Cloudflare, Cloudflare Workers üzerinde Matrix’i uyguladığını iddia etti ama gerçekte öyle değil

 (tech.lgbt)
1 puan yazan GN⁺ 2026-01-28 | 1 yorum | WhatsApp'ta paylaş
  • Cloudflare, Matrix protokolünü Cloudflare Workers üzerinde uyguladığını duyurdu, ancak kodda temel işlevler eksik
  • Kodun genelinde ‘TODO: Check authorisation’ gibi tamamlanmamış yorumlar bulunuyor ve imza doğrulama ile kimlik doğrulama süreçleri eksik durumda
  • Durum çözümleme algoritması uygulanmadan en güncel durum doğrudan veritabanına ekleniyor; bu da güvenlik açıkları ve uyumluluk sorunları doğurabilir
  • Blog yazısı yayımlandıktan sonra Cloudflare, yazıyı ve README’yi değiştirerek “prodüksiyon için uygun değildir” şeklinde bir sorumluluk reddi notu ekledi
  • Geliştirici topluluğunda yapay zeka üretimi kod ve yanıltıcı teknik iddialar hakkındaki eleştiriler büyürken, Cloudflare’ın güvenilirliği sorgulanıyor

Cloudflare’ın Matrix uygulaması iddiası ve kodun incelenmesi

  • Cloudflare, şirket blogunda Matrix’i Cloudflare Workers üzerinde uyguladığını duyurdu, ancak gerçek kod temel işlevleri yerine getirmiyor
    • Kodda ‘TODO: Validate PDU signature’, ‘TODO: Check authorization’ gibi tamamlanmamış yorumlar duruyor
    • Matrix sunucuları arası API’nin kimlik doğrulama kuralları uygulanmadığı için sahte veriler de kabul edilebiliyor
  • Matrix’in çekirdeğindeki durum çözümleme (state resolution) algoritması atlanmış ve bunun yerine en güncel durum doğrudan DB’ye yazılıyor
    • Bu da oda (room) durumu tutarsızlıkları ve birlikte çalışabilirlik sorunları ile güvenlik açıklarına yol açabiliyor

Hatalı teknik iddialar ve değişiklik geçmişi

  • Cloudflare blogunda Tuwunel ve onun önceki sürümünün Postgres ya da Redis kullandığı yazıldı, ancak bu doğru değil
  • Daha sonra yazı düzeltilerek ‘Synapse’ ile değiştirildi ve README’ye de “prodüksiyon için olmayan örnek bir prototip” ifadesi eklendi
    • Bu değişiklikler GitHub commit’inde (fd412f41f98c0f3f360f5c4034443ef80680de49) görülebiliyor
    • Düzeltilmiş sürümde ayrıca Claude Code Opus 4.5’in yardımından yararlanıldı ifadesi de yer alıyor

Topluluk tepkisi ve eleştiriler

  • Mastodon ve Lobsters gibi platformlarda yapay zeka üretimi kod ve yanıltıcı teknik tanıtım eleştirileri yayılıyor
    • “İmza doğrulama, hash ve kimlik doğrulamayı çıkarmışlar”, “güvenli bir sistem değil, sadece basit bir örnek düzeyinde” gibi çok sayıda eleştiri var
  • Bazı kullanıcılar Cloudflare’ın tepkisini “örtbas etme girişimi” olarak değerlendiriyor; commit geçmişinin silinmesi ve force push kayıtları izleniyor
  • Topluluk içinde alaycı tepkiler de sürüyor
    • “Serverless mimari olduğu için maliyet 0’a ölçekleniyor (çünkü ortada bir şey yok)”
    • “Cloudflare, mesajları hiç göndermeyerek kusursuz güvenlik sağladı”

Jade’in ek açıklamaları ve proje tanıtımı

  • Jade, geliştirmekte olduğu Rust tabanlı Matrix homeserver’ı Continuwuity’yi tanıttı
    • Raspberry Pi üzerinde de çalışabiliyor ve merkezi bulut altyapısına bağımlı değil
  • FOSDEM 2026’da Matrix güvenlik açığı yamalama deneyimi üzerine bir sunum yapması planlanıyor
    • Ortak konuşmacı @nex@fedi.transgender.ing olacak ve Matrix standında da yer alacak

