Halit YEŞİL

Vibe coding’de tokenların yetmemesinin sebebi bazen modelin kod yazması değil, her task’a “önce evrenin yaratılışını anlayalım” diye başlaması 🙂 Ben çözümü şurada buldum: “Projeyi baştan analiz etme. İlgili dosyaya odaklan. Basit işte kısa düşün. Sadece sonucu etkileyen adımları kullan. Gereksiz açıklama, tekrar ve alternatifleri atla.” Ama prompt tek başına sihirli değnek değil. Skill, memory, plan mode, context dosyaları ve doğru tool seçimi de token tüketimini ciddi etkiliyor. Bir de dil/ekosistem farkı var. React, Python, JS gibi public örneği bol alanlarda model daha hızlı toparlıyor. Daha kapalı/kurumsal veya az örnekli yapılarda, .NET vb. ekosistemlerde daha fazla düşünme ve deneme yanılma çıkabiliyor. Tokenı kod değil; yanlış bağlam, gereksiz keşif turu ve fazla muhakeme ağacı yakıyor.

Claude Code / Codex kullanırken token tasarrufu için modele “bağlaçları at, grameri kıs” demek sandığım kadar etkili olmadı. Asıl farkı şurada gördüm: Modele gereksiz muhakeme dallarını budatınca bazı görevlerde gözle görülür token tasarrufu çıktı. Özellikle basit refactor, açıklama ve küçük bug fix işlerinde %20-40 arası daha ekonomik cevaplar aldım. Kullandığım prompt: “Basit görevlerde kısa düşün. Karmaşık görevlerde sadece sonucu etkileyen adımları kullan. Tekrar, dolgu açıklama, uzun gerekçe ve sonucu değiştirmeyen alternatifleri atla. En olası varsayımla ilerle.” Yani mesele “ve, ama, çünkü” tasarrufu değil. Mesele modele şunu öğretmek: “Abi roman yazma, işi çöz.” 🙂

🚨 CEO Anthropic Dario Amodei właśnie dostał nokaut na oczach całego świata. Chiński founder Moonshot AI Yang Zhilin wziął i wrzucił za darmo całą rewolucyjną architekturę Kimi Agent Swarm. Rój ponad 100 agentów działających równolegle. 1500 wywołań narzędzi jednocześnie. Zadania, które Claude 4.5 i GPT-5.2 robią w godzinę, Kimi załatwia w 15 minut. 40-minutowy masterclass na NVIDIA GTC, w którym Yang tłumaczy wszystko krok po kroku: • Orchestrator + parallel reinforcement learning • MoE na bilionach parametrów • Kimi Linear i 3D-synergia kontekstu Efekt? Kimi K2.5 miażdży Zachód w kluczowych benchmarkach agentycznych (HLE-Full, MathVista, OCRBench, multimodal) i robi to 4–5× taniej.

Google 把内部工程师的代码审查（Code Review）规范公开啦 这几乎是目前业界最顶级的标准 很多程序员只会写代码，但不知道怎么审代码，可以看看 Google 是怎么做的 1.双向指南：不仅教审查者怎么挑毛病，还教作者怎么写出容易通过的代码 2.术语科普：解释了 Google 内部常用的 LGTM（看起来不错）和 CL（变更列表）到底意味着什么 3.实战价值：这套规范不是理论，而是 Google 每一位工程师都在用的实际操作准则 如果你想提升团队的代码质量，或者想知道顶级大厂的开发门槛，这份文档必读！ https://t.co/OdaozRkMYn

japon bir geliştirici, claude code'un kimsenin konuşmadığı trick'ini buldu. "find skills" diye bir skill kurdu. claude code'un içine küçük bir mcp paketi gibi oturuyor. yapacağı işi bir kere yazıyor. claude, anthropic ekosistemindeki yüzlerce skill'i tarıyor, en uygun workflow'u kendi kuruyor. > video script (notion + claude) > b-roll seçimi (veo3) > thumbnail (sora) > caption + zamanlama (buffer) > performans takibi (typefully) hepsi tek prompt'la. youtube kanalı durmadan içerik basıyor. o sadece outcome yazıyor. millet hala "ai zaman kazandırıyor" sanıyor. o ai'ya bütün workflow'unu yedirdi. bizimkiler hala chatgpt'ye "şunu yaz" diyor. KAYDET.

