curl'de yapay zeka araçlarıyla keşfedilen potansiyel sorunlar

Hacker News yorumu

• Bence ideal bir "AI kodlama eşlikçisi" tam olarak böyle bir şey
  Kodu doğrudan yazmak veya düzeltmek yerine, koddaki şüpheli noktaları ve daha yakından bakmam gereken yerleri işaret etmesini isterim
  Claude'dan 20 bin satırlık C kütüphanemde hata bulmasını istediğimde, dosyaları parçalara ayırıp belirli kod desenlerinde grep çalıştırıyor ve sonunda sadece benim FIXME yorumlarımı listeliyor (gülüyor)
  Aslında basit bir bash betiğinin yapabileceği düzeyde ve oldukça hayal kırıklığı yaratıyor
  ChatGPT ise bundan da daha az faydalı; sadece "her şey iyi görünüyor! harika iş! çak bir beşlik~" deyip duruyor
  Şimdiye kadar gerçek hataları bulmada geleneksel statik analiz çok daha faydalı oldu, ama statik analizin temiz çıkması mantıksal hata olmadığı anlamına gelmiyor
  Bence tam da burada LLM'lerin parlaması gerekiyor
  Eğer LLM'den daha faydalı potansiyel hata bilgisi almak için aşırı özelleştirilmiş bir ortam kurmak gerekiyorsa, statik analiz araçlarının da karmaşık ayar istediğinde pek kullanılmaması gibi, sonuçta kullanım değeri düşer
  • Birçok programcının, özellikle de tekrarlı kod dışında, bizzat tasarlayıp kod yazmayı sevdiği ama kod incelemeyi çok tercih etmediği gerçeği neredeyse hiç konuşulmuyor
    AI'ın kodu yazıp programcının sadece inceleme yapması yönü bir yerde yanlış bir akış gibi geliyor
    Tabii "kod satırı sayısı artıyor~" diye satmaya çalışmalarını anlıyorum
  • Claude'dan söz edildiği gibi hayal kırıklığı yaratan sonuçlar geldiğinde, çoğu zaman "hangi prompt'un işe yarayacağını doğrudan Claude'un kendisine sormak" iyi sonuç veriyor
    Örneğin, "Claude Code'un FIXME, TODO gibi yorumları görmezden gelip mantıksal hataları etkili biçimde incelemesi için nasıl bir prompt yazmalıyım?" diye soruyorum
    Ortaya çıkan prompt uzun olduğu için buraya sığmaz ama gist'te paylaşılan örneğe bakabilirsiniz
    Sonra o sonucu temel alıp geliştirmeye devam ederek bir ajana da dönüştürebilirsiniz
  • Cursor BugBot bu role oldukça iyi uyuyor
    Ücretsiz denemeden sonra geliştirme ekibimiz içinde çok beğenildiği için resmen kullanıma aldık
    Ara sıra yanlış tespitler dışında çok faydalı
    Hem PR yazarı hem de inceleyen kişi için ciddi zaman kazandırıyor
  • Claude'a "belirli bir endpoint'te yanıt süresinin yavaş olduğu bir hata var ama CPU/bellek kullanımıyla ya da DB ile ilişkili görünmüyor, sebebi ne olabilir?" diye sorduğumda, birkaç turdan sonra gerçekten bulunması zor bir hataya dair ipucu aldığım oldu
    Normalde saatler sürecek bir sorunu, aldığımdan ipucuyla çözdüğüm oldu
    AI'ın bu şekilde kullanılabilmesi bana çok umut veriyor
  • GPT-5 bu tür durumlarda önceki modellere göre çok daha az yağ çekiyor
    "Her şey iyi görünüyor" gibi bir yanıt vermesi biraz şaşırtıcı
    Codex CLI içinde kullanınca sık sık şüphelerini dile getiriyor
    Gemini 2.5 Pro da bu konuda fena değil
