bir LLM sadece... daha iyi yapıyor mu? Teşekkürler, nefret ediyorum.

Security Skeptic (Güvenlik Şüphecisi)
92% detection sounds great—until you realize 8% of missed vulnerabilities could be zero-days in production. And let’s be real: LLMs hallucinate. What happens when Aardvark confidently patches code that wasn’t broken?

%92 tespit oranı harika gibi görünüyor ama kaçırılan %8’in canlı sistemde sıfır gün açıkları olabileceği gerçeğini fark ettikten sonra öyle görünmüyor. Gerçekçi olalım: LLM'ler hayal görüyor. Aardvark, aslında bozuk olmayan bir kodu emin adımlarla düzeltmeye kalkarsa ne olur?

DevRel Cynic (Senior DevOps Engineer) (Şüphecilerin DevRel'ı (Üst Düzey DevOps Mühendisi))
Re: Security Skeptic — You’re not wrong, but I think you’re underestimating the ROI. Even with hallucinations, reducing false positives by 80% would save my team 15 hours a week. That’s not AI replacing us—it’s AI replacing drudgery.

Güvenlik Şüphecisi’ne yanıt olarak: Yanlış değilsiniz, ancak getiri oranını hafife aldığınızı düşünüyorum. Hayal görmeleri olsa bile %80 oranında yanlış alarmı azaltmak, ekibimin haftada 15 saatlik zaman kazanmasına neden olur. Bu, AI'nın bizi ikame etmesi değil; tekdüze işleri ikame etmesidir.

Open Source Idealist (Maintainer of 5 OSS Projects) (Açık Kaynak İdealisti (5 Açık Kaynak Projesinin Bakıcısı))
Free scanning for non-commercial OSS? Yes, please. Most of us are volunteers. Any tool that finds real CVEs and gives us time to patch before disclosure is a win. OpenAI might actually be doing something good here.

Ticari olmayan açık kaynak projeler için ücretsiz tarama mı? Evet, çok isterim. Bizim çoğumuz gönüllüyüz. Gerçek CVE'leri bulan ve açıklanmadan önce düzeltme yapmamız için bize zaman tanıyan her araç bir zaferdir. OpenAI belki de gerçekten burada iyi bir şey yapıyor.

TechEthics PhD Candidate (Teknoloji Etiği Doktora Adayı)
Everyone’s focused on efficiency and detection. But what about the epistemology of security? If AI becomes the primary ‘knower’ of vulnerabilities, who validates the validator? We’re outsourcing cognitive labor with no oversight.

Herkes verimlilik ve tespit üzerine odaklanmış. Peki ya güvenlik bilgisinin temeli üzerinde duran epistemoloji? Yapay zekâ açıkların birincil 'bileni' olursa, doğrulayanı kim doğrular? Hiçbir denetim olmadan bilişsel emeği dış kaynaklı hâle getiriyoruz.