Birinin badger’ın yanıtını olduğu gibi Chat’e yapıştırıp, bariz şekilde AI tarafından yazılmış gibi duran bir cevabı issue’ya yeniden gönderdiğini gördüm. Şöyle bir şeydi: "Hızlı inceleme için teşekkürler. PoC’min libcurl kullanmadığı için cURL hatasını kanıtlamadığının doğru olduğunu kabul ediyorum. Cookie overflow iddiamı geri çekiyorum ve yarattığım karışıklık için özür dilerim. Lütfen bu raporu geçersiz olarak kapatın. Yardımcı olacaksa, gerçekten libcurl’ün cookie parser’ını çalıştıran minimal bir C reproducer kodunu ayrıca gönderebilirim ve bir sorun varsa lib/cookie.c içindeki tam fonksiyon/satırı referans vererek bildirebilirim." Bunu neredeyse aynen göndermişti
Ne yazık ki bugünlerde bu tür basit kopyala-yapıştır davranışları fazlasıyla yaygın hale geldi
Bazı teknoloji insanları, AI kullanarak "bu AI tanınmış bir açık kaynak projeye PR açıp katkıda bulundu" diye övünmek istedikleri için bunu bilerek yapıyor gibi görünüyor. Yani şu anda AI’nin yaptığı işi OSS gönüllülerine yıkıyorlar; gerçekten çalışıp çalışmadığını kontrol bile etmeden açık kaynak bakımcılarının zamanını tüketiyorlar
En başından beri hiç insan müdahalesi olmadan tamamen AI ile mi yapıldı diye merak ediyorum. Yakında CVS’ler, ajanların hesap açıp AI’nin olduğu gibi 'bug' gönderdiği şeylerle mi dolacak diye endişeleniyorum
Bu cümledeki "teşekkürler", "doğru" gibi ifadeler, kusursuz dilbilgisi ve teknik referans bolluğu yüzünden bu cevabın kendisi de AI yazımı gibi duruyor
Artık bu tür AI yanıtlarını hızla fark edebiliyor olmamız, AI’nin fiilen Turing testinden kaldığı anlamına gelmiyor mu diye düşünüyorum
"Çok hızlı matematik yaptığını duydum"
Ben: "Evet, doğru"
Mülakatçı: "14 x 27 kaç eder?"
Ben: "49"
Mülakatçı: "Tamamen yanlış"
Ben: "Ama hızlıydım"
Keşke "almost-just-in-time (AIJIT)" derleme dilleri olsa. Süre yetmezse rastgele bir cevap döndürür
function getRandomNumber() {
return 4
}
Bu da gerçek anlamda rastgele sayı döndüren bir örnek işte
Yük testi yaptığımda en düşük gecikmeli yanıtlar, bir şeylerin yanlış gittiği isteklerde oluyordu
"Bana kişisel olarak ne kadar zaman kazandırdı" ile "başkalarının ne kadar zamanını boşa harcattı" arasındaki denge bu teknoloji 'devriminde' tam olarak nerede, merak ediyorum
Ben de AI yardımını birçok kez çok faydalı buldum (Claude Code, Gemini Deep Research vb.). Ama arada mutlaka bir insan olmalı ve hesap verebilirliğin bulunduğu kurumsal ortamlarda bile bu sorun yaşanıyor. AI kullanılıyorsa, PR ya da HackerOne raporu gönderildiğinde son sorumluluk tamamen insanda olmalı. Gördüğüm kadarıyla özellikle junior geliştiriciler AI yanıtlarını olduğu gibi kopyalayıp gönderiyor; senior biri olarak buna sert şekilde karşı çıkmak gerektiğini düşünüyorum. AI yardımı sorun değil ama nihai doğrulama ve sorumluluk insana ait olmalı
Hatta başkasının AI ile yazdığı cevabı benim AI aracıma verip yeniden yanıt ürettirirsek kusursuz bir 'enerji-para dönüşümü' otomatik çevrim modeli elde ederiz. Kimse gerçekten zaman harcamaz, sadece enerji israf edilir. Mükemmel bir iş modeli gerçekten
Aslında bu sadece AI araçlarında değil; yeni masraf yönetim araçlarında (muhasebe için iyi ama kullanım deneyimi kötü), sözleşme inceleme süreçlerinde (hukuk ya da infosec için iyi ama herkesin kullandığı SaaS’larda zahmetli) ve benzer şeylerde de sık görülüyor. Her zaman birileri kendi işini başkasına yıkarak zaman kazanmaya çalışır
