Bir itirafta bulunarak başlayalım: “Kod yazmak” uzun zamandır sadece klavyeye hızlı basmak değil. Artık kod, çoğu zaman bir niyet (intent), bir tasarım kararı (design), bir doğrulama (test), bir güvenlik garantisi (security) ve bir otomasyon (pipeline) meselesi. Vibe coding ise bu dönüşümü tek bir cümleyle özetliyor: Kodun kendisini üretmekten çok, kodun ortaya çıkacağı koşulları tasarlamak.

Kulağa romantik geliyor, biliyorum. Ama güvenlik dünyasında romantizmin bedeli pahalıdır: “Hızlı prototip” diye başlayan şey, bir anda “prod’a çıkan kırılgan uygulama”ya dönüşebilir. Bu yüzden bu rehber, vibe coding’i “havalı bir trend” olarak değil, kontrol edilebilir, ölçülebilir ve güvenli bir geliştirme disiplini olarak ele alıyor.

Bu yazıyı bitirdiğinizde şunları net biçimde yapabiliyor olacaksınız:

• Vibe coding’in ne olduğunu ve ne olmadığını ayırt edeceksiniz.
• Hangi araçların hangi senaryoda işinize yarayacağını seçeceksiniz.
• Promptları “güzel Türkçe yazı” gibi değil, mühendislik spesifikasyonu gibi kuracaksınız.
• Test, güvenlik ve kaliteyi vibe coding döngüsüne gömeceksiniz.
• “AI yazdı, ben de yapıştırdım” tuzağından çıkıp “AI yazdı, ben doğruladım” standardına geçeceksiniz.

1) Vibe Coding Nedir?

En basit tanım:
Vibe coding, bir yazılımı “satır satır yazmak” yerine, bir AI modelini yönlendirerek konuşarak/komutlayarak üretme ve yine aynı döngüyle iyileştirme yaklaşımıdır.

Terim, 2025’te Andrej Karpathy tarafından popülerleştirildi ve kısa sürede genel teknoloji diline yayıldı.

Buradaki kritik nüans şu:

• “AI ile kod yazmak” yıllardır var.
• Vibe coding ise daha uç bir noktayı tarif eder: Kodun büyük kısmını AI üretir; insan daha çok amaç, kısıt, test, geri bildirim ve sınır koyar.

IBM ve Google Cloud gibi kaynaklar da vibe coding’i, “AI’a komut vererek kod üretme ve yine konuşarak iterasyon” şeklinde tarif ediyor.

Vibe coding ne değildir?

• “Hiç anlamadan prod’a deploy etmek” değildir.
• “Güvenliği sonra düşünürüz” değildir.
• “AI yazdıysa doğrudur” değildir.
• “Kod review bitti” değildir.

Ethical hacking bakışında vibe coding’in karşılığı şudur:
“Hızlı üret, ama her adımı doğrula.”

2) Neden Şimdi Patladı?

Çünkü aynı anda üç şey olgunlaştı:

1. Model kalitesi: Kod üretimi ve hata düzeltme kapasitesi yükseldi.
2. IDE entegrasyonları: Editörlerin içine agent’lar girdi (yaz-kaydet-çalıştır döngüsü hızlandı).
3. İterasyon kültürü: “İlk seferde mükemmel” yerine “hızlı dene, doğrula, iyileştir” norm oldu.

Karpathy’nin “yazılım iş tanımlarını dönüştürebileceği” öngörüsü gibi yorumlar da trendi büyüttü.

3) Araç Ekosistemi: Vibe Coding İçin Ne Kullanılır?

Bu bölüm “ürün kataloğu” değil, seçim mantığıdır.

A) IDE tabanlı (günlük geliştirme için)

• AI destekli autocomplete
• Chat/agent modları
• Kod refactor, test yazdırma, PR açıklaması üretme

Kimler için?

• Profesyonel geliştiriciler
• Güvenlik/DevSecOps ekipleri
• Sürekli kod okuyanlar

B) Agent tabanlı (görev yapan yapay ekip arkadaşı)

• “Bu repo’da X’i bul, Y’i düzelt, testleri çalıştır, PR hazırla” gibi görevler
• Uzun iş akışlarında verimli

Kimler için?

• Karmaşık projelerde otomasyon isteyenler
• Monorepo ve çok modüllü sistemler

C) Platform tabanlı “site/app üreticiler”

• Hızlı prototip
• Demo ve landing sayfası
• Hackathon işleri

Güvenlik notu: Platform bazlı vibe coding, kötüye kullanıma da açık. Bazı haberler, phishing amaçlı kötüye kullanım vakalarını gündeme taşıdı.
Bizim çizgimiz net: Bu rehber savunma, güvenli geliştirme ve etik kullanım içindir.

4) Vibe Coding’in Altın Döngüsü (Bu Kısım Hayat Kurtarır)

Vibe coding yapanların çoğu şu hataya düşer:
“Prompt verdim → kod geldi → çalıştı → bitti.”

Hayır. Güvenli ve sürdürülebilir vibe coding döngüsü şudur:

1) SPEC (Spesifikasyon) – “Ne istiyorum?”

