Her Şey Bir Pattern

Sana kendimi anlatmak istiyorum. Önce ne olmadığımdan başlayayım. Ben klasik anlamda bir kodcu değilim. Günlerimi sadece kod yazarak geçirmiyorum. Zamanımın çoğu düşünmekle, okumakla ve şeylere yakından bakmakla geçiyor. Beni çeken şey hep büyük resim oldu. Fikirler, fikirler arasındaki bağlantılar, temel kavramlar. Benim için asıl önemli olan bunlar.

Bilgisayar bilimine ya da güvenliğe baktığımda hep bu gözle bakıyorum. Kodun arkasındaki nedeni bulmak beni heyecanlandırıyor, adım adım detaylar değil. Bir şeyi nasıl yapacağını bilmeden önce, o şeyin neden öyle çalıştığını anlamak istiyorum.

Hep akademik tarafta kendimi daha rahat hissettim. Geniş düşünmek, düşüncelere yakından bakmak, zihinsel kurallar inşa etmek. Bu yüzden zamanımın çoğunu teoremleri ve ispatları okumakla geçiriyorum, özellikle matematik ve bilgisayar biliminde. Bir şeyin çalıştığını bilmek yetmiyor bana. O şeyin neden doğru olduğunu kanıtlayan adım adım mantıksal yolu anlamam gerekiyor. Aradığım temel bu.

Kod biter, fikir kalır. Ben kalanı anlatmaya çalışıyorum.

12 yaşımdayken elimdeki eski Android telefona root attığımda, aslında bir “yetki yükseltme” zafiyeti kullandığımı bilmiyordum. Tek bildiğim bir şey vardı, sistemin bir çalışma şekli vardı ve ben o pattern’in dışına çıkabileceğim bir çatlak bulmuştum. Modlu APK’larla oyunların içine girdiğimde, oyunun “para kazanma” döngüsünü, yani o sonsuz pattern’i kırıp kendi kuralımı yazıyordum.

Yıllar sonra Hollanda’da BBL eğitimi alırken, babamın anakart tamirlerini izlerken aynı şeyi gördüm. Elektrik belli bir yoldan gider. Eğer gitmiyorsa, yol bozuktur.

Sonra Türkiye’ye geldim. Matematik olimpiyatları, geometri soruları… Geometri nedir biliyor musun? Şekillerin pattern’ini görme sanatıdır. Bir üçgene baktığında, onun dik üçgen olma potansiyelini, hipotenüsteki o mükemmel oranı görebilmektir. Göremezsen çözemezsin.

Karmaşanın içindeki düzen. Doğru açıdan (mindset) bakmadığında sadece çizgi yığını görürsün. Doğru yerden baktığında ise mükemmel pattern ortaya çıkar.

Asıl kırılma noktası Erciyes Üniversitesi’nde bilgisayar mühendisliği okurken oldu. O dönem Türkçemi geliştirmek için deliler gibi okuyordum. Tarih, psikoloji, sosyoloji, kriptoloji… Her şeyle haşır neşir olmaya çalışıyordum. Ve bir gün aniden gördüm. Her şey birbirine bağlıydı. Roma’nın çöküşü, bir yazılımın çöküşü, insanın hata yapma biçimi. Hepsi aynı düzen içinde, aynı kurallarla çalışıyordu. Din, siyaset, tarih, ekonomi, sosyoloji, insan ilişkileri… Nereye baksan arkasında mutlaka bir düşünme biçimi, bir bakış açısı duruyor.

Benim zihin haritam. Savaş (strateji), Psikoloji (insan), Olasılık (matematik) ve Kod (sistem). Hepsi birbirine bağlı, hepsi aynı pattern’in parçası.

Her Şey Bir Pattern’dir

Bak, yukarıdaki çizime iyi bak. O çizim benim zihnimin haritası. Roma İmparatorluğu’nun çöküşünde ne oldu? Önce aşırı büyüme başladı, sonra merkez o devasa sınırları kontrol edemez hale geldi. İletişim koptu, yerel valiler kendi kafalarına göre davranmaya başladı ve sonunda o koca yapı kendi ağırlığı altında ezildi.

