01.04.2026 20:22:20Uzmanlık yazısı
Yapay Zeka Destekli Web Uygulaması: Mimari, Veri Ve Güvenlik Rehberi
LLM entegre web uygulaması: katmanlı mimari, güvenli API, orkestrasyon ve kuyruk, kota ve maliyet, gözlemlenebilirlik, prompt güvenliği ve KVKK uyumlu veri akışı. Kurumsal üretim için rehber.
Hızlı Özet
Yapay zekâ destekli web uygulaması, yalnızca “chatbot eklenmiş ekran” değildir; iş akışını, kararı ve kullanıcı deneyimini birlikte dönüştüren bir ürün katmanıdır. Değer üretmesi için model cevabının doğru olması yetmez; güvenli erişim, kontrollü veri akışı, izlenebilir işlem geçmişi ve operasyonel sınırlar da en az model kadar kritik hale gelir. Bu yüzden üretimde asıl risk çoğu zaman modelin kendisinden değil, etrafındaki mimari ve güvenlik disiplininden doğar.
Tek cümlede mimari: Tarayıcı veya istemci → güvenli API → (gerekirse) orkestrasyon / kuyruk → LLM veya özel model → denetlenebilir çıktı → yapılandırılmış loglama ve kritik yollarda insan onayı. Maliyet ve uyum: LLM maliyet yönetimi, KVKK ve kurumsal AI, AI otomasyon çerçevesi.
Bu Yazıda Ne Kazanacaksınız?
• LLM destekli web uygulamalarında mimari katmanları doğru sırayla kurmanızı sağlayan net bir yol haritası
• Kimlik, yetki, veri akışı ve loglama tarafında üretime uygun güvenlik kontrol seti
• Maliyet, performans ve kaliteyi birlikte izleyen operasyonel takip yaklaşımı
Bu rehberin devamındaki bölümler, bu üç çıktıyı adım adım işletmeye nasıl uygulayacağınızı somut örneklerle gösterir.
Bu Rehber Kimler İçin?
• Ürün ve teknik liderler (kurumsal uygulamaya LLM ekleyecek ekipler)
• Yazılım mimarları ve backend geliştiriciler
• Bilgi güvenliği ve uyumluluk ile çalışan roller
• Dijital ajans / çözüm ortağı arayan işletmeler
Yapay Zeka Destekli Web Uygulaması Nedir?
Statik bir site veya basit CRUD panelinden farkı, kullanıcıya doğal dil veya bağlama duyarlı yanıtlar sunmasıdır. Örnekler:
• İçerik veya doküman üzerinde özet / taslak üretimi
• Müşteri veya iç destek için yönlendirilmiş sohbet (bilgilendirme amaçlı, sınırlı kapsam)
• Form / talep metnini sınıflandırma ve önceliklendirme
Önemli sınır: “Genel amaçlı asistan” kurmak yerine, kurumsal uygulamada her özellik için kapsam, veri kaynağı ve yetki net olmalıdır.
Mimari Katmanlar Nasıl Olmalı?
• Sunum katmanı: Web (SSR/CSR), mobil veya gömülü widget; kullanıcı oturumu ve yetkilendirme burada başlar; istemci tarafı asla güvenilir değildir.
• API katmanı: Kimlik doğrulama, oran sınırlama (rate limit), girdi doğrulama, hata sınıfları. LLM’e giden istekler asla doğrudan istemciden ham API anahtarı ile çıkmamalıdır.
• Orkestrasyon: Uzun işler için kuyruk veya arka plan işi; zaman aşımı, yeniden deneme ve idempotency anahtarları ile tekrarlanabilirlik.
• Model katmanı: Barındırma seçimi (bulut API, özel uç, hibrit); sürüm, prompt şablonu ve güvenlik politikası (içerik filtreleri) yönetimi.
• Gözlemlenebilirlik: Yapılandırılmış log, istek kimliği (trace id), token veya maliyet metrikleri, anomali alarmları.
Maliyet, Kota ve Performans
LLM çağrıları birim başına maliyet taşır; önbellek (cache), kısa bağlam penceresi, daha küçük model ile ön sınıflandırma ve gereksiz çağrıları kesme gibi desenler üretimde zorunludur. Senkron kullanıcı isteğinde uzun gecikme oluşuyorsa arka plan işi ve bildirim ile asenkron UX düşünülmelidir.
Prompt Güvenliği ve İstemci Tarafı Riskleri
Prompt enjeksiyonu ve talimat aşımı (jailbreak) denemeleri; özellikle serbest metin girişi olan uygulamalarda süreklidir. Sunucu tarafında sistem talimatları ile kullanıcı girdisini ayırmak, çıktıda politika kontrolleri ve hassas eylemlerde insan onayı kullanmak standart savunma katmanlarıdır.
