Geçen hafta ilginç bir şey oldu.
Bir geliştirici, GitHub Copilot'ın bir takım arkadaşının pull request'ini düzeltirken PR açıklamasına Raycast için tanıtım metni eklediğini fark etti. Aynı metni GitHub'da aratınca 11.000'den fazla repository'de çıktı. GitLab'da da vardı. Yani bu bir platform hatası değildi — Copilot API katmanında, doğrudan içeriğe yazılıyordu.
GitHub 24 saat içinde özelliği kapattı. "Bug'dı" dediler. Raycast "bizimle anlaşma yok" dedi. Haber Hacker News'de #1 oldu.
Medyanın tamamı bunu bir skandal olarak çerçeveledi. "Microsoft reklam yapıyor." "Güven sarsıldı." Doğru. Ama ben bu olayı okurken aklımda başka bir soru oluştu:
Buradaki asıl sorun reklamın kendisi mi, yoksa ajanın o PR'a dokunmaya yetkisinin olup olmadığını kimsenin düşünmemiş olması mı?
Copilot artık sadece öneri sunmuyor. Aktif olarak yazıyor. Birinin PR'ına, o kişinin bilgisi ve izni olmadan içerik ekliyor. Bu tamamen farklı bir kategori.
Bir araç sana öneri gösterdiğinde sen karar veriyorsun. Ajan doğrudan müdahale ettiğinde sınır kayıyor. Ve bu sınırı kim çizecek?
Şu an hiç kimse.
MCP (Model Context Protocol) Mart 2026'da 97 milyon kuruluma ulaştı. Ajanlar sistemlere entegre oluyor, araçlara erişiyor, adımlar atıyor. Ama hangi adımı atacaklarını, nerede duracaklarını, kimin onayına ihtiyaç duyacaklarını tanımlayan bir mimari yok. Bu boşluk hâlâ açık.
PM olarak ben bunu farklı bir yerden düşünüyorum.
Medibulut'ta hasta kartı var. 16 sekme: tanılar, reçeteler, onam formları, tetkikler. Bir gün bir kullanıcı "AI'ye hasta kartını otomatik doldurtsak" diyecek. Ve teknik olarak mümkün olacak. Ama hangi alana yazabilir? Neyi değiştirebilir? Doktor görmeden hangi alanı güncelleyemez?
Bu soruların cevabı bir sistem prompt'unda değil, ürün kararında. Ve şu an çoğu ekip bu kararı vermeden ajan özelliklerini shipping ediyor.
a16z'nin son makalesinde romantik bir tablo var: "Yakın gelecekte bir PM, yapay zekasına geniş hedefler belirleyip her sabah modelin gece boyunca geliştirip test ettiği 2-3 özelliği inceleyecek."
Güzel. Ama o ajanın gece boyunca neye dokunabileceğini, neye dokunamayacağını kim tanımlıyor?
Copilot olayı bunun prototipi. Reklam metnini bir kenara bırak — ajan, kullanıcının onayı olmadan başka birinin artifact'ına yazdı. Bu bir özellik tasarım hatasıydı. Ve büyük ihtimalle bu hatanın farkında bile değillerdi, ta ki 11.000 PR gün yüzüne çıkana kadar.
"Autonomy slider" diye bir kavram var UX dünyasında. Kullanıcı ajanın ne kadar özerk hareket edeceğini kontrol edebilmeli. Ama şu an çoğu ürün bu slider'ı tasarlamıyor bile.
İki uç var:
Bir uçta tamamen pasif araç var — sana öneri sunar, sen karar verirsin. Güvenli ama yavaş.
Diğer uçta tam özerk ajan var — sen hedef belirlersin, o her şeyi halleder. Hızlı ama belirsiz.
Arasındaki her nokta bir PM kararı. "Bu adımda kullanıcı onayı gereksin mi?" "Bu alanı ajan güncelleyebilir mi, yoksa sadece önerebilir mi?" "Kullanıcı haberi olmadan dışarıya ne yazılabilir?"
Bu soruları spec'e yazmayan ürünler, Copilot'ın yaşadığını yaşayacak. Belki daha küçük ölçekte. Ama yaşayacak.
Şunu da söylemek lazım: GitHub'ın bu hatayı yapması anlaşılabilir. Yeni bir kategori bu. Herkes deneme yanılma yaşıyor. Önemli olan hızlı geri dönmeleri ve Tim Rogers'ın Hacker News'de bizzat özür dilemesiydi. (Bu ayrıca iyi bir kriz iletişimi örneği.)
Ama hızlı geri dönmek, sorunun olmadığı anlamına gelmiyor. Sadece bu seferlik kontrol altına alındığı anlamına geliyor.
Ajanlar daha fazla sisteme entegre oldukça, yetki sınırı sorusu daha sık karşımıza çıkacak. Teknik değil, ürün sorusu olarak.
Ve bu soruyu yanıtlamak için önce sormak gerekiyor.