Devam eden tartışmalar ve teknik ayrıntılara tepkiler

  • Birçok geliştirici, Cloudflare kodundaki mantık hatalarına (|| yerine ?? kullanımı gibi), ‘unknown error’ işleme biçimine ve aşırı TODO yorumu kullanımına dikkat çekti
  • Bazıları, Cloudflare’ın düzeltme commit’i için “‘Remove PII’ ifadesinin herkese açık bir commit olarak kalması ironik” yorumunu yaptı
  • Topluluk genelinde, Cloudflare’ın yapay zekaya aşırı bağımlı geliştirme yaklaşımı ve teknik güvenilirlik eksikliği konusunda endişeler dile getiriliyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-28
Hacker News yorumları

  • Altyapı şirketlerinin teknik bloglarının aslında iki amacı vardır: uzmanlık göstermek ve güven inşa etmek
    Ama abartılı ifadeler girmeye başladığında ikisi de kaybedilir
    “Matrix’i biz uyguladık” ifadesi gerçekten doğru mu, yoksa pazarlama abartısı mı bilmiyorum ama sektör genelinde “X’i yaptık” diyen yazıların aslında “X’in bir kısmını demo ettik” düzeyinde olduğu çok oluyor ve bu da yorgunluk yaratıyor
    Çözüm basit — tam olarak ne inşa ettiğinizi açıkça yazmak. “Sınırlamaları olan bir Matrix homeserver prototipini Workers üzerinde çalıştırdık” gibi bir ifade kullansalar da güven kaybetmezlerdi

    • Adil olmak gerekirse, Cloudflare’in teknik yazıları genelde içgörülü içerikler barındırıyor
    • Ama bunu bu kadar dürüst yazsalar yöneticiler kızardı. Çünkü bu, LLM’nin CEO’ların vaat ettiği seviyeye henüz ulaşmadığını kabul etmek olurdu

  • Benim yorumuma göre biri hem yazıyı hem depoyu ‘vibe coding’ ile aynı anda üretip, inceleme olmadan Cloudflare bloguna koymuş gibi görünüyor
    Yazarı mühendis değil gibi duruyor ve AI “bu üretim seviyesinde, test edildi” deyince buna aynen inanmış gibi
    Kodun Cloudflare’in resmi deposunda değil de kişisel GitHub hesabında olması temel ipucu. Cloudflare’in bundan sonra kamuya açık iletişimler için inceleme sürecini güçlendirmesi gerekiyor

    • Bu kişi Cloudflare çalışanıysa, başka neleri vibe coding ile yapıyordur diye insan endişeleniyor. Eskisi gibi “yanlışlıkla” internetin yarısını ne zaman yine keserler belli olmaz
    • Duyduğuma göre Cloudflare’in CEO’su ve CTO’su tüm blog yazılarını bizzat inceliyormuş
    • Sorun sadece “yapılabiliyor mu” değil, kurum içindeki teşvik yapısı
      Cloudflare’in blog yazılarını, mühendisler dahil tüm roller için temel çıktı olarak gördüğü söyleniyor. Böyle bir yapıda kalite yerine hızın öne çıkması kolaydır
      Sonuçta bu olayla birlikte güven azalacak, inceleme süreçleri artacak ve yayın hızı düşecek. Bu, organizasyon büyürken yaşanan doğal bir evrim süreci
      Ama yazıyı hâlâ kaldırmamış olmaları ve hatta düzeltmelerle daha büyük kafa karışıklığı yaratmaları şaşırtıcı

  • Cloudflare’in bu olay hakkında bir kök neden analizi (RCA) yazısı yayımlamasını isterdim
    Arıza raporları gibi ilgi çekici bir okuma olurdu
    Bu kez hangi inceleme süreçlerinin başarısız olduğunu ve blogun güvenilirliğini nasıl yeniden kuracaklarını merak ediyorum

  • Jade’in bahsettiği kaynak koduna baktım; görünüşe göre yazar bu başlığın farkına varmış
    İlgili commit bağlantısı

    • Yeni commit’te README’deki “production grade” ifadesi kaldırılmış, AI yardımı alındığı açıkça belirtilmiş ve ASCII diyagram hizalaması düzeltilmiş
      Commit bağlantısı
      Açıkçası hem blog hem de depo doğrudan silinmeliydi
    • Ama o commit şimdi “Clean up code comments” olarak değiştirilmiş ve amaç bulanıklaştırılmış
      Düzenlenmiş commit
    • Bu tür düzenlemeler durumu daha da kötüleştiriyor

