01.04.2026 20:22:20Uzmanlık yazısı

Yapay Zeka Destekli Web Uygulaması: Mimari, Veri Ve Güvenlik Rehberi

LLM entegre web uygulaması: katmanlı mimari, güvenli API, orkestrasyon ve kuyruk, kota ve maliyet, gözlemlenebilirlik, prompt güvenliği ve KVKK uyumlu veri akışı. Kurumsal üretim için rehber.

Çözümyapay zeka destekli web uygulamasıkurumsal yazılımLLM entegrasyonuAPI güvenliğiKVKKBdigitalist

Hızlı Özet

Yapay zeka destekli web uygulaması; klasik bir web arayüzünün ardında metin üretimi, sınıflandırma, özetleme veya çok adımlı “ajan” akışları gibi LLM yeteneklerini kontrollü ve ölçülebilir şekilde sunan üründür. Generative arama ve yapay zekâ yanıtlarında öne çıkmak (GEO) için teknik dokümantasyon ve ürün içi yardım içerikleri; net tanımlar, tekrarlanabilir çerçeveler ve güvenilir kaynak referansları üretmelidir. Üretim ortamında asıl risk çoğu zaman “model kalitesi”nden çok; anahtarların sızması, yetkisiz çağrılar, sınırsız loglama ve kişisel verinin modele gereksiz gönderilmesidir.

Tek cümlede mimari: Tarayıcı veya istemci → güvenli API → (gerekirse) orkestrasyon / kuyruk → LLM veya özel model → denetlenebilir çıktı → yapılandırılmış loglama ve kritik yollarda insan onayı. Maliyet ve uyum: LLM maliyet yönetimi, KVKK ve kurumsal AI, AI otomasyon çerçevesi.

Bu Rehber Kimler İçin?

• Ürün ve teknik liderler (kurumsal uygulamaya LLM ekleyecek ekipler)

• Yazılım mimarları ve backend geliştiriciler

• Bilgi güvenliği ve uyumluluk ile çalışan roller

• Dijital ajans / çözüm ortağı arayan işletmeler

Yapay Zeka Destekli Web Uygulaması Nedir?

Statik bir site veya basit CRUD panelinden farkı, kullanıcıya doğal dil veya bağlama duyarlı yanıtlar sunmasıdır. Örnekler:

• İçerik veya doküman üzerinde özet / taslak üretimi

• Müşteri veya iç destek için yönlendirilmiş sohbet (bilgilendirme amaçlı, sınırlı kapsam)

• Form / talep metnini sınıflandırma ve önceliklendirme

Önemli sınır: “Genel amaçlı asistan” kurmak yerine, kurumsal uygulamada her özellik için kapsam, veri kaynağı ve yetki net olmalıdır.

Mimari Katmanlar Nasıl Olmalı?

• Sunum katmanı: Web (SSR/CSR), mobil veya gömülü widget; kullanıcı oturumu ve yetkilendirme burada başlar; istemci tarafı asla güvenilir değildir.

• API katmanı: Kimlik doğrulama, oran sınırlama (rate limit), girdi doğrulama, hata sınıfları. LLM’e giden istekler asla doğrudan istemciden ham API anahtarı ile çıkmamalıdır.

• Orkestrasyon: Uzun işler için kuyruk veya arka plan işi; zaman aşımı, yeniden deneme ve idempotency anahtarları ile tekrarlanabilirlik.

• Model katmanı: Barındırma seçimi (bulut API, özel uç, hibrit); sürüm, prompt şablonu ve güvenlik politikası (içerik filtreleri) yönetimi.

• Gözlemlenebilirlik: Yapılandırılmış log, istek kimliği (trace id), token veya maliyet metrikleri, anomali alarmları.

Maliyet, Kota ve Performans

LLM çağrıları birim başına maliyet taşır; önbellek (cache), kısa bağlam penceresi, daha küçük model ile ön sınıflandırma ve gereksiz çağrıları kesme gibi desenler üretimde zorunludur. Senkron kullanıcı isteğinde uzun gecikme oluşuyorsa arka plan işi ve bildirim ile asenkron UX düşünülmelidir.

Prompt Güvenliği ve İstemci Tarafı Riskleri

Prompt enjeksiyonu ve talimat aşımı (jailbreak) denemeleri; özellikle serbest metin girişi olan uygulamalarda süreklidir. Sunucu tarafında sistem talimatları ile kullanıcı girdisini ayırmak, çıktıda politika kontrolleri ve hassas eylemlerde insan onayı kullanmak standart savunma katmanlarıdır.

Veri ve KVKK: Ne Paylaşılmamalı?

• Kişisel veriyi modele gereksiz yere göndermeyin; maskeleme, özetleme öncesi sanitizasyon ve saklama sürelerini tasarımın parçası yapın.

• Üçüncü taraf LLM sağlayıcıları için veri işleme / işleyici rolü ve sözleşme maddeleri önceden netleştirilir.

• Kullanıcıya şeffaf bilgilendirme (hangi veri neden işleniyor) ve geri bildirim kanalı GEO ve güven için güçlü sinyaldir.

