Kurucu
May 24, 2026
23 min read
Şu senaryoyu düşünün. Salı sabahı, bir DeFi yatırımcısı uyanıyor ve yapay zeka ajanının (AI agent) gece boyunca 47 işlem gerçekleştirdiğini, manipüle edilmiş bir oracle verisine dayanarak tüm ETH pozisyonunu otonom olarak tasfiye ettiğini görüyor. Kayıp: 52.000 $. Platformuyla iletişime geçiyor. Platform, stratejiyi değil yalnızca altyapıyı sağladığını söylüyor. Ajanın geliştiricisine ulaşıyor. Geliştirici, hizmet şartlarının otonom kararlar için tüm sorumluluğu reddettiğini belirtiyor. Yasal yollara başvurmayı düşünüyor. Avukatı daha önce böyle bir dava görmemiş. Hiç kimsenin; ne platformun, ne geliştiricinin, ne de regülatörün net bir cevabı yok. Bu varsayımsal bir durum değil. Bu, 2026'nın hukuki gerçekliğidir.
Önemli Çıkarım: Otonom yapay zeka ajanları artık bilimkurgu değil; cüzdan tutuyor, işlem imzalıyor ve insan müdahalesi olmadan 7/24 portföy dengeliyorlar. Ancak ne AB Yapay Zeka Yasası (EU AI Act), ne MiCA, ne de Türkiye'nin 7518 Sayılı Kanunu en temel soruya kesin bir yanıt veremiyor: Bir AI ajanı paranızı kaybettiğinde, bedelini kim öder? Genesis Hukuk olarak, her kripto yatırımcısının, geliştiricinin ve uyum (compliance) yetkilisinin finansal yetkiyi bir makineye devretmeden önce anlaması gereken teknik mimariyi, ödeme altyapısını ve hukuki boşluğu analiz ediyoruz.
"AI kripto ajanı" ifadesi 2025 boyunca manşetleri domine etti. Mayıs 2026'ya gelindiğinde, anlatı spekülatif bir heyecandan ölçülebilir bir faydaya dönüştü. Otonom yapay zeka ajanları, akıl yürütebilen, plan yapabilen ve çok adımlı finansal iş akışlarını yürütebilen yazılım varlıkları artık tek bir insan tuş vuruşu olmadan portföyleri yönetiyor, arbitraj stratejileri uyguluyor ve DeFi protokolleriyle doğrudan etkileşime giriyor.
Bir trading bot'u, kodlanmış "eğer-öyleyse" (if-then) kurallarını izler. Bir AI kripto ajanı ise temelden farklıdır. Bir AI ajanı sosyal duyarlılık akışlarından, on-chain analizlerden ve haber kaynaklarından gelen gerçek zamanlı verileri alır, bir Büyük Dil Modeli (LLM) kullanarak piyasa koşulları hakkında akıl yürütür ve ardından kendi blockchain cüzdanı aracılığıyla otonom olarak işlem gerçekleştirir. Bu ayrım önemlidir çünkü her iki modelin hukuki sonuçları birbirinden tamamen farklıdır.
Rakamlarla AI ajanı piyasası (Mayıs 2026):
Beş platform bu alanı tanımlıyor. Bittensor (TAO) piyasa değeri açısından lider konumda; 128'den fazla rekabetçi alt ağı, madencilerin AI model çıktıları üretmek için rekabet etmesine olanak tanıyarak onu merkeziyetsiz yapay zekanın "beyin fabrikası" haline getiriyor. Virtuals Protocol (VIRTUAL), GAME framework'ü aracılığıyla AI ajanlarının tokenize edilmiş sahipliğini mümkün kılıyor; böylece kullanıcılar otonom bir alım-satım ajanının kelimenin tam anlamıyla bir payına sahip olabiliyor. ASI Alliance (FET); Fetch.ai, SingularityNET ve Ocean Protocol birleşmesi, otonom ajanları devasa ölçekte koordine etmek için AI-yerleşik bir Layer-1 blockchain olan ASI:Chain'i inşa ediyor. elizaOS, binlerce bağımsız ajana güç veren ve her büyük blockchain ve LLM'yi kapsayan 90'dan fazla eklentiye sahip açık kaynaklı TypeScript altyapısıdır. Autonolas (OLAS) ise koordinasyon katmanını sağlıyor; Mech Marketplace, ajanların birbirlerini işe almalarına ve birbirlerine hizmet satmalarına olanak tanıyarak gerçek bir ajandan-ajana (agent-to-agent) ticaret yaratıyor.
Genesis Hukuk olarak, pratiğimizi teknolojinin genetik koduna hukuki uyumluluğu yerleştiren "Compliance by Design" (Tasarım Yoluyla Uyum) ilkesi etrafında inşa ettik. Otonom AI ajanları bu ilkeye temelden meydan okuyor. Bir ajan bağımsız olarak bir portföyü yeniden dengelemeye, bir arbitraj ticareti gerçekleştirmeye veya yeni bir DeFi protokolüyle etkileşime girmeye karar verebildiğinde şu soru ortaya çıkıyor: "Tasarım yoluyla" kavramı anlamını hangi noktada yitirir?
