Açık Kaynak Yazılımın İki Yüzü

Açık kaynak yazılımın iyi yüzü çoğu zaman en beklenmedik yerlerde karşımıza çıkar. İstanbul’daki toplu ulaşımı tek ekranda izlenebilir hale getirmeye çalışan bağımsız bir girişimi anlatan WIRED Türkiye haberi, bunun yakın tarihli örneklerinden biri. Açık ve resmi veriler, gönüllü teknik emek ve yazılım kültürü bir araya geldiğinde, karmaşık bir şehir meselesi daha okunabilir hale gelebiliyor.

Fakat aynı açıklık, yapay zeka araçlarıyla birleştiğinde daha tekinsiz ihtimallere alan açabiliyor. Bir uygulama, kütüphane ya da yazılım altyapısı açık kaynak bileşenlerle kurulabiliyorsa; AI bu bileşenleri inceleyip dakikalar içinde benzer işlevlere sahip, ticari lisanslı ve kapalı bir versiyon üretebilir mi?

Bu tartışmayı dünya teknoloji gündemine taşıyan örnek Malus.sh oldu.

Şaka gibi görünen bir iş modeli

Malus.sh, AI yardımıyla açık kaynak yazılımları ‘temiz oda’ mantığında yeniden oluşturduğunu iddia eden satirik ama çalışan bir araç. Buradaki sistem, açık kaynak bir projeyi alıp aynı işlevi gören, fakat ‘kurumsal dostu’ lisansla sunulabilecek yeni bir kod tabanı üretme vaadiyle tanıtılıyor. Sitedeki provokatif ifade zaten niyeti saklamıyor: atıf yok, copyleft yok, sorun yok.

Burada basit bir kopyala-yapıştır faaliyetinden söz etmiyoruz. Daha sofistike bir işlem var. AI, bir yazılımın davranışını, dokümantasyonunu, API yapısını ve kullanım mantığını okuyarak benzer sonucu veren yeni bir yapı kurabiliyor. Kod satırları birebir aynı olmayabilir. Dosya isimleri, fonksiyonlar, mimari tercihler değişebilir. Fakat ürün, kullanıcı açısından aynı işi yapıyorsa açık kaynak emeğinin hangi kısmı korunmuş sayılacak?

‘Temiz oda’ (cleanroom), yazılım tarihinde meşru bir yöntemdi. Bir ekip sistemin nasıl çalıştığını belgeler, başka bir ekip orijinal koda bakmadan yeniden uygular. AI bu süreci hızlandırdığında eski denetim zemini bulanıklaşıyor. İnsan ekiplerinde ‘orijinal koda bakmadık’ iddiası süreçle, kayıtla ve sorumlulukla takip edilebilir. Büyük dil modellerinde ise kodun daha önce eğitim verisinde görülüp görülmediği çoğu zaman kullanıcı tarafından bilinmez.

Akademik çalışmalar bu kaygının soyut olmadığını gösteriyor. LiCoEval araştırması, 14 popüler büyük dil modelini inceleyerek bazı modellerin mevcut açık kaynak uygulamalara ‘çarpıcı biçimde benzer’ kod üretebildiğini ve çoğu durumda doğru lisans bilgisini veremediğini ortaya koydu. DevLicOps çalışması ise AI kod asistanlarının GPL gibi daha kısıtlayıcı lisanslara bağlı kod üretmesi halinde şirketlerin dava, uyum krizi veya ürünün kaynak kodunu açma baskısıyla karşılaşabileceğini belirtiyor.

Bir başka kırılganlık da açık kaynak AI tedarik zincirinde görülüyor. 2026 tarihli ‘Permissive-Washing in the Open AI Supply Chain’ çalışması, Hugging Face ve GitHub hattında 124 binden fazla veri seti-model-uygulama zincirini inceleyerek lisans metni, telif bildirimi ve atıf yükümlülüklerinin aşağı akışta büyük ölçüde kaybolduğunu gösterdi. Yani ‘MIT lisanslı’, ‘Apache lisanslı’ ya da ‘açık’ etiketi tek başına güven vermiyor. Hukuki hak, çoğu zaman metadata’da değil; eksiksiz lisans metninde, atıf zincirinde ve telif bildiriminde duruyor.

Bu yüzden AI ile açık kaynak klonlama tartışması tek başına telif hukuku değil, yazılım tedarik zinciri meselesi. Modern internet için açık kaynak, sistemi ayakta tutan en önemli dayanak noktalarından biri. Black Duck’ın 2026 OSSRA raporu, AI destekli geliştirme döneminde açık kaynak güvenliği ve lisans risklerinin artık güvenlik, uyum ve izlenebilirlik katmanlarında birlikte ele alınması gerektiğini söylüyor.

‘Emeğimi kim paketledi?’

Açık kaynak yazılımlar yalnızca kod satırlarından oluşmaz. Bir projenin gerçek değeri çoğu zaman yıllarca biriken hata raporlarında, güvenlik yamalarında, dokümantasyon notlarında, forum tartışmalarında ve bakım kültüründe saklıdır. AI bu birikimi okuyup benzer bir ürüne dönüştürdüğünde, hukuk hala ‘kod aynı mı?’ diye sorarken topluluk çok daha yalın bir kırgınlık yaşıyor: Bizim emeğimiz görünmeden paketlendi.

Bu kırgınlık şimdiden politika değişikliklerine yansıyor. Bazı açık kaynak projeler AI tarafından üretilmiş katkılara mesafeli dururken, Linux tarafında daha pragmatik bir çizgi oluşuyor. Tom’s Hardware’in aktardığı tartışmada, AI destekli kod tamamen dışlanmıyor; fakat sorumluluğun insanda kalması ve katkının şeffaf biçimde işaretlenmesi bekleniyor. Bu yaklaşım, yasaktan çok hesap verebilirliğe yaslanıyor.

GitHub Copilot’un kamuya açık kodla eşleşen öneriler için referans gösterme özellikleri geliştirmesi de aynı ihtiyaca işaret ediyor. AI çağında yazılımın yeni hijyen kuralı yalnızca ‘çalışıyor mu?’ olmayacak. Kodun nereden geldiği, hangi lisans izlerini taşıdığı, hangi açık kaynak davranışından beslendiği ve onu ürüne koyan insanın ne kadar sorumluluk aldığı da ürünün parçası haline gelecek.

Açık kaynak kültürü, yazılım dünyasının en cömert icatlarından biriydi. İnsanlar kodu paylaştı, başkaları onun üzerine kurdu, hatalar bulundu, yamalar yazıldı, sistemler birlikte büyüdü. İyi yüzünde kamusal fayda, teknik dayanışma ve hız var. Kötü yüzünde ise aynı emeğin görünmeden sömürülmesi, lisans yükümlülüklerinin silinmesi ve topluluk bilgisinin kapalı bir ticari ürüne çevrilmesi duruyor.

Malus.sh’nin yarattığı huzursuzluk burada. O, açık kaynak dünyasına yeni bir saldırı biçimi icat etmekten çok, zaten var olan kurumsal arzuyu abartılı bir tabelayla görünür kılıyor: Topluluğun emeğini al, hukuki yükünü azalt, ticari değeri paketle. Yapay zeka bu arzuyu yaratmadı. Sadece hızlandırdı, ucuzlattı ve daha rahat savunulabilir hale getirdi.