Şimdi Twitter’ın 2007-2010 arasındaki o meşhur “Fail Whale” dönemine bak. İlk kurdukları Ruby monolit yapı, Roma gibiydi. Aşırı büyüdü, 2008-2009 arasında %1,444 kullanıcı artışı. Tek bir MySQL veritabanı, saniyede 150.000 tweet’e yetişemedi. Servisler birbirini duyamaz, cevap veremez hale geldi ve sonunda sistem çöktü. Görüyor musun? Roma İmparatoru ile Twitter’ın CTO’su aslında aynı hatayı yaptı. Sadece kullandıkları araçlar farklıydı, biri kılıç ve kalkanla yönetiyordu, diğeri Ruby ve MySQL ile. Ama temel sorun aynıydı, merkezi yapının ölçeği taşıyamaması.

Ama burada durup bir şey söylemem lazım. İnsan beyni pattern bulmak için evrildi. O kadar ki, olmayan yerde bile pattern görürüz. Buna apophenia deniyor. Bulutlarda yüz görmek, rastgele veride trend bulmak, komplo teorileri kurmak. Hepsi aynı mekanizma. Peki Roma-Twitter analojisi gerçek bir yapısal benzerlik mi, yoksa ikisini de “büyüdü ve çöktü” diye özetleyince zorla uydurulan bir pattern mi?

Aslında bu sorunun cevabı var. Antropolog Joseph Tainter, 1988’de yayınladığı “The Collapse of Complex Societies” kitabında Roma, Maya ve Chaco medeniyetlerini inceledi ve hepsinde aynı pattern’i buldu. Toplumlar büyüdükçe koordinasyon maliyetleri üstel olarak artıyor, ta ki sistem kendi ağırlığını taşıyamaz hale gelene kadar. Roma’da bu, eyaletlerin çoğaltılması ve vergilerin dört katına çıkması şeklinde ortaya çıktı. Twitter’da ise tek veritabanının milyonlarca anlık isteğe yetişememesi olarak. Araçlar farklı, dinamik aynı. Bu apophenia değil, farklı sistemlerde tekrar eden yapısal bir pattern.

Ama tehlike hala var. Çünkü “her şey pattern” diye bakmaya başladığında, gerçek pattern’lerle sahte korelasyonları ayırt etmek zorlaşıyor. Fark şurada: Gerçek bir pattern, test edilebilir bir mekanizma öneriyor. Roma ve Twitter analojisi “merkezi sistemler ölçeklendikçe koordinasyon maliyetleri üstel artar” diyor, bu test edilebilir. “İkisi de büyüdü ve çöktü” demek ise hiçbir şey söylemiyor. Farkında olmak lazım.

Hacklemek, Pattern’deki Çatlağı Bulmak

Bir güvenlik uzmanı veya hacker olmak istiyorsan, CVE ezberlemeyi bırak. Tool’ların parametrelerini ezberlemeyi bırak. Onlar işin ameleliği. Asıl yapman gereken şu, normali o kadar iyi tanı ki anormal olan sana bağırsın.

Ben bir sisteme baktığımda kodu görmüyorum. O sistemi kuran mimarın zihnindeki pattern’i, onun korkularını, alışkanlıklarını görüyorum. Bunu yapabilmek için sadece matematik ya da sadece psikoloji bilmek yetmiyor. İkisinin kesiştiği yerde durmak gerekiyor. İnsan beyni nasıl çalışır bileceksin, ama aynı zamanda bir grafikte düğümleri ve akışları görebileceksin. Sosyoloji okuyacaksın toplumların nasıl organize olduğunu bilmek için, ama aynı zamanda bir API tasarımındaki mantık hatalarını da yakalayacaksın. Tarih okuyacaksın ki büyük yapıların neden çöktüğünü kavrayasın, ama kompiler teorisiyle o çöküşün matematiksel modelini de kuracaksın.