🛡️ PyrsistenceSniper - Tool that Detects 117 Persistence Malware Techniques on Windows, Linux, & macOS Source: https://t.co/SaYnFkyq09 PyrsistenceSniper is an advanced tool for detecting offline persistence, enabling cybersecurity analysts to identify 117 separate persistence mechanisms across Windows, Linux, and macOS platforms. PyrsistenceSniper runs directly against mounted disk images, Velociraptor collections, and KAPE dumps. The tool utilizes the libregf library to parse registry hives natively, allowing it to complete comprehensive scans of heavily used systems in under thirty seconds. The command-line interface provides detailed terminal output that visually flags anomalies based on recognized MITRE ATT&CK techniques. #cybersecuritynews

Acaba de publicarse YellowKey, un proof-of-concept que demuestra una forma extremadamente simple de evadir BitLocker en Windows 11. El investigador Nightmare-Eclipse lo subió a GitHub hace pocos días y ya está generando un debate intenso en la comunidad de seguridad. No se trata de un exploit remoto ni de algo que requiera herramientas sofisticadas. Basta con copiar una carpeta a un USB y presionar una tecla en el momento adecuado durante el reinicio. BitLocker es la solución de cifrado de disco completo de Microsoft. En la mayoría de las implementaciones modernas de Windows 11, especialmente las que usan solo TPM sin PIN adicional, el volumen se desbloquea automáticamente cuando el hardware es reconocido como confiable. Esta configuración protege contra robos clásicos donde el atacante no puede arrancar el sistema o extraer el disco físicamente. [YellowKey] rompe esa suposición de forma directa. El mecanismo es el siguiente: El repositorio incluye una carpeta llamada FsTx. El atacante la copia a la ruta System Volume Information\FsTx dentro de una unidad USB (NTFS es lo más estable, aunque FAT32 y exFAT también pueden funcionar). Se inserta el USB en el equipo objetivo con BitLocker activado. Luego se reinicia manteniendo presionada la tecla Shift para entrar al Entorno de Recuperación de Windows (WinRE). En el instante preciso en que aparece la pantalla de reinicio, se suelta Shift y se mantiene presionada la tecla CTRL. Si el timing es correcto, se abre un símbolo del sistema con acceso completo y sin restricciones al volumen cifrado. Desde esa shell es posible usar diskpart, montar el disco y leer o copiar cualquier archivo como si el cifrado no existiera. El componente FsTx, que forma parte de la imagen de WinRE, es tratado como confiable por el entorno de recuperación. El exploit aprovecha esa confianza para que el sistema crea que está ejecutando una operación legítima de reparación o actualización. En ese momento el TPM entrega la clave de BitLocker al proceso, y el atacante obtiene acceso total. Lo más llamativo es que esta vulnerabilidad solo afecta a Windows 11 y a Windows Server 2022/2025. Windows 10 no presenta el mismo comportamiento. El código vulnerable reside exclusivamente dentro de la imagen de WinRE y no en la instalación normal del sistema operativo. Esa separación tan clara es una de las razones por las que el investigador especula públicamente con la posibilidad de que se trate de funcionalidad intencional más que de un error accidental. Varios investigadores independientes ya han reproducido el ataque y confirmado que funciona tal como se describe. Es importante dejar claro el alcance real del problema. YellowKey requiere acceso físico al dispositivo. No es un exploit de red, no se propaga solo y no permite ejecución remota de código. Sin embargo, cualquier escenario en el que un atacante pueda conectar un USB y forzar un reinicio (robos de laptops, dispositivos dejados en escritorios, auditorías de seguridad física, ingeniería social en oficinas) convierte a BitLocker en una protección mucho menos efectiva de lo que se asumía. WinRE existe precisamente para permitir recuperación cuando el sistema falla. Que un componente de ese entorno de confianza pueda ser abusado de forma tan limpia para extraer claves del TPM plantea preguntas más amplias sobre la cadena de confianza en el arranque y la recuperación de Windows. Los componentes firmados por Microsoft que corren en SafeOS/WinRE suelen recibir menos escrutinio público que el kernel principal, y este caso lo demuestra. El mismo investigador también publicó GreenPlasma, otro exploit enfocado en escalada de privilegios, aunque con menos detalles públicos por el momento. Ambos fueron divulgados de forma abierta después de lo que parece haber sido un proceso de reporte insatisfactorio con Microsoft. Hasta el momento no existe parche disponible. En la práctica, ¿qué significa esto para usuarios y organizaciones que dependen de BitLocker? Las configuraciones que usan solo TPM sin PIN o contraseña adicional son las más expuestas. Agregar un PIN de desbloqueo sigue siendo una recomendación válida, aunque no elimina por completo el riesgo contra un atacante físico determinado que conozca el truco. La seguridad física de los dispositivos sigue siendo la primera línea de defensa, como siempre lo ha sido con cualquier ataque de acceso físico. Otras medidas que vale la pena considerar incluyen revisar políticas de control de puertos USB, evaluar si WinRE puede deshabilitarse en entornos muy controlados (aunque esto impacta la capacidad de recuperación), y complementar BitLocker con controles adicionales cuando se manejan datos de alta sensibilidad. Ninguna solución de cifrado es perfecta frente a un atacante que ya tiene acceso físico prolongado, pero YellowKey reduce drásticamente el esfuerzo necesario para extraer datos. Este tipo de hallazgos recuerda que la seguridad en sistemas operativos complejos es un proceso continuo de descubrimiento y respuesta. La pregunta que queda abierta es cómo responderá Microsoft y cuánto tiempo tomará mitigar una vulnerabilidad que, por su simplicidad y alcance, ya está siendo discutida ampliamente. REPOOO👇

