← Tüm yazılar
AIProduct ManagementSecurity
🌐 Read in English

AI Yeteneklerine Erişim Artık Ürün Tasarımıdır

12 Mayıs 2026·6 dk

AI ürünlerinde uzun süre aynı soruyu sorduk: "Model bunu yapabiliyor mu?"

Bence artık daha kritik soru şu: "Bu yetenek kime, hangi bağlamda, hangi sınırlarla açılmalı?"

Geçen hafta bu değişimi net gösteren birkaç haber üst üste geldi. OpenAI, GPT-5.5-Cyber'ı herkese açık bir özellik gibi değil, doğrulanmış savunma ekipleri için sınırlı erişimli bir kabiliyet olarak konumlandırdı. Mozilla, Claude Mythos Preview ve kendi agentic test hattıyla Firefox'ta yüzlerce güvenlik hatasını bulup düzelttiğini anlattı. Google ise AI yardımıyla geliştirildiğini söylediği bir zero-day saldırı girişimini durdurduğunu duyurdu.

Bunlar sadece siber güvenlik haberleri değil. Product Manager için daha büyük bir kırılmanın işareti: AI ürünlerinde erişim tasarımı artık özellik tasarımının kendisi haline geliyor.

Yetenek arttıkça arayüz yetmez

Bir AI özelliğini klasik SaaS mantığıyla düşünmek kolay: buton koy, izin ver, kullanım metriklerini takip et. Ama modelin yapabildiği iş daha güçlü hale geldikçe, bu yaklaşım zayıflıyor.

Çünkü aynı yetenek iki farklı kullanıcı için tamamen farklı risk taşır.

Bir güvenlik araştırmacısının kendi sisteminde zafiyet doğrulaması yapması değerli bir savunma işidir. Aynı adımların üçüncü taraf bir hedefe uygulanması saldırıdır. Ürün açısından bakınca model yeteneği aynı olabilir; bağlam, yetki ve niyet değiştiği için ürün kararı değişir.

Bu yüzden feature access artık sadece plan bazlı bir toggle değil. Kimlik doğrulama, organizasyon onayı, hedef sistemin sahipliği, audit trail, rate limit, insan onayı ve geri alma mekanizması aynı tasarımın parçası.

PM için zor olan da burada başlıyor. Çünkü bu kararlar ne tamamen legal ekibe devredilebilir ne de sadece engineering'in guardrail meselesi olarak kalabilir. Bunlar doğrudan kullanıcı deneyimini, aktivasyonu, güveni ve geliri etkiler.

Sağlık SaaS için ders çok net

Sağlık SaaS'ta bu konu daha da keskin.

Bir AI asistanının hasta notlarını özetlemesi başka bir şeydir. Tanı önerisi üretmesi başka. Reçete etkileşimi uyarısı vermesi başka. Hasta adına otomatik aksiyon alması bambaşka.

Hepsini "AI feature" diye aynı sepete koyarsak yanlış ürün tasarlarız. Asıl ayrım yetenekte değil; kararın geri döndürülebilirliğinde, hatanın maliyetinde ve kullanıcının yetkisinde.

Örneğin klinik bir iş akışında AI şu dört seviyede çalışabilir:

  1. Sadece bilgi getirir.
  2. Taslak önerir.
  3. Onay bekleyen aksiyon hazırlar.
  4. Aksiyonu kendi uygular.

Bu seviyelerin her biri farklı erişim tasarımı ister. Aynı kullanıcı bile farklı bağlamlarda farklı seviyeye sahip olmalıdır. Doktor, hemşire, operasyon ekibi, çağrı merkezi ve yönetici aynı ürüne giriyor olabilir; ama AI'ın onlar adına yapabileceği şeyler aynı olmamalı.

Bu noktada PM'in görevi "AI var mı?" sorusundan çıkıp "AI hangi yetkiyle davranıyor?" sorusuna gelmeli.

Güvenlik bir engel değil, segmentasyon aracıdır

Bazı ekipler güvenlik katmanlarını büyümeyi yavaşlatan sürtünme gibi görür. Bu bazen doğru olabilir. Ama güçlü AI ürünlerinde iyi tasarlanmış güvenlik aynı zamanda daha iyi segmentasyon demektir.

Herkese aynı yeteneği açmak yerine, güven seviyesi arttıkça ürün deneyimini derinleştirmek mümkün.

Yeni kullanıcıya açıklama ve öneri verirsin. Doğrulanmış organizasyona daha güçlü analiz açarsın. Denetlenebilir kurumsal ortama kontrollü otomasyon verirsin. Kritik aksiyonlarda insan onayı bırakırsın. Risk düşükse daha fazla otonomi tanırsın.

Bu, sadece risk azaltma değildir. Aynı zamanda doğru müşteriye doğru değeri verme biçimidir.

OpenAI'ın Trusted Access yaklaşımında ilginç olan taraf da bu. Ürün, "herkese kapalı" ya da "herkese açık" ikiliğine sıkışmıyor. Erişim, doğrulama ve kullanım bağlamına göre katmanlanıyor. PM'lerin kendi ürünlerinde de aynı düşünme biçimine ihtiyacı var.

Roadmap'e yeni bir kolon eklemek gerekiyor

AI roadmap'lerinde genelde şu kolonları görürüz: kullanıcı problemi, çözüm, metrik, efor, impact.

Bence artık bir kolon daha gerekiyor: erişim modeli.

Bu özellik kimlere açık? Hangi veriye erişebilir? Hangi aksiyonları alabilir? Ne zaman insan onayı gerekir? Hata olursa nasıl geri alınır? Kötüye kullanım nasıl anlaşılır? Kullanıcıya sınır nasıl anlatılır?

Bu sorular launch öncesi checklist değil. Ürünün ta kendisi.

Çünkü kullanıcı artık sadece modelin cevabına güvenmiyor. Sistemin sınır koyma biçimine de güveniyor. Özellikle sağlık, finans, güvenlik ve kurumsal yazılım gibi alanlarda ürün değeri "ne kadar akıllı?" sorusuyla değil, "ne kadar doğru bağlamda güvenilir?" sorusuyla ölçülecek.

Son birkaç yılın AI ürün refleksi hızdı: hızlı demo, hızlı prototip, hızlı entegrasyon. 2026'nın daha olgun refleksi farklı olacak: doğru erişim, doğru bağlam, doğru yetki.

PM için çıkarım basit ama zor: AI yeteneğini tasarlamak yetmiyor. O yeteneğe kimin, ne zaman, hangi sorumlulukla ulaşacağını da tasarlamak gerekiyor.