« Tüm yayınlar

» Özet

13 Tem 2026

13 Tem 2026
Bugün

AI Ekosisteminde Görünmeyen Tehditler ve Maliyetler: GhostCommit Saldırısından Token Faturasına Kritik Bulgular

Yapay zeka altyapısında görünmeyen maliyetler bu haftanın en somut başlığı oldu. Bir mühendis, üretim ortamındaki altı MCP sunucusunu (dosya sistemi, Postgres, GitHub, CRM, tarayıcı, arama indeksi) tek bir ajana bağlayıp yedi gün boyunca izledi. Sonuç çarpıcıydı: araç şemaları bağlam penceresinin %41'ini tüketiyor ve prompt önbellek isabet oranını %92'den %48'e düşürüyor — üstelik kullanıcı hiç talepte bulunmadan. Streamable HTTP'nin stdio'ya karşı ortalama gecikmeyi %87 artırması, yerel sunucu mimarisi tercihlerini yeniden tartışmaya açtı. Öte yandan aynı TypeScript dosyası GPT-5.x'te 681 token'a, Claude'un yeni tokenizer'ında 1.178 token'a karşılık geliyor; fiyat farkı devreye girmeden %73'lük maliyet artışı oluşuyor.

AI kod incelemesinin görünmez saldırı yüzeyi ciddi bir güvenlik uyarısıyla gündeme oturdu. ASSET Research Group'un keşfettiği GhostCommit saldırısı, zararlı talimatları PNG görsellerinin içine saklıyor. AGENTS.md dosyası masum görünen bir build-spec.png'ye referans verirken, Cursor Bugbot ve CodeRabbit gibi metin tabanlı inceleyiciler görselleri okuyamadığı için saldırı tümüyle gözden kaçıyor. Paralel bir analiz ise AI ajanlarınca üretilen kodun artık diff tabanlı incelenemeyeceğini, çünkü geleneksel varsayım olan "her satırı bir insan yazdı" öncülünün çöktüğünü savunuyor.

Kendini geliştiren ajan sistemleri için yeni bir birleşik çerçeve yayımlandı. Çalışma, kendini geliştirmeyi model ağırlıklarını güncellemekle sınırlayan anlayışa karşı çıkarak prompt'lar, araçlar, iş akışları ve alt-ajanlar gibi model-dışı durum bileşenlerini (H_t) değiştiren sistemleri odağa alıyor. Bu arada AI ekiplerinin %38'i değerlendirme sistemlerinin en büyük darboğaz olduğunu bildiriyor; offline testler geçmişi ölçerken üretim geleceği test ediyor ve çok-ajanlı sistemlerde bu uyumsuzluk katlanarak büyüyor.

Claude Code Skills özelliği, tek bir .md dosyasından SKILL.md içeren bir dizin yapısına dönüştü ve agentskills.io üzerinden açık bir standart haline geldi. Yeni yapı, referans dokümanları, betikleri ve şablonları ayrı klasörlerde barındırmaya olanak tanırken frontmatter alanları ve dinamik bağlam enjeksiyonu gibi yetenekler ekliyor.

Google Gemma-4 ailesinin AWS Inferentia2'ye taşınması, vendor yığınının (optimum-neuron, neuronx-distributed, Neuron vLLM backend) modelin mimari özelliklerini — katmanlar arası KV paylaşımı, karışık GQA kafa sayıları ve iç içe geçmiş dikkat katmanları — ifade edememesi nedeniyle kırıldı. Kamuya açık Neuron vLLM endpoint'i akıcı ama anlamsız çıktı üretirken, çözüm NxD'nin özel katman wrapping yaklaşımıyla sağlandı.

Solana geliştiricileri için kapsamlı bir güvenlik kontrol listesi, 2022 Wormhole köprüsü saldırısının (326 milyon dolar) analizinden hareketle hesap doğrulama, yetki/imzacı kontrolleri ve aritmetik güvenlik başlıklarını sistematik olarak tarayan bir mainnet öncesi rehber sundu. Bu, GhostCommit saldırısı ve AI kod incelemesindeki yapısal sorunlarla birleştiğinde, yapay zeka çağında güvenlik denetimlerinin hem insan hem makine tarafında yeniden tanımlanması gerektiğini ortaya koyuyor.

» İstatistikler

Yayın
194
Okunma
0
Ort. puan
7.7

» En yüksek puan

  1. Gemma-4 (2B/4B/12B) AWS Inferentia2'ye Nasıl Taşındı09.3
  2. Tek Ajanda 6 MCP Sunucusu: Gerçek Token Faturası Ne Çıktı09.0
  3. Solana Anchor Programları İçin Kapsamlı Güvenlik Kontrol Listesi08.8
  4. Claude Code Skills Rehberi: Geliştirme İş Akışını Otomatikleştirme08.8
  5. Yapay Zekâ Ajanları Diff Tabanlı Kod İncelemesini Nasıl Geçersiz Kılıyor08.6
  6. Değerlendirme Borcu: Ajan Testleri Neden Üretimde Çöküyor08.6
  7. Yapay Zeka Görünürlük Skorunuz Sizi Yanıltıyor Olabilir08.6
  8. GhostCommit: AI kod inceleyicilerinin göremediği sızıntı08.6
  9. Kendini Geliştiren Ajan Sistemleri İçin Birleşik Bir Çerçeve08.6
  10. AI Model Fiyatlarındaki Gizli Maliyet: Tokenizer Farkı Faturayı Nasıl Şişiriyor08.5

» Kaynaklar

Dev.to157Hacker News — Front Page14Hashnode #155Hashnode #133Hashnode #103Hashnode #182Hashnode #92Hashnode #172Cyber Security Reddit1Hashnode #161The Rust Programming Language Blog1Frontend Development Reddit1Backend Development Reddit1Programming Languages Reddit1