Dostlar büyük bir onur ve mutlulukla paylaşmak isterim ki; yeni 35B parametreli MoE mimarili Trendyol Siber Güvenlik modelimiz bağımsız ve en prestijli siber güvenlik benchmark’larından CS-Eval’de tüm kategorilerde Global Top 6’da yer aldı, ve açık kaynaklı modeller arasında da 1. oldu 🎉 Naçizane bence ülkecek Yapay Zeka sadece kullanıcısı olduğumuz ve dışa bağımlı olduğumuz bir teknoloji yada araç olarak kalmamalı, kurumsal hayata adapte olan, özelleştirdiğimiz yapı ve modellerle güvenle kullandığımız ve verimizi güvenle emanet ettiğimiz ülkemizin sınırlarında hayat bulan bir ekosisteme sahip olmalı. 🙏🏻🧡 Bu doğrultuda da ben ve arkadaşlarım gece-gündüz devamlı açık kaynak birçok farklı domainde modeller, datasetler ve Agent sistemler üretip açık kaynak paylaşarak ülkemize destek olmaya çalışıyoruz. 🙏🏻 Şuan Huggingface’de yer alan Trendyol Security LLM v2 70B modelimize göre yaklaşık 2 kat daha küçük ve 2.3 kat daha hızlı bir model mimarisi ile zorlu finetune’lar sonrası bu sonuçlara ulaştık 🎉 Çalışma kapsamında, güncel ve teknik açıdan oldukça zorlu modellerden biri olan Qwen3.6-35B-A3B üzerinde fine-tuning yaptık ve yaklaşık 3.8 milyar token Türkçe ve İngilizce verilerden oluşan açık kaynak devasa bir veri seti ile train ettik 🧡 Yakında Trendyol Huggingface hesabımızdan da yeni versiyonu yayınlıyor olacağız 🙏🏻🎉

🚨 BİRİ KOÇLUK SEKTÖRÜNÜ ÖLDÜRDÜ! Bir geliştirici, Claude Code üzerine kurulu Kişisel Yapay Zeka İşletim Sistemi oluşturmak için 22.000 saat harcadı. Artık terminali olan herkes bunu ÜCRETSİZ olarak kurabilir. Hedeflerinizi biliyor, verdiğiniz her kararı hatırlıyor ve siz uyurken sabah brifinginizi hazırlıyor. [Rakamlar inanılmaz]: - Geliştirme çalışma saati: 22.000 - Kaydedilen oturum sayısı: 6.000 - Günlük tasarruf edilen süre: 2-3 saat - GitHub yıldızları: 12.100 - Dahili beceriler: 45 - Bağlantılı iş akışları: 171 - Güvenlik kancaları: 37 - Kurulum maliyeti: 0$ [Bilim de çılgın]: Gömülü vektör yok, vektör veritabanı yok, okuyamayacağınız yapay zeka büyüsü yok. Her anı, karar ve bağlam düz markdown dosyalarında yer alıyor. Bunu cat ile okuyabilir, arayabilirsiniz. ripgrep ile, git ile sürümlendirin Zamanla birleşen 4 bellek türü: - iş belleği (aktif projeler, açık kararlar) - bilgi belleği (alan uzmanlığı, araştırma) - insan belleği (kişiler, şirketler, ilişkiler) - öğrenme belleği (kalıplar, hatalar, SİZİN için neyin işe yaradığı) Her karmaşık görev 7 adımlı bir döngüden geçer: GÖZLEMLE → DÜŞÜN → PLANLA → OLUŞTUR → UYGULA → DOĞRULA → ÖĞREN Gizlilik, komut istemleriyle değil, KOD ile sağlanır ContainmentGuard adlı bir kanca, hassas verilerin belirlenmiş bölgelerin dışına yazılmasını fiziksel olarak engeller [Dolandırıcılık fırsatı daha da çılgın]: Serbest çalışanlar, yöneticiler, kurucular ve meşgul işletmeciler için kişisel yapay zeka kurulumu başına 500-2000 dolar ücret alıyorlar Bir kişi + bir hafta sonu = 6 ay önce var olmayan bir danışmanlık işi Ayda 30 dolar ödediğiniz her yapay zeka verimlilik uygulaması, 4 saatlik kurulum çalışmasıyla değiştirilebilir ve bu bir depo %100 AÇIK KAYNAK, ÜCRETSİZ