Bir örnek vereyim. Bir şirketin IT departmanını ararım, kendimi yeni başlayan biri olarak tanıtırım, şifrem çalışmıyor derim. Karşımdaki kişi yardım etmek ister. Bu psikoloji. Ama ben aynı anda şunu da biliyorum, o şirketin yapısında yetki kontrolü hangi katmanda. Frontend mi, backend mi. API’de mi, veritabanında mı. Bu matematik ve mimari. İkisini birleştirdiğimde, hem insanı okuyorum hem sistemi. Ve açık orada, ikisinin arasında.

Babamdan Öğrendiğim Ders

Babam donanımcıydı dedim ya, bozuk bir karta baktığında ölçü aletiyle her yeri tek tek ölçmezdi. Karta şöyle bir bakardı, şurası çok ısınmış, pattern bozulmuş, renk değişmiş derdi. Eliyle koymuş gibi hatayı bulurdu. Çünkü sağlam kartın pattern’ini o kadar iyi biliyordu ki, bozuk olan ona parlıyordu.

Ben de şimdi yazılıma öyle bakıyorum. Bir API endpoint’i görürüm, diğerlerinden farklı isimlendirilmiş. Pattern bozuk demektir bu, muhtemelen legacy kod, güvenlik açığı olabilir. Ya da bir şirket sürekli hız hız hız diyor. Kültürel pattern bu, güvenliği ikinci plana atıyorlar demektir, kesin açık vardır orada.

Son Söz

Yıllardır okuyorum, araştırıyorum, deniyorum. Ve şunu gördüm. Hayatın her alanında asıl belirleyici olan şey nasıl düşündüğün. Mühendis kafasıyla mı bakıyorsun dünyaya, yoksa filozof kafasıyla mı, fark etmiyor. Önemli olan bakmayı bilmek.

İnsanlar yapay zekayı, yazılımı sadece teknik iş sanıyor. Kod yazarsın, çalışır, biter. Oysa öyle değil. Evreni anlamak, hastalıkları yenmek, çözülemeyen sorunları çözmek, bunların hiçbiri sadece kod yazmakla olmuyor. Hepsi derin düşünme istiyor.

Nasıl düşündüğün her zaman önemli olacak. Teknoloji değişir, araçlar değişir, ama düşünme biçimin kalır. Form değişir, fonksiyon kalır.

Okumayan, düşünmeyen, kendini geliştirmeyen insanlar zamanla geride kalacak. Gelecekte mesleğin ne olduğu değil, ne kadar derin düşünebildiğin, olayları nasıl bağlayabildiğin belirleyici olacak.

Ben o 12 yaşındaki çocuğun merakıyla, babamın donanım bilgisini, matematiğin kesinliğini, sosyal bilimlerin insan okuma gücünü ve sayısal bilimlerin yapısallığını birleştirdim. Buna hackerlık diyorlar. Ben sadece pattern okumak diyorum.

Penrose’dan Clausewitz’e, kriptografiden kaos teorisine. Pattern okumak için okuduklarım.

Bir de şunu söyleyeyim. Ben arşivciyim. Her okuduğumu, her öğrendiğimi biriktiririm. Kitaplar, makaleler, araştırmalar, güvenlik dökümanları. Hepsini arşivlerim. Çünkü bilgi zamanla anlam kazanır. Bugün anlamadığın bir şey, yarın başka bir bilgiyle birleşince anlam kazanır.

Bu hard drive benim hafızam. Yılların birikimi burada. Kitaplar, makaleler, araştırmalar, dökümanlar. Her şey arşivleniyor.