• Kullanıcı hikayeleri (user stories)
• Kabul kriterleri (acceptance criteria)
• Kısıtlar: performans, güvenlik, uyumluluk
• Başarı ölçütleri: test passing, latency, coverage

2) GENERATE – “Kodu üret”

AI’dan tam proje değil, kontrollü parça üretmesini isteyin:

• Önce iskelet
• Sonra modül modül
• Sonra testler
• Sonra güvenlik sertleştirmesi

3) TEST – “Doğrula”

• Unit test
• Integration test
• Lint
• SAST (statik analiz)
• Secret scanning
• Dependency scanning

4) FIX – “Hata ve açıkları düzelt”

AI’a “şunu düzelt” değil; kanıt göster:

• Log
• Test çıktısı
• Stack trace
• Security finding raporu

5) HARDEN – “Güçlendir”

• Rate limit
• Input validation
• AuthZ kontrolleri
• Güvenli varsayılanlar
• Audit logging

Bu döngü, vibe coding’i “şans oyunu” olmaktan çıkarır.

5) Prompt Mühendisliği: Vibe Coding’i Gerçekten Öğrendiğiniz Yer

İyi prompt, “uzun prompt” değildir.
İyi prompt, AI’ın karar vereceği alanları daraltır.

Aşağıdaki şablonlar, vibe coding’de doğrudan iş görür. Kaydedin.

Şablon 1: Proje Başlatma Promptu (Spec-first)

Rolün: Kıdemli yazılım mühendisi + güvenlik odaklı (OWASP).
Hedef: [X] problemini çözen bir [Y] uygulaması.
Teknoloji: [dil] + [framework] + [db] + [auth].
Kısıtlar:
- Güvenlik: OWASP Top 10’a karşı temel önlemler zorunlu.
- Test: en az %70 unit test coverage hedefi.
- Log: güvenli audit log (PII maskeli).
- Config: secrets .env / secret manager; asla repo’ya yazma.
Çıktı:
1) Dosya ağacı
2) API sözleşmesi (endpoints, request/response)
3) Data model
4) İlk sprint: minimum çalışan sürüm planı
Önce soru sor: Belirsiz noktalar için 5 soru listele.

Şablon 2: Kod Üretme Promptu (Parça bazlı)

Aşağıdaki dosya için sadece fonksiyonları üret.
Dosya: src/auth/jwt.ts
Amaç: JWT doğrulama + rol bazlı yetkilendirme.
Kurallar:
- Hata mesajları bilgi sızdırmayacak.
- Token expiration ve issuer/audience kontrolü olacak.
- Testleri de yaz: test/auth/jwt.test.ts

Şablon 3: Güvenlik Güçlendirme Promptu

Bu kodu OWASP açısından incele.
Öncelik: Injection, AuthZ, secrets, logging, SSRF.
Çıktı formatı:
- Risk: [yüksek/orta/düşük]
- Bulgu: ...
- Kanıt: satır numarası veya örnek
- Düzeltme: patch önerisi
- Test: düzeltmeyi doğrulayan test

Anti-pattern: “Bana komple proje yaz”

Bu istek, AI’ı serbest bırakır. Sonuç:

• Tutarsız mimari
• Çelişkili bağımlılıklar
• Güvenlikte delikler
• Test yokluğu

Vibe coding’in sırrı: Büyük hedefi küçük parçalara bölmek.

6) Vibe Coding + Güvenlik: Ethical Hackers İçin Altın Kural Seti

Ethical hackers kitlesi için vibe coding, iki taraflı bir bıçak:

• Savunmada harika hız kazandırır (tooling, otomasyon, raporlama).
• Ama yanlış kullanılırsa güvenlik borcunu büyütür.

“Güvenli Vibe Coding” için 12 kural

1. Gizli anahtar asla prompt’a yazılmaz (real secret yok).
2. “Çalışıyor” demek “güvenli” demek değildir.
3. Her endpoint için: AuthN + AuthZ + input validation şart.
4. Varsayılan ayarlar “secure-by-default” olmalı.
5. Dependency’leri kilitle (lockfile), sürümleri bil.
6. Güvenlik başlıkları (CSP, HSTS vb.) planlı olsun.
7. Rate limiting ve brute-force koruması ekle.
8. Log’larda PII maskele.
9. Hatalarda stack trace’i kullanıcıya gösterme.
10. Test yazdır: AI’a “testleriyle birlikte” de.
11. CI/CD’de taramalar (SAST, secret scan, dependency scan) koşsun.
12. Prod’a giden her şey için insan review şart.

“Vibe hacking” riski nedir?

Bazı analizler ve haberler, vibe coding platformlarının saldırganlar tarafından kötüye kullanıldığına dikkat çekiyor.
Buradan alınacak ders “AI kötü” değil; ders şu:
Hızlı üretim, güvenlik kontrolü olmadan saldırı yüzeyini büyütür.

7) Test Stratejisi: Vibe Coding’i Profesyonel Yapan Şey

“Vibe coding ile yazdım” cümlesi, test yoksa zayıftır.