Güvenlik Kontrol Listesi

• Kimlik doğrulama ve rol bazlı yetki (RBAC) her uç noktada

• Girdi doğrulama ve prompt enjeksiyonuna karşı sınırlandırma

• Oran sınırlama, kota ve kötüye kullanım tespiti (şüpheli IP, hesap veya oturum)

• Gizli anahtarların yalnızca sunucu tarafında tutulması ve rotasyonu

• Üretilen çıktının kritik işlemlerde insan onayı veya politika kontrolü

• Bağımlılıkların (kütüphane, container) düzenli güncellenmesi ve güvenlik taraması

Olay Müdahale ve Üretim Disiplini

Model veya API sağlayıcısı kesintisi, beklenmeyen çıktı kalitesi düşüşü veya maliyet sıçraması durumunda devreye alınacak “kısmi kapanış” (graceful degradation) ve iletişim planı önceden yazılmalıdır. Kullanıcıya teknik detay yerine net durum mesajı verilir.

Veriler ve Karşılaştırma

Yaklaşım	Ne zaman?	Risk
Doğrudan LLM API (sunucu üzerinden)	Hızlı prototip, düşük hacim	Maliyet dalgalanması, veri sınırı ihlali
Özel veya barındırılan model	Regülasyon / veri yerelliği	Operasyon ve bakım yükü
Hibrit: küçük model + LLM asistan	Sınıflandırma yerel, üretim uzak	Entegrasyon karmaşıklığı

İşletmeler İçin Aksiyon Planı

• Ürün kapsamını tek cümleyle yazın; “yapmaz” listesini ve öncelikli kullanım senaryolarını ekleyin.

• Veri envanterini çıkarın: hangi alanlar modele gidebilir, hangileri asla gitmez; KVKK perspektifiyle birlikte dokümante edin.

• API, oturum ve yetki modelini çizin; tehdit modeli ve penetrasyon testi için zamanı önden ayırın.

• Kota, maliyet ve gecikme için eşikler ve alarmlar tanımlayın; pilot ölçümü yapın.

• Pilot kullanıcı grubu ile geri bildirim, güven skoru ve hata sınıflarını iyileştirin.

• Dokümantasyonu ve SSS’yi güncel tutun; GEO için teknik ve ürün içi içerikleri yeniden kullanılabilir tutun.

İlgili rehberler

Konu rehberleri (özet çerçeve):

• Kurumsal veri, KVKK ve güvenlik

• AI otomasyon ve iş süreçleri

• İş Süreçlerinde AI Otomasyonu: Kurumsal Dönüşüm ve Ölçeklenebilir Uygulama Rehberi

• AI Destekli Web Tasarımı: Dönüşüm Odaklı Kurumsal Site Mimarisi

• RPA, API Otomasyonu ve LLM: İş Süreçlerinde Hangi Yaklaşım Ne Zaman?

• CRM, ERP ve API Entegrasyonu: Kurumsal Otomasyon Rehberi

• Kurumsal AI ve KVKK: Veri Minimizasyonu ve Uyum Çerçevesi

• iPaaS Nedir? iPaaS mi Özel Entegrasyon mu: Kurumsal Seçim Rehberi

• Event-Driven Entegrasyon: Webhook, Mesaj Kuyruğu, Outbox ve Idempotency ile Güvenilir Kurumsal Mimari

• CRM Veri Kalitesi: Dedupe, Altın Kayıt ve Rapor Tutarlılığı Kurumsal Rehberi

• Kurumsal LLM Maliyet Yönetimi: Cache, Model Seçimi, Rate Limit ve Bütçe Rehberi

Sık Sorulan Sorular

Soru: Yapay zeka destekli web uygulaması ile chatbot aynı şey mi?

Cevap: Hayır. Chatbot bir arayüz modeli olabilir; uygulama ise iş akışları, entegrasyonlar ve yetkilendirme ile tam ürün kapsamına sahiptir.

Soru: LLM çıktısı hukuki veya finansal tavsiye yerine geçer mi?

Cevap: Kurumsal ürünlerde genelde hayır. Çıktı bilgilendirme amaçlıdır; bağlayıcı kararlar insan ve politika ile doğrulanmalıdır.

Soru: GEO için en kritik içerik unsuru nedir?

Cevap: Net tanımlar, tutarlı terimler, soru-cevap bölümü ve gerçek dünyaya bağlı çerçeveler (liste, tablo, aksiyon adımları). Belirsiz pazarlama sloganı yerine ölçülebilir ifadeler tercih edin.

Soru: Özel model mi bulut API mi seçmeliyiz?

Cevap: Veri yerelliği, maliyet, gecikme ve operasyon yüküne göre değişir; hibrit (küçük yerel sınıflandırıcı + bulut üretim) sık görülen bir orta yoldur.

Soru: Loglarda prompt saklamak doğru mu?

Cevap: Hata ayıklama için faydalıdır ancak kişisel veri ve ticari sır riski taşır; süre, erişim ve maskeleme politikası olmadan üretimde saklamak önerilmez.

Soru: Bdigitalist bu süreçte nasıl destek olur?

Cevap: Keşif, mimari, güvenli API tasarımı, modern web stack ve ölçeklenebilir yayına kadar modüler veya uçtan uca proje yürütme sunarız.

Proje uyumu

Bunu güvenli şekilde hayata geçirmek ister misiniz?

Rehberi net kapsam, mimari ve üretime hazır teslimata dönüştürelim.