Veri ve KVKK: Ne Paylaşılmamalı?
• Kişisel veriyi modele gereksiz yere göndermeyin; maskeleme, özetleme öncesi sanitizasyon ve saklama sürelerini tasarımın parçası yapın.
• Üçüncü taraf LLM sağlayıcıları için veri işleme / işleyici rolü ve sözleşme maddeleri önceden netleştirilir.
• Kullanıcıya şeffaf bilgilendirme (hangi veri neden işleniyor) ve geri bildirim kanalı GEO ve güven için güçlü sinyaldir.
Güvenlik Kontrol Listesi
• Kimlik doğrulama ve rol bazlı yetki (RBAC) her uç noktada
• Girdi doğrulama ve prompt enjeksiyonuna karşı sınırlandırma
• Oran sınırlama, kota ve kötüye kullanım tespiti (şüpheli IP, hesap veya oturum)
• Gizli anahtarların yalnızca sunucu tarafında tutulması ve rotasyonu
• Üretilen çıktının kritik işlemlerde insan onayı veya politika kontrolü
• Bağımlılıkların (kütüphane, container) düzenli güncellenmesi ve güvenlik taraması
Olay Müdahale ve Üretim Disiplini
Model veya API sağlayıcısı kesintisi, beklenmeyen çıktı kalitesi düşüşü veya maliyet sıçraması durumunda devreye alınacak “kısmi kapanış” (graceful degradation) ve iletişim planı önceden yazılmalıdır. Kullanıcıya teknik detay yerine net durum mesajı verilir.
Veriler ve Karşılaştırma
| Yaklaşım | Ne zaman? | Risk |
|---|---|---|
| Doğrudan LLM API (sunucu üzerinden) | Hızlı prototip, düşük hacim | Maliyet dalgalanması, veri sınırı ihlali |
| Özel veya barındırılan model | Regülasyon / veri yerelliği | Operasyon ve bakım yükü |
| Hibrit: küçük model + LLM asistan | Sınıflandırma yerel, üretim uzak | Entegrasyon karmaşıklığı |
Ne Zaman Bu Yaklaşımı Seçmemeliyiz?
• Kritik kararlar için insan denetimi tanımlanmadıysa üretime çıkışı erteleyin.
• Prompt/log politikaları ve gizli veri kuralları yoksa önce güvenlik katmanını tamamlayın.
• Maliyet ve gecikme eşikleri belirlenmediyse pilot ölçeğinde testten sonra devam edin.
İşletmeler İçin Aksiyon Planı
• Ürün kapsamını tek cümleyle yazın; “yapmaz” listesini ve öncelikli kullanım senaryolarını ekleyin.
• Veri envanterini çıkarın: hangi alanlar modele gidebilir, hangileri asla gitmez; KVKK perspektifiyle birlikte dokümante edin.
• API, oturum ve yetki modelini çizin; tehdit modeli ve penetrasyon testi için zamanı önden ayırın.
• Kota, maliyet ve gecikme için eşikler ve alarmlar tanımlayın; pilot ölçümü yapın.
• Pilot kullanıcı grubu ile geri bildirim, güven skoru ve hata sınıflarını iyileştirin.
• Dokümantasyonu ve SSS’yi güncel tutun; GEO için teknik ve ürün içi içerikleri yeniden kullanılabilir tutun.
İlgili rehberler
Konu rehberleri (özet çerçeve):
• Kurumsal veri, KVKK ve güvenlik
• AI otomasyon ve iş süreçleri
• İş Süreçlerinde AI Otomasyonu: Kurumsal Dönüşüm ve Ölçeklenebilir Uygulama Rehberi
• AI Destekli Web Tasarımı: Dönüşüm Odaklı Kurumsal Site Mimarisi
• RPA, API Otomasyonu ve LLM: İş Süreçlerinde Hangi Yaklaşım Ne Zaman?
• CRM, ERP ve API Entegrasyonu: Kurumsal Otomasyon Rehberi
• Kurumsal AI ve KVKK: Veri Minimizasyonu ve Uyum Çerçevesi
• iPaaS Nedir? iPaaS mi Özel Entegrasyon mu: Kurumsal Seçim Rehberi
• CRM Veri Kalitesi: Dedupe, Altın Kayıt ve Rapor Tutarlılığı Kurumsal Rehberi
• Kurumsal LLM Maliyet Yönetimi: Cache, Model Seçimi, Rate Limit ve Bütçe Rehberi
Sık Sorulan Sorular
Hayır. Chatbot bir arayüz modeli olabilir; uygulama ise iş akışları, entegrasyonlar ve yetkilendirme ile tam ürün kapsamına sahiptir.
Proje uyumu
Bunu güvenli şekilde hayata geçirmek ister misiniz?
Rehberi net kapsam, mimari ve üretime hazır teslimata dönüştürelim.