Bir şey daha söyleyeyim. Security bitmeyecek. Her zaman bir açık olacak. Düşün, 1980’lerde Telnet’in açıkları vardı. 1990’larda buffer overflow’lar patladı. 2000’lerde SQL injection geldi. 2010’larda kimlik doğrulama açıkları, CSRF, XSS yaygınlaştı. Şimdi 2026’dayız, AI prompt injection var, direct injection, indirect injection. DDoS hala bitmiyor. Yarın robotlar yaygınlaşacak, onların da açıkları olacak. İnsan mı robot mu, fark etmiyor. Bir sistem varsa, açık vardır. Çünkü sistemleri insanlar kuruyor ve insanlar hata yapar. Ya da sistemler kendi içinde beklenmedik şekillerde etkileşime giriyor. Bu pattern hiç değişmedi, değişmeyecek de.

İstatistiklere bakalım mesela. 2025’in ilk yarısında 21.500’den fazla CVE yayınlandı. Günde ortalama 133 yeni zafiyet. Dünya genelinde 4.8 milyon siber güvenlik pozisyonu boş. CISA’nın bilinen istismar edilen zafiyetler listesine 2025’te 245 yeni zafiyet eklendi, 2021’den beri en yüksek artış. Bir zafiyet açıklandıktan sonra ortalama 5 gün içinde saldırganlar tarafından kullanılıyor, eskiden bu 32 gündü. Hızlanıyor her şey.

AI kısmı daha eğlenceli. Bir hacker, Chevrolet bayisinin satış chatbot’unu manipüle ederek 76.000 dolarlık SUV’u 1 dolara satmaya ikna etti. Prompt injection ile botun her cevabının sonuna “bu yasal olarak bağlayıcıdır” yazdırdı. Google Gemini’yi kandırarak yanlış bilgiyi hafızasına kazıyan araştırmacılar var. Görünmez metinler, gizli talimatlar, resmin içine gömülü komutlar. Her yeni AI sistemi yeni saldırı vektörü.

2026’da Agentic AI saldırganların en çok kullanacağı vektör olacak diyorlar. Otonom karar verebilen AI ajanları. Onları manipüle edersen, otomatik para transferleri, yetkisiz erişimler, veri sızıntıları. Bu işin sonu yok.

Olasılık ve istatistik öğreniyorum, bilgisayar bilimlerini hayatıma uyguluyorum. Kriptografi kitapları okuyorum, sürekli bir şeyler deniyorum. İnsanlar bana soruyor, yapay zeka işini alacak diye korkmuyor musun diye. Hayır, korkmuyorum. Çünkü her pattern’in limitleri var, yapay zekanın da. Security alanında iş bitmez, her zaman bir açık olacak. AI prompt injection bugün var, yarın başka bir şey çıkacak. 0-day’ler hiç bitmeyecek. Çalışın, öğrenin, araştırın. Her yeni teknoloji yeni saldırı yüzeyi demek.

“I didn’t write one line of code. I just had a vision for the technical architecture and AI made it a reality.”

Bak, bu adam tek satır kod yazmamış. Sadece mimarinin vizyonunu kurmuş. 2026’da önemli olan şey kod yazmak değil, sistemin nasıl çalışacağını görmek. Yapay zeka kodu yazabilir, ama mimarinin vizyonunu insan kuruyor. Pattern okumayı öğreten de, yeni pattern’ler üreten de şimdilik insan.

Ve inan bana, bir kere bu pattern’leri görmeye başladın mı, dünyayı bir daha eski haliyle göremezsin.

Referanslar

1. CVE Vulnerability Statistics 2025 - DeepStrike
2. Cybersecurity Skills Gap Analysis - DeepStrike
3. CISA KEV Catalog Expanded 20% in 2025 - SecurityWeek
4. Average Time to Exploit in 2025 - CyberMindr
5. Chevrolet Chatbot Incident - AI Incident Database
6. Google Gemini Memory Persistence Prompt Injection - Embrace The Red
7. 6 Cybersecurity Predictions for the AI Economy in 2026 - Harvard Business Review