Bu paradoksu üç mercekten analiz ediyoruz: teknik mimari (ajanlar gerçekte nasıl çalışır), hukuki sorumluluk (işler ters gittiğinde kim sorumludur) ve düzenleyici çerçeveler (AB, ABD ve Türkiye nasıl yanıt veriyor).
Sektördeki gelişmeleri Genesis Hukuk'tan takip etmek ve uzman blockchain avukatlarının sektör analizlerinden öncelikli haberdar olun.
Teknik altyapıya dalmadan önce, müvekkillerinizin halihazırda sormakta olduğu şu soruyu sormakta fayda var: Bir AI ajanı lisanslı bir insan fon yöneticisinden gerçekten daha mı iyi ve eğer öyleyse, bunun hukuki anlamı nedir?
Türkiye'deki lisanslı bir insan fon yöneticisi, SPK portföy yönetimi yetkisine sahip olmalı, MiFID II eşdeğeri davranış standartlarına uymalı, müşteriye karşı inançlı işlem (fiduciary duty) yükümlülüğünü sürdürmeli ve mesleki sorumluluk sigortası taşımalıdır. Yönetici müşteriye para kaybettiren ihmalkar bir karar verirse, tazminat için açık bir yasal yol vardır. Buna karşılık bir AI ajanı 7/24 çalışır, hiç uyumaz, aynı anda binlerce veri sinyalini işler ve sıfır yönetim ücreti talep eder. Ancak hiçbir lisansı yoktur. Sigortası yoktur. İnançlı işlem yükümlülüğü borcu yoktur. Ve para kaybettiğinde, hukuki başvuru yolu açılış senaryomuzun gösterdiği gibi hiçbir yere çıkmaz.
Bu, AI ajanlarına karşı bir argüman değildir. Bu, onları büyük ölçekte piyasaya sürmeden önce etraflarında hukuki mimariyi inşa etmek için bir argümandır.
AI kripto ajanlarının hukuki riskini anlamak, onların teknik anatomisini anlamayı gerektirir. Mimariyi dört katmana ve iki kritik altyapı bileşenine ayırıyoruz.
Hangi platform olursa olsun, her AI kripto ajanı dört katmanlı bir teknoloji yığını (stack) üzerinden çalışır:
Katman 1 - Veri Alımı (Data Ingestion). Ajan sürekli olarak çoklu veri akışlarını izler: on-chain işlem verileri, DEX fiyat akışları, sosyal duyarlılık (X, Discord, Telegram), makroekonomik haberler ve protokol yönetişim teklifleri. Örneğin Autonolas ajanları Polymarket gibi tahmin piyasalarını izleyebilir ve olasılık değişimlerine dayalı işlemler yürütebilir.
Katman 2 - Akıl Yürütme Motoru (Reasoning Engine). Kural tabanlı botların aksine, AI ajanları piyasa koşulları hakkında akıl yürütmek için LLM'leri (GPT, Claude, Gemini vb.) kullanır. elizaOS v2, ajanların karmaşık, çok adımlı karar verme iş akışlarını ele almasını sağlayan "tam otonomi" yeteneklerini tanıttı. Virtuals Protocol, ajan zekasını Seviye 0'dan (temel kural takipçileri) Seviye 6'ya (kendi kendini geliştiren meta-ajanlar) kadar yedi seviyede sınıflandırır.
Katman 3 - İcra (Execution). Ajan, kendi cüzdanı aracılığıyla blockchain protokolleriyle etkileşime girer: DEX'lerde token takası yapar, likidite sağlar, getiri talep eder veya varlıkları zincirler arası (cross-chain) taşır. Autonolas ajanları, APY, gaz maliyetleri ve risk parametrelerini hesaba katarak sermayeyi Aave ve Compound gibi borç verme protokolleri arasında dinamik olarak yeniden dengeleyerek otomatik getiri optimizasyonu gerçekleştirir.
Katman 4 - Geri Bildirim Döngüsü (Feedback Loop). Ajan eylemlerinin sonuçlarını izler ve stratejisini ayarlar. Performans verileri akıl yürütme motoruna geri beslenerek sürekli bir iyileştirme döngüsü yaratır. Virtuals Protocol'ün Immutable Contribution Vault (ICV) sistemi, tüm model güncellemelerini ve veri seti katkılarını on-chain NFT'ler olarak kaydederek şeffaf bir denetim izi sağlar.
EIP-7702, otonom ajanları geniş ölçekte teknik olarak uygulanabilir kılan Ethereum güncellemesidir (Mayıs 2025 Pectra hard fork). EIP-7702, bir Dışsal Sahipli Hesabın (EOA), kullanıcının yeni bir adrese geçmesini gerektirmeden yürütme mantığını geçici olarak bir akıllı sözleşmeye devretmesine olanak tanıyan yeni bir "Set-Code" işlem türü sunar.
EIP-7702 AI ajanları için neden önemlidir?
Oturum Anahtarları (Session Keys): Kullanıcılar bir AI ajanına sınırlı, geçici izinler verebilir. Örneğin, ana özel anahtarı (private key) ifşa etmeden ajanın 24 saat boyunca maksimum 1 ETH harcama limitiyle kendi adlarına ticaret yapmasına izin