• curl ve AI hakkında olumlu bir hikâye çıkmasını gerçekten hiç beklemiyordum
  Geçmişe bakmakta fayda var: curl+AI ile ilgili HN arama bağlantısı
  • Daniel Stenberg'in geçmişte AI hata raporlarıyla ilgili türlü sorun yaşamasına rağmen bu kez konuya cömert bir tavırla yaklaşması gerçekten etkileyici
• Buradaki kilit nokta bunun bir "araç seti" olması gibi görünüyor. Otomatik pilot sanılmıyor; araçlar doğru biçimde bir araya getirilip bir sistem gibi kullanılıyor
  • Katkıyı yazan kişi ana metinde daha fazla ayrıntı vermiş gibi görünüyor ilgili blog (Mastodon'da bahsedilen: ilgili bağlantı)
  • Tartışmanın "otonom sürüş vs. başıboş bırakma" gibi ikili bir çerçeveye sıkışmış olması üzücü
    Sonuçta mesele, ne yaptığını anlayarak kullanan kişiyle sadece havaya göre kod yazan kişi arasındaki fark gibi görünüyor
  • Stenberg bunu bir araç seti olarak tarif etti ama aracı gerçekten kullanan katkıcı ne düşünüyordu, onu da merak ediyorum
• curl deposunda "sarif data" ifadesini anan kapatılmış 55 PR var; bu kez sözü edilen PR'ler de tam bu grup
  Bu, Daniel Stenberg'in geçmişte AI'ın ürettiği özensiz sahte güvenlik sorunlarıyla uğraşmak zorunda kalmasıyla tezat oluşturuyor
  HackerOne ile ilgili olarak şunu söylemişti: "AI tarafından üretilmiş çöp issue gönderenleri anında banlıyorum. Bu resmen DDoS düzeyinde bir saldırı. Harcanan zaman için fatura kesmek istiyorum."
  Bu yılın ocak ayındaki Daniel blog yazısına da bakılabilir: The I in LLM stands for Intelligence?
  • Bazı hatalar, örneğin size_t için yanlış printf biçim belirteci kullanımı, derleyicide warning flag'ler düzgün ayarlanırsa zaten tespit ediliyor
    AI'ın "önemli derleyici warning flag'leri eksik" diye uyarması oldukça faydalı olabilir
    Bazı PR'ler muhtemelen dependabot eşleşmeleriyle ilgili ve daha somut PR listesi için "Joshua sarif data" diye aratabilirsiniz: bağlantı
  • O dönemde kullanılan modellerin epey ilerlemiş olduğu anlaşılıyor
    Daniel Stenberg'in izleniminin değişmesini buna bağlıyorum
• Ticari SAST tarayıcıları arasında iyi olanlar var ama çoğu tatmin edici değil
  AI tabanlı SAST teknolojisini benimsemeyi savunan çok kişi var ve buna yönelik ürünler de çıkıyor, ama çoğu hâlâ beklentinin altında
  Sadece hayal kırıklığı yaratması bile iyi sayılır; daha kötüsü, yanlış bir güvenlik algısı oluşturup risk yaratabiliyor
  AI tabanlı SAST tarayıcılarına dair eleştirel bakış ve gerekçeler burada anlatılıyor
• Tam olarak hangi AI aracının kullanıldığını ilk anda anlamak zordu
  Mevcut araçların çeşitli hataları bulamadığı bir durumda, bu yaklaşımın neden daha etkili olduğunu merak ediyorum
  • ürünlerle ilgili bölümü olan blog yazısında biraz daha bilgi bulunabilir
    Mastodon bağlantısının, hatalı kod parçası olsa bile bunun gerçekten bir bug olduğunu doğrulamak için kullanıldığı tahmin ediliyor
• İlgili bir örnek olarak, "AI ile bir şey yapıp aslında ne yaptığını bilmeyen kişi" vakası paylaşılmış: You did this with an AI and you do not understand what you're doing here