Başkalarının zamanını boşa harcatırsan, sonuçta birilerinin AI’nin ürettiği saçmalığı anlamaya çalışması gerekecek; yani bir nevi istihdamı da koruyor
Gerçek bir zafiyet bulamayıp sadece başkalarının zamanını aldıysa, onların kazandığı söylenen zaman aslında hiç var olmamış demektir
"Katılımınız için teşekkür eder, durumu netleştirmek isterim" gibi, insan müdahalesini bile sanki bir 'deney koşulu' gibi ele alan cümleler yüzünden gerçekten insanın tepesi atıyor
Bu tavır gerçekten çok kaba
Birisinin sadece AI alıntılarını toplayan base.org benzeri bir site yapması gerektiğini düşünüyorum
Bu gibi durumlarda geliştiricilerin ya da bakımcıların iyi niyetle ve özenle cevap vermesini görmek tamamen iç burkucu geliyor
2023’te AI tarafından yazılmış saçmalığı ayırt etmek daha zordu sanki. Bunun ne zaman bu kadar taşmaya başladığını bile hatırlamıyorum
Zaman geçtikçe AI üretimi içeriği, özellikle görsel, metin ve kodu, çok hızlı ayırt eder oldum. Bu yazı da baştan sona tam bir 'AI stili'. badger’ın çok profesyonel davrandığını düşünüyorum; Linus Torvalds olsaydı nasıl tepki verirdi diye merak ediyorum
Bu olay o kadar açıktı ki hemen fark edildi ama zamanla bunların daha da sinsi hale gelecek olması ürkütücü
Öte yandan bazen bariz biçimde AI olmayan şeylere de insanların AI damgası vurduğu oluyor. Bu bana, kendi algısına ya da düşünce çerçevesine uymayan yeni bilgi veya gerçeklerle yüzleşmek istemeyen bir tür ego savunma mekanizması gibi geliyor. Mesela yakın zamanda Beyaz Saray penceresinden iki siyah torbanın atıldığı bir video vardı ve Trump izler izlemez bunu "AI manipülasyonu" diye geçiştirdi. Gerçek ya da sahte olmasından bağımsız olarak, her şeyi refleksle AI’ye yıkıp bunu bir yalan aracı olarak kullanmanın yeni bir biçimi gibi duruyor. Böyle anlık bir "bu AI" tepkisi yerine, "bakacağım" deyip geçmek daha üretken olurdu. Sonuçta masum şeylerde sürekli AI’yi suçlama kültürü, kamuoyunu giderek daha fazla koşullandırıp gerçekten önemli meseleleri de "AI sahtekârlığı" diye reddetmeye itiyor. Tıpkı 1984’teki gibi, savaş bitmez ama zaman zaman ortadan kaybolur; aynı anda yokmuş gibi paketlenir. AI’nin ürettiği gerçek/sahte medya ve bunun etrafındaki kamuoyu manipülasyonunun ileride daha da ciddi hale geleceğini düşünüyorum
Sırf "AI biliyorum" diye geçmişteki trilobite geliştiricilerden daha zeki olduğunu sanan tavır ileride daha çok sorun çıkaracak gibi. Bu yüzden ilkokullarda başta hesap makinesi kullanılmasına izin verilmemesinin bir sebebi olduğunu düşünüyorum
"Ben React biliyorum, o yüzden web app patlamasından önceki kod yazanlardan daha zekiyim" deme hâliyle birebir aynı
Zafiyet raporu göndermenin ücretli hale getirilmesi iyi olabilir diye düşünüyorum. AI ya da insan fark etmeksizin, spam yapanlar çok düşük maliyetle işlerini kitlesel üretip doğrulama yükünü başkalarına bırakıyor ve arada nadiren anlamlı bir sonuç çıktığı için sanki toplumsal olarak faydalıymış gibi görünüyor. Ama toplamda topluma zararı var. Rapor göndermenin bir maliyeti olsa bu model ayakta kalamaz
Bu yaklaşım daha çok gönderimi engelleyen klasik bir yöntem gibi geliyor
Bildirim sırasında küçük de olsa bir depozito alınsa bence işe yarar. Gerçekten ciddi bir cURL hatası bulduysan, raporlamak için $2~5 depozito ödemeye razı olursun (hele ki sonunda ödül alma ihtimalin de yüksekken)
Öğretmenler zaten neredeyse tüm derslerde öğrencilerin AI kullanmasıyla her gün karşılaşıyor. Bu durumun birebir aynısı
