Capability Çağı Bitti: Şimdi Responsibility Dönemi

Yapay zekâ dünyası uzun süredir aynı soruya takılı kaldı:

“Bu model ne yapabiliyor?”

Daha hızlı mı? Daha akıllı mı? Daha uzun context window’a mı sahip? Daha fazla tool mu kullanıyor?

Sektör yıllardır yetenek yarışına odaklandı. Ancak üretim ortamına geçen şirketlerin artık çok daha sert bir gerçekle karşı karşıya kaldığını görüyoruz:

Asıl problem modelin ne kadar zeki olduğu değil. Asıl problem, o zekânın hangi sınırlar içinde hareket ettiği.

Çünkü bugün artık yapay zekâ sistemleri sadece öneri üretmiyor.

Gerçek dünyayı değiştiriyor.

Para transfer ediyor. Firewall kuralı yazıyor. Üretim sistemini değiştiriyor. Müşteri kaydı güncelliyor. Sigorta primi belirliyor. Tedarik zincirini yeniden yönlendiriyor.

Ve bu noktada mesele “AI capability” olmaktan çıkıp doğrudan “AI governance” problemine dönüşüyor.

İnsanlık yine klasik refleksini gösterdi:

Önce sistemi inşa etti. Sonra “bunu kim kontrol edecek?” sorusunu sormaya başladı.

Teknoloji tarihinde bunun sayısız örneği var. İnternet önce geldi, regülasyon sonra. Sosyal medya önce büyüdü, dezenformasyon tartışması sonra başladı. Şimdi aynı döngü agentic AI tarafında yaşanıyor.

Kurumsal dünyada bugün en yaygın güvenlik yaklaşımı hâlâ şu:

AI bir karar verir. İnsan onaylar.

Kağıt üstünde kulağa mantıklı geliyor. Gerçekte ise büyük ölçekli sistemlerde hızla bir operasyonel kabusa dönüşüyor.

Çünkü sistem büyüdükçe insan artık “kontrol eden kişi” olmaktan çıkıyor. Sadece onay butonuna basan kişiye dönüşüyor.

İlk başta kararlar dikkatle inceleniyor. Sonra queue büyüyor. Sonra yüzlerce approval geliyor. Sonra insanlar JSON payload okumayı bırakıyor. Sonra herkes “Approve” basıyor.

Çünkü toplantı başlamak üzere. Çünkü backlog büyüyor. Çünkü şimdiye kadar büyük bir felaket yaşanmadı.

Modern AI operasyonlarının en büyük problemi tam da burada başlıyor:

Governance, denetim olmaktan çıkıp throughput yönetimine dönüşüyor.

Bu aslında SOC ekiplerinin yıllardır yaşadığı “alert fatigue” probleminin yeni versiyonu.

SIEM sistemleri nasıl ki milyonlarca alarm üretip analistleri kör ettiyse, kontrolsüz AI approval sistemleri de aynı noktaya gidiyor.

Ve burada kritik gerçek şu:

Problem insanların dikkatsiz olması değil. Problem mimarinin insanı ölçeklenemeyen bir kontrol mekanizması olarak kullanması.

Yeni yaklaşımın temelinde çok basit ama çok güçlü bir fikir var:

Bir AI agent’ı “neler yapabilir?” sorusuyla değil, “hangi sınırlar içinde hareket edebilir?” sorusuyla tanımlamak.

Aradaki fark küçük görünse de üretim ortamında devasa sonuçlar doğuruyor.

Örneğin:

Bir trading agent için capability şu olabilir:

“Borsada işlem yapabilir.”

Ama responsibility tanımı bambaşkadır:

“Likiditesi yüksek hisselerde, işlem başına maksimum 50 bin dolar ile işlem yapabilir. Günlük zarar limiti yüzde 2’yi aşamaz.”

İşte gerçek üretim güvenliği tam burada başlıyor.

Çünkü prompt seviyesinde yazılan:

“Lütfen dikkatli işlem yap.”

ifadesi bir tavsiyedir.

Ama runtime seviyesinde enforce edilen:

max_order_size = 50000

bir kuraldır.

AI çağının en kritik mimari dönüşümü de tam burada yaşanıyor:

Prompt’tan policy’ye geçiş.

Bugün çoğu şirketin yaptığı hata şu:

LLM’i doğrudan execution layer’a bağlamak.

Yani modelin reasoning output’unu doğrudan aksiyona çevirmek.

Bu yaklaşım demo ortamında etkileyici görünüyor. Production ortamında ise son derece tehlikeli.

Çünkü LLM’ler probabilistic sistemlerdir.

Aynı input farklı output üretebilir. Context drift yaşayabilir. Prompt injection’a maruz kalabilir. Kendi confidence seviyesini yanlış hesaplayabilir.