Asgari test seti (her projede)

• Unit test: kritik fonksiyonlar
• Integration test: API + DB
• E2E (varsa): ana kullanıcı akışları
• Property-based test (opsiyonel): input fuzzing tadında

AI ile test yazdırmanın püf noktası

AI’a “test yaz” demek yetmez. Şunu isteyin:

• Mutlaka başarısız case
• Boundary değerler
• Null/empty payload
• Yetkisiz istekler
• Rate limit senaryosu

8) Gerçek Senaryolar (Savunma Odaklı)

Aşağıdaki senaryolar, ethicalhackers.com.tr kitlesi için “hem eğitici hem güvenli” kategoridedir.

Senaryo 1: Güvenli Bir Mini API (Auth + Rate limit + Logging)

Amaç: Basit bir not API’si (demo)

• JWT doğrulama
• Rol bazlı yetkilendirme
• Rate limit
• Input validation
• Audit log
• Testler

Vibe coding akışı:

1. Spec promptu ile endpoint’leri belirle
2. Sadece “auth modülü” üret
3. Testleri çalıştır
4. Lint + format
5. Security hardening promptu ile review

Bu senaryo, “AI ile kod yazma”yı etik hackingte en sık ihtiyaç olan şeyle birleştirir: güvenli temel iskelet.

Senaryo 2: Log Analiz Aracı (SOC/Blue Team için)

Amaç: SIEM’e atmadan önce loglardan IOC formatları çıkaran mini araç

• Regex ile IP/URL/hash yakalama
• Çıktı JSON/CSV
• PII maskeleme
• Unit test

Burada vibe coding mükemmeldir; çünkü “kodun estetiği”nden çok “işlevin doğruluğu” önemlidir.

Senaryo 3: Pentest Raporu Üretim Asistanı (Legal ve Kurumsal)

Amaç: Bulgu notlarından standardize rapor şablonu üretmek

• Risk derecesi (CVSS opsiyonel)
• Etki ve öneri
• Kanıt bölümü
• Yönetici özeti

Önemli çizgi: Gerçek hedef sistem detaylarını, gizli bilgileri modele taşımayın. İçeride çalışıyorsanız kurumsal politikalara uyun.

9) Ekiplerde Vibe Coding: Politika ve Süreç (Gerçek Hayat)

Vibe coding bireyselken eğlenceli; ekipteyken süreç ister.

Takım standardı: “AI Assisted SDLC”

1. Her iş için mini spec (1 sayfa)
2. AI ile üretilen kodun PR’da etiketi (“AI-assisted”)
3. Review checklist (güvenlik dahil)
4. CI zorunlu: test + tarama
5. Release notu ve risk değerlendirme

Code review checklist (kısa)

• AuthN/AuthZ doğru mu?
• Input validation var mı?
• Secrets sızmış mı?
• Logging güvenli mi?
• Dependency riskleri?
• Test kapsamı?
• Hata mesajları bilgi sızdırıyor mu?

SSS

Vibe coding yeni başlayan için uygun mu?

Evet; doğru şablon ve kontrol listesiyle uygun. Ancak “anlamadan prod’a çıkarma” alışkanlığı risklidir.

Vibe coding ile yazılan kod güvenli olur mu?

Kendi başına değil. Güvenlik; test, tarama, review ve doğru varsayılanlarla sağlanır.

Vibe coding ile iş bulmak kolaylaşır mı?

Vibe coding, üretkenliği artırabilir ama iş piyasasında hâlâ temel mühendislik kavramları (sistem tasarımı, güvenlik, test) belirleyicidir.

Hangi projeler vibe coding’e daha uygundur?

Prototipler, iç araçlar, otomasyon script’leri, raporlama araçları, admin panelleri, küçük servisler. Büyük ve kritik sistemlerde süreç şarttır.

Vibe coding “no-code” mu?

Hayır. No-code platformlar başka; vibe coding daha çok “doğal dille kod üretimi ve iterasyon” yaklaşımıdır.

En büyük hata nedir?

AI’ın ürettiği kodu doğrulamadan kabul etmek. Özellikle auth, input validation ve secrets tarafında.

Ethical hackingte vibe coding nasıl kullanılmalı?

Savunma odaklı: log analiz, raporlama, güvenlik test otomasyonu, güvenli demo uygulamalar, eğitim laboratuvarları. Kötüye kullanım çizgisinin dışına çıkmamalı.

Kaynakça

• Wikipedia: “Vibe coding” maddesi (terimin 2025’te popülerleşmesi ve tanımı). (Vikipedi)
• IBM: Vibe coding kavramsal açıklaması. (IBM)
• Google Cloud: Vibe coding açıklaması ve iş akışı yaklaşımı. (Google Cloud)
• Associated Press: AI coding araçları ve “vibe-coding” tartışmaları. (AP News)
• Business Insider: Karpathy ve vibe coding’in etkisine dair değerlendirme. (Business Insider)
• Dark Reading: Vibe coding platformlarının kötüye kullanımına dair haber (risk perspektifi). (Dark Reading)
• Cybernews: Vibe coding güvenlik riskleri ve phishing bağlamı. (Cybernews)