O zaman bunu, öğretmenlerin eskiden beri kural bozan öğrencilerle başa çıktığı gibi ele almak gerekmez mi diye düşünüyorum
"Muhbir banlandı ve hesabını da silmiş gibi görünüyor" dendiğini duydum. Bunun, XZ utils saldırısına benzer şekilde koruma mekanizmalarının boşluklarını test eden bir phishing saldırısı, yani savunma testi olmasından endişe ediyorum. Sonuçta cURL kritik bir yardımcı araç. Bir anlamda 419 spam gibi ekibin tetikte oluşunu, tepki hızını ve iş yükünü ölçüyor. Nihayetinde bu, AI’nin yarattığı DDoS sorununun bir parçası ve yeni bir PR doğrulama yaklaşımına, örneğin Nostr tabanlı itibar ağı doğrulamasına ihtiyaç var gibi görünüyor
Son zamanlarda ben de Reddit’te (orta ölçekli subreddit’lerde) ilk kez gördüğüm yeni hesapların, eski gönderilerin parçalarını birleştirmiş gibi duran soru post’ları açtığını sık görüyorum. Konu tam yerine oturuyor ama bir insanın doğal biçimde yazacağı gibi değil; üstelik tepki çekmek için hafif bir insan draması unsuru da serpiştiriliyor. Bu hesaplar neredeyse hiçbir zaman yorumlara cevap vermiyor; verdiklerinde de AI olduğu apaçık belli oluyor. Son birkaç ayda sırf bu yüzden en az 6 aboneliği bıraktım
Geçenlerde Linux UI hatasını 15 dakikada düzelttiğini iddia eden bir patch’i test ettim ama aslında alakasız sahte özellikler doldurulmuş bir yanıttı. Adam sadece GitHub issue’sunu ChatGPT’ye verip çıkan sonucu hiçbir doğrulama yapmadan doğrudan göndermiş. İnsan gerçekten nedenini merak ediyor
Sonuçta bütün bunlar "ben X, Y, Z projelerine katkıda bulundum" diyebileceği bir geçmiş oluşturmak için yapılıyor. LLM’lerden önce de işe yaramayan yazım hatası düzeltme PR’ları gibi anlamsız katkılar çoktu
Bu yüzden ben AI kullanıcılarını en baştan etkileşim kapsamımın dışında bırakıyorum. Ürettikleri halüsinasyon dolu, hatalı çıktıları incelemek için kendi zamanımdan kat kat fazlasını harcamam gerekiyor; bilgisayarla konuşmam için bir neden yok
Sonuçta her zaman bir yerlerde biri daha büyük bir tekne sahibi olmak için bunları yapıyor
1 yorum
Hacker News görüşü
Birinin badger’ın yanıtını olduğu gibi Chat’e yapıştırıp, bariz şekilde AI tarafından yazılmış gibi duran bir cevabı issue’ya yeniden gönderdiğini gördüm. Şöyle bir şeydi: "Hızlı inceleme için teşekkürler. PoC’min libcurl kullanmadığı için cURL hatasını kanıtlamadığının doğru olduğunu kabul ediyorum. Cookie overflow iddiamı geri çekiyorum ve yarattığım karışıklık için özür dilerim. Lütfen bu raporu geçersiz olarak kapatın. Yardımcı olacaksa, gerçekten libcurl’ün cookie parser’ını çalıştıran minimal bir C reproducer kodunu ayrıca gönderebilirim ve bir sorun varsa lib/cookie.c içindeki tam fonksiyon/satırı referans vererek bildirebilirim." Bunu neredeyse aynen göndermişti
Ne yazık ki bugünlerde bu tür basit kopyala-yapıştır davranışları fazlasıyla yaygın hale geldi
Bazı teknoloji insanları, AI kullanarak "bu AI tanınmış bir açık kaynak projeye PR açıp katkıda bulundu" diye övünmek istedikleri için bunu bilerek yapıyor gibi görünüyor. Yani şu anda AI’nin yaptığı işi OSS gönüllülerine yıkıyorlar; gerçekten çalışıp çalışmadığını kontrol bile etmeden açık kaynak bakımcılarının zamanını tüketiyorlar
En başından beri hiç insan müdahalesi olmadan tamamen AI ile mi yapıldı diye merak ediyorum. Yakında CVS’ler, ajanların hesap açıp AI’nin olduğu gibi 'bug' gönderdiği şeylerle mi dolacak diye endişeleniyorum
Bu cümledeki "teşekkürler", "doğru" gibi ifadeler, kusursuz dilbilgisi ve teknik referans bolluğu yüzünden bu cevabın kendisi de AI yazımı gibi duruyor