  • Cursor’un GPT-5.2 ile sıfırdan bir web tarayıcısı yaptığına dair sahte haberin yalanlanmasının üzerinden daha birkaç gün geçmeden bu olay yaşandı
    Bu tür hikâyelere karşı temelde önce şüpheyle yaklaşmak gerekiyor

    • Ben de bizzat “Cursor’un tarayıcı deneyi” haberini yazdıktan sonra tek bir ajanla tarayıcı yapmayı denedim
      Show HN gönderisi
      Sonuçta, Cursor’un yüzlerce ajanı haftalarca çalıştırarak ulaştığına benzer bir seviyeyi 20 bin satır kodla gerçekleştirdim
      Depo bağlantısı
    • Sorun şu ki ne Cloudflare’in blogunda ne de depoda bunun “vibe coding” olduğu belirtilmişti
      Sadece matrix-workers deposuna bakmak bile hizasız ASCII diyagramıyla ipucu veriyor; buna rağmen bunun bile gözden geçirilmemiş olması şaşırtıcı
    • İşlevlerin gerçekten çalışıp çalışmadığını bile doğrulamadan yazıyı yayımlamış olmalarını anlamak zor
    • Bugünlerde “AI” ile ilgili kişilerin çoğu bana dolandırıcı ya da palavracı gibi görünüyor. Henüz istisna görmedim
    • Birçok kişi bu “teknolojiye” aşırı yatırım yapmış durumda, bu yüzden şirket duyurularına otomatik olarak inanmayan hacker etiğine geri dönülmesi zaman alacak

  • Orijinal blog yazısının üst kısmına “Bunun bir proof of concept olduğu açıkça belirtilmiştir” ifadesi eklenmişti ama alt kısımda hâlâ
    “Ekibimiz gerçek şifreli iletişimi Matrix on Workers ile işliyor” cümlesi duruyordu
    Hangisinin doğru olduğu tamamen kafa karıştırıcı

    • “Ekibimiz Matrix on Workers kullanıyor” iddiasına inanmak zor. Depo kişisel GitHub’da ve uygulama da eksik
    • 11:45’te tekrar düzenlenmiş ve şimdi “Bu uygulamayı deniyoruz, ilgilenen katkı sunucularını memnuniyetle karşılarız” şeklinde değiştirilmiş
      Arşiv sürümü
    • Eğer gerçekten içeride böyle kullanıyorlarsa, eksik ve riskli kodu şirket içi ağda çalıştırıyor olmaları şaşırtıcı olurdu

  • Büyük bir tedarikçinin gerçekten çalışmayan kod yayımlayıp bunun üzerinden ürün satmaya çalışması endişe verici
    Karmaşık mühendisliği kolaymış gibi göstermek, güvenli yazılım üretmenin zaman aldığını anlatmayı zorlaştırıyor
    Bu tür davranışlar platforma duyulan güveni zedeliyor

    • Sorun şu ki sektör zaten çok uzun süredir “dibe doğru yarış” içinde
      AI ile kod yazma sadece bu aşırı basitleştirilmiş hayali kullandı; sonuçta bu durumu doğuran şey açgözlü piyasa yapısı oldu

  • Cloudflare orijinal yazıyı sürekli düzenlediği için, aslına bakmak isteyenler için bu arşiv bağlantısı faydalı

    • Biri Mastodon’da 🤮 emojisiyle alıntılayınca, blogdaki LLM’e özgü cümle kalıbı olan “not just X; Y” yapısını sessizce kaldırdılar

  • Bu olay hem Cloudflare hem de yazar için utanç verici bir vaka
    Yazının inceleme olmadan yayımlanmış olması inanılmaz
    Son dönemde Cloudflare’de sık sık hatalar yaşanıyor; bir zamanların zirvesini geride bırakıp kademeli bir düşüş eğilimine girmiş gibi görünüyor

    • “Cloudflare’de son zamanlarda neden bu kadar çok başarısızlık var?” diye düşündürüyor. Muhtemelen son dönemin yeni moda teknolojileri ile ilgisi vardır

  • Blogu Hacker News’e gönderen hesabın geçici hesap (throwaway) olması, yazarın kendi koduna ve iddialarına güvenmediğini ima ediyor
    HN bağlantısı

    • Üstelik kendi yazısına yorum yapıp soru soruyormuş gibi bile davranmış