Dolayısıyla modern AI sistemlerinde asıl ihtiyaç duyulan şey:

Deterministic execution kernel.

Yani modelin öneri sunabildiği ama gerçek dünyaya doğrudan dokunamadığı bir katman.

Yeni nesil mimariler tam olarak bunu öneriyor:

AI düşünür. Runtime karar verir.

Bu ayrım son derece kritik.

Çünkü böylece AI sistemi artık “komut veren” yapı olmaktan çıkıyor. “Öneri sunan” yapıya dönüşüyor.

Gerçek otorite ise policy engine’de kalıyor.

Buradaki en önemli mimari ayrımlardan biri de şu:

AI sisteminin açıklaması ile aksiyon önerisi birbirinden ayrılıyor.

Yani sistem önce:

“Bu kararı neden önerdiğini” anlatıyor.

Sonra:

“Tam olarak hangi aksiyonu almak istediğini” yapılandırılmış formatta sunuyor.

Bu ayrım kulağa teknik gibi geliyor ama aslında regülasyon dünyası için devrimsel.

Çünkü artık audit sırasında:

“Bu AI neden böyle davrandı?”

sorusuna cevap üretmek mümkün hale geliyor.

Özellikle finans, sağlık, sigorta ve kamu tarafında bu yaklaşımın hızla standartlaşacağını düşünüyorum.

Avrupa Birliği AI Act düzenlemeleri de zaten tam olarak bu yöne gidiyor:

Açıklanabilir, izlenebilir, denetlenebilir AI.

Asıl kırılma noktası burada.

Yeni model artık:

İnsanın her kararı tek tek onaylaması değil.

Kuralları tasarlaması.

Yani insan execution queue içinde değil. Governance katmanında yer alıyor.

Bu yaklaşım “Human-Over-The-Loop” olarak tanımlanıyor.

Yani insan:

Her işlemi kontrol eden kişi değil, Sistemin sınırlarını belirleyen kişi.

Ve sadece gerçekten istisnai durumlarda devreye giriyor.

Bu aslında endüstriyel otomasyonun yıllar önce çözdüğü problemin AI versiyonu.

Bir fabrikanın başında her ürünü tek tek kontrol eden insanlar durmuyor artık.

İnsanlar üretim hattını tasarlıyor. Sistem kendi içinde çalışıyor. İstisnai durumlarda alarm üretiyor.

AI operasyonlarının da gittiği yön tam olarak bu.

Türkiye’de şirketlerin büyük bölümü hâlâ AI kullanımını “copilot” seviyesinde değerlendiriyor.

Ancak önümüzdeki 2-3 yıl içinde asıl kırılma:

Agentic AI tarafında yaşanacak.

Özellikle:

• Bankacılık
• Sigortacılık
• Telekom
• Çağrı merkezi operasyonları
• E-ticaret
• Kamu hizmetleri
• Lojistik
• Enerji

alanlarında AI sistemleri artık sadece analiz yapan değil, karar veren yapılar haline gelecek.

Ve burada en kritik soru şu olacak:

Bu sistemin authority envelope’u nerede bitiyor?

Çünkü Türkiye’de kurumların büyük bölümü hâlâ security odaklı düşünüyor.

Oysa yeni çağın problemi sadece security değil.

Governance.

Bu ikisi aynı şey değil.

Bir sistem güvenli olabilir. Ama yanlış yetki modeli nedeniyle kurumsal riske dönüşebilir.

Önümüzdeki dönemde şirketler arasında gerçek farkı yaratacak olan şey:

Kim daha büyük model kullandı değil, Kim daha governable AI sistemi kurdu olacak.

Bence önümüzdeki dönemde AI dünyasında iki farklı şirket tipi ortaya çıkacak.

Birinci grup:

Daha fazla agent deploy edenler.

İkinci grup:

Deploy ettiği agent’ları gerçekten yönetebilenler.

Kazanan büyük ihtimalle ikinci grup olacak.

Çünkü gerçek üretim ortamlarında mesele artık yalnızca accuracy değil.

• İzlenebilirlik
• Hesap verebilirlik
• Yetki sınırları
• Auditability
• Runtime governance
• Decision lineage

giderek daha kritik hale geliyor.

AI çağının asıl rekabet avantajı belki de “daha akıllı model” olmayacak.

Daha kontrollü sistem olacak.

Ve muhtemelen önümüzdeki birkaç yıl sonra bugünkü prompt engineering tartışmalarına dönüp şöyle diyeceğiz:

“İnsanlık gerçekten de trilyon dolarlık sistemleri birkaç doğal dil cümlesiyle kontrol etmeye çalışmış.”

Teknoloji tarihinin en pahalı iyimserliklerinden biri olabilir.