Artık bu tür AI yanıtlarını hızla fark edebiliyor olmamız, AI’nin fiilen Turing testinden kaldığı anlamına gelmiyor mu diye düşünüyorum
"Çok hızlı matematik yaptığını duydum" Ben: "Evet, doğru" Mülakatçı: "14 x 27 kaç eder?" Ben: "49" Mülakatçı: "Tamamen yanlış" Ben: "Ama hızlıydım"
Keşke "almost-just-in-time (AIJIT)" derleme dilleri olsa. Süre yetmezse rastgele bir cevap döndürür
Bu da gerçek anlamda rastgele sayı döndüren bir örnek işte
Yük testi yaptığımda en düşük gecikmeli yanıtlar, bir şeylerin yanlış gittiği isteklerde oluyordu
"Is this your card?" videosundaki gibi bir durum: "Bu sizin kartınız mı?" "Hayır ama bayağı yaklaştın! Aradığın kişi bu işte"
"Bana kişisel olarak ne kadar zaman kazandırdı" ile "başkalarının ne kadar zamanını boşa harcattı" arasındaki denge bu teknoloji 'devriminde' tam olarak nerede, merak ediyorum
Ben de AI yardımını birçok kez çok faydalı buldum (Claude Code, Gemini Deep Research vb.). Ama arada mutlaka bir insan olmalı ve hesap verebilirliğin bulunduğu kurumsal ortamlarda bile bu sorun yaşanıyor. AI kullanılıyorsa, PR ya da HackerOne raporu gönderildiğinde son sorumluluk tamamen insanda olmalı. Gördüğüm kadarıyla özellikle junior geliştiriciler AI yanıtlarını olduğu gibi kopyalayıp gönderiyor; senior biri olarak buna sert şekilde karşı çıkmak gerektiğini düşünüyorum. AI yardımı sorun değil ama nihai doğrulama ve sorumluluk insana ait olmalı
Hatta başkasının AI ile yazdığı cevabı benim AI aracıma verip yeniden yanıt ürettirirsek kusursuz bir 'enerji-para dönüşümü' otomatik çevrim modeli elde ederiz. Kimse gerçekten zaman harcamaz, sadece enerji israf edilir. Mükemmel bir iş modeli gerçekten
Aslında bu sadece AI araçlarında değil; yeni masraf yönetim araçlarında (muhasebe için iyi ama kullanım deneyimi kötü), sözleşme inceleme süreçlerinde (hukuk ya da infosec için iyi ama herkesin kullandığı SaaS’larda zahmetli) ve benzer şeylerde de sık görülüyor. Her zaman birileri kendi işini başkasına yıkarak zaman kazanmaya çalışır
Başkalarının zamanını boşa harcatırsan, sonuçta birilerinin AI’nin ürettiği saçmalığı anlamaya çalışması gerekecek; yani bir nevi istihdamı da koruyor
Gerçek bir zafiyet bulamayıp sadece başkalarının zamanını aldıysa, onların kazandığı söylenen zaman aslında hiç var olmamış demektir
Bundan çok daha vahim bir örnek var
https://hackerone.com/reports/2298307
"Katılımınız için teşekkür eder, durumu netleştirmek isterim" gibi, insan müdahalesini bile sanki bir 'deney koşulu' gibi ele alan cümleler yüzünden gerçekten insanın tepesi atıyor
Bu tavır gerçekten çok kaba
Birisinin sadece AI alıntılarını toplayan base.org benzeri bir site yapması gerektiğini düşünüyorum
Bu gibi durumlarda geliştiricilerin ya da bakımcıların iyi niyetle ve özenle cevap vermesini görmek tamamen iç burkucu geliyor
2023’te AI tarafından yazılmış saçmalığı ayırt etmek daha zordu sanki. Bunun ne zaman bu kadar taşmaya başladığını bile hatırlamıyorum
Zaman geçtikçe AI üretimi içeriği, özellikle görsel, metin ve kodu, çok hızlı ayırt eder oldum. Bu yazı da baştan sona tam bir 'AI stili'. badger’ın çok profesyonel davrandığını düşünüyorum; Linus Torvalds olsaydı nasıl tepki verirdi diye merak ediyorum
Bu olay o kadar açıktı ki hemen fark edildi ama zamanla bunların daha da sinsi hale gelecek olması ürkütücü