Las empresas pagan entre 800 y 3.200 dólares al mes por HubSpot, Marketo o ActiveCampaign Alguien lleva más de 10 años construyendo la alternativa open source y la mayoría ni sabe que existe Se llama Mautic y tiene 9.5k estrellas en GitHub Lo instalas en tu propio servidor y tienes automatización de marketing de nivel enterprise sin pagar un euro al mes Emails, landing pages, formularios, segmentación, lead scoring, nurturing, CRM integrado Todo en tu infraestructura. Todos tus datos. Sin vendor lock-in. ✅ Email marketing y automatización completa ✅ Segmentación ilimitada y lead scoring ✅ CRM integrado con pipeline de ventas ✅ Multi-canal: email, SMS, notificaciones push, redes sociales ✅ API completa para integraciones propias ✅ 186 versiones publicadas. Proyecto activo y maduro. ✅ Licencia open source La razón por la que las agencias no te hablan de esto es que prefieren que sigas pagando su margen en Marketo 9.5k estrellas. 3.2k forks. Lleva desde 2014. esto no debería ser gratis 👇

El futuro de la agentic AI ya no es texto… es un centro de mando. Ya no más terminales caóticas, logs infinitos ni tener que adivinar qué está haciendo cada agente. [Hermes War Room] es el dashboard visual definitivo para orquestar tu flota de agentes Hermes: - Chat directo con el orquestador - Kanban en tiempo real (Todo → Ready → Running → Blocked) - Sala de Operativos con avatares, callsigns y burbujas de pensamiento - Flechas animadas de delegación entre agentes - Contrata, reentrena o despide agentes al instante Todo en vivo. Todo estratégico. Todo cinematográfico. REPOOO👇

Claude Code puede ser fácilmente hackeado. Cualquiera puede meterle instrucciones maliciosas en un README, un archivo o una web y el agente las obedece sin que te des cuenta. Un equipo creó una herramienta totalmente gratis que las detecta y neutraliza a todas, antes de que Claude las procese. En todas tus sesiones. Al mismo tiempo. Sin cambiar tu workflow. Se llama claude-hooks (Lasso Security, 226 estrellas en GitHub). Lo instalás con un solo comando en tu proyecto. Se convierte en un hook PostToolUse y escanea +50 patrones de ataque (override, DAN, base64, HTML smuggling, etc.) antes de que Claude los vea. De repente: - Ya no obedece instrucciones ocultas en repositorios - Detecta role-playing y prompts falsos - Te avisa claramente en contexto - Podés usar --dangerously-skip-permissions sin miedo Un solo hook. Una sola instalación. Una tarde de tu tiempo. La mayor vulnerabilidad de los agentes de IA, neutralizada. 100% open source. Gratis para siempre. Link en comentarios.

卧槽，有大神直接用Claude Code，复刻出一整套完整游戏开发工作室。 GitHub 1.8万stars，免费开源，项目名叫Claude Code Game Studios， 48个AI智能体1:1还原线下工作室全岗位，从创意总监到关卡设计师全覆盖。 36条斜杠指令一键启动全流程，适配Godot Unity Unreal三大游戏引擎。 自带自动化校验钩子、分路径编码规则、28套行业标准文档模板，架构拉满。 所有AI只做梳理方案不擅自操作，决策权全程握在自己手里。 克隆仓库一键启动，MIT开源可商用，凭空拥有一支专业游戏开发团队。 老规矩GitHub地址评论区自取！

🚨 CVE-2026-7482 in Ollama could let remote attackers leak process memory from more than 300,000 exposed servers using crafted GGUF files. Separate unpatched Windows flaws enable persistent code execution through Ollama’s update mechanism. Full details and mitigations: https://t.co/y42Jqna5En