Kodly
Blog'a Dön

Yapay Zeka Devriminde Açık Kaynak Kâbusu: Mercor ve LiteLLM Olayı

1 Nisan 2026Kodly3 dk okuma
Yapay Zeka Devriminde Açık Kaynak Kâbusu: Mercor ve LiteLLM Olayı

Bir siber güvenlik vakası daha gündemde; bu sefer hedefte, geleceğin teknolojisi yapay zeka ve onun omurgasını oluşturan açık kaynak projeleri var. AI odaklı işe alım platformu Mercor, verilerinin çalındığını doğruladı ve parmaklar, herkesin gözdesi açık kaynak dünyasının bir parçası olan LiteLLM projesine çevrildi. Anlaşılan o ki, “akıllı” sistemler kurarken “güvenli” sistemler kurmayı bazen unutabiliyoruz.

Mercor’da Neler Oldu da Ortalık Karıştı?

Mercor, adeta bir film sahnesinden fırlamış gibi, “fidye isteyen” bir hacker grubunun şirketin sistemlerinden veri çaldığını teyit etti. Asıl can sıkan detay ise, bu saldırının temelinde, farklı dil modelleri (LLM) arasında köprü görevi gören, geliştiricilerin hayatını kolaylaştıran popüler açık kaynak projesi LiteLLM’in güvenliğinin aşılması yatıyor. Yani sorun sadece Mercor’un kendi duvarlarında değil, kullandığı altyapının bir parçasında yeşermiş. Bu da bize gösteriyor ki, dijital dünyada komşunun bahçesindeki ot bile sizin bahçenize sıçrayabiliyor.

Açık Kaynağın Karanlık Yüzü mü, Yoksa Göz Ardı Edilen Gerçekler mi? LiteLLM Olayı

LiteLLM, geliştiricilerin OpenAI, Azure, Cohere gibi farklı LLM API’lerini tek bir, standart arayüzden yönetmelerini sağlayan oldukça kullanışlı bir araç. “Tek bir yerden hallet, kafan rahat olsun” felsefesiyle yola çıkan bu projenin pratikliği tartışılmaz. Ancak görünen o ki, bu pratiklik beraberinde yeni ve kritik bir güvenlik açığı getirmiş. Biz Kodly olarak her zaman deriz ki; ne kadar güzel, ne kadar hızlı olursa olsun, bir yazılımın temelinde güvenlik yatmıyorsa, o bina eninde sonunda çatırdar. Bu olay, yazılım tedarik zincirindeki kırılganlıkları ve bir bileşenin zayıflığının tüm sistemi nasıl dize getirebileceğini bir kez daha acı bir şekilde yüzümüze çarptı.

  • Tedarik Zinciri Riskleri: Kullandığımız her üçüncü taraf bileşen, ister ücretli ister açık kaynak olsun, potansiyel bir risk faktörü. Güvendiğimiz “kaynaklar” da zaman zaman zafiyet barındırabilir.
  • AI Güvenliği Sandığımızdan Daha Geniş: AI sistemleri geliştirirken sadece modelin performansı, etiği ya da “bilgisinin” doğru olup olmadığı değil, onu besleyen, entegre eden ve barındıran tüm altyapının güvenliği kritik önem taşıyor.
  • Sürekli Denetim Şart: “Kurduk, çalışıyor, hadi işimize bakalım” demekle olmuyor. Özellikle hassas verilerle çalışan sistemler için düzenli ve titiz güvenlik denetimleri, zafiyet avcılığı ve proaktif önlemler şart. Aksi takdirde, yamanacak bir şey kalmayabiliyor.

Bu olay, AI patlaması yaşanırken, geliştiricilerin ve şirketlerin sadece inovasyona değil, aynı zamanda temel güvenlik pratiklerine de ne kadar özen göstermesi gerektiğini kanıtlar nitelikte. Çünkü veri, yeni çağın petrolü ise, o petrolü güvenle taşıyacak boru hatlarına ihtiyacımız var.

Kodly Yorumu 🚀

Yapay zeka projelerinin hızına yetişmeye çalışırken, temel güvenlik pratiklerinin göz ardı edilmesi, işte tam da böyle “vay be!” dedirten patlamalara yol açıyor. Yeni nesil teknolojilere yatırım yapmak güzel ama dijital kale inşa ederken kapıları ardına kadar açık bırakmak, bizim bildiğimiz web dünyasında pek akıllıca değil; hele ki kapıdaki “açık kaynak” yazıyorsa, iki kere düşünmek lazım.

Kodly Insights © 2026