Öte yandan bazen bariz biçimde AI olmayan şeylere de insanların AI damgası vurduğu oluyor. Bu bana, kendi algısına ya da düşünce çerçevesine uymayan yeni bilgi veya gerçeklerle yüzleşmek istemeyen bir tür ego savunma mekanizması gibi geliyor. Mesela yakın zamanda Beyaz Saray penceresinden iki siyah torbanın atıldığı bir video vardı ve Trump izler izlemez bunu "AI manipülasyonu" diye geçiştirdi. Gerçek ya da sahte olmasından bağımsız olarak, her şeyi refleksle AI’ye yıkıp bunu bir yalan aracı olarak kullanmanın yeni bir biçimi gibi duruyor. Böyle anlık bir "bu AI" tepkisi yerine, "bakacağım" deyip geçmek daha üretken olurdu. Sonuçta masum şeylerde sürekli AI’yi suçlama kültürü, kamuoyunu giderek daha fazla koşullandırıp gerçekten önemli meseleleri de "AI sahtekârlığı" diye reddetmeye itiyor. Tıpkı 1984’teki gibi, savaş bitmez ama zaman zaman ortadan kaybolur; aynı anda yokmuş gibi paketlenir. AI’nin ürettiği gerçek/sahte medya ve bunun etrafındaki kamuoyu manipülasyonunun ileride daha da ciddi hale geleceğini düşünüyorum
Sırf "AI biliyorum" diye geçmişteki trilobite geliştiricilerden daha zeki olduğunu sanan tavır ileride daha çok sorun çıkaracak gibi. Bu yüzden ilkokullarda başta hesap makinesi kullanılmasına izin verilmemesinin bir sebebi olduğunu düşünüyorum
Zafiyet raporu göndermenin ücretli hale getirilmesi iyi olabilir diye düşünüyorum. AI ya da insan fark etmeksizin, spam yapanlar çok düşük maliyetle işlerini kitlesel üretip doğrulama yükünü başkalarına bırakıyor ve arada nadiren anlamlı bir sonuç çıktığı için sanki toplumsal olarak faydalıymış gibi görünüyor. Ama toplamda topluma zararı var. Rapor göndermenin bir maliyeti olsa bu model ayakta kalamaz
Bu yaklaşım daha çok gönderimi engelleyen klasik bir yöntem gibi geliyor
Bildirim sırasında küçük de olsa bir depozito alınsa bence işe yarar. Gerçekten ciddi bir cURL hatası bulduysan, raporlamak için $2~5 depozito ödemeye razı olursun (hele ki sonunda ödül alma ihtimalin de yüksekken)
Öğretmenler zaten neredeyse tüm derslerde öğrencilerin AI kullanmasıyla her gün karşılaşıyor. Bu durumun birebir aynısı
"Muhbir banlandı ve hesabını da silmiş gibi görünüyor" dendiğini duydum. Bunun, XZ utils saldırısına benzer şekilde koruma mekanizmalarının boşluklarını test eden bir phishing saldırısı, yani savunma testi olmasından endişe ediyorum. Sonuçta cURL kritik bir yardımcı araç. Bir anlamda 419 spam gibi ekibin tetikte oluşunu, tepki hızını ve iş yükünü ölçüyor. Nihayetinde bu, AI’nin yarattığı DDoS sorununun bir parçası ve yeni bir PR doğrulama yaklaşımına, örneğin Nostr tabanlı itibar ağı doğrulamasına ihtiyaç var gibi görünüyor
Geçenlerde Linux UI hatasını 15 dakikada düzelttiğini iddia eden bir patch’i test ettim ama aslında alakasız sahte özellikler doldurulmuş bir yanıttı. Adam sadece GitHub issue’sunu ChatGPT’ye verip çıkan sonucu hiçbir doğrulama yapmadan doğrudan göndermiş. İnsan gerçekten nedenini merak ediyor
Sonuçta bütün bunlar "ben X, Y, Z projelerine katkıda bulundum" diyebileceği bir geçmiş oluşturmak için yapılıyor. LLM’lerden önce de işe yaramayan yazım hatası düzeltme PR’ları gibi anlamsız katkılar çoktu
Bu yüzden ben AI kullanıcılarını en baştan etkileşim kapsamımın dışında bırakıyorum. Ürettikleri halüsinasyon dolu, hatalı çıktıları incelemek için kendi zamanımdan kat kat fazlasını harcamam gerekiyor; bilgisayarla konuşmam için bir neden yok
Sonuçta her zaman bir yerlerde biri daha büyük bir tekne sahibi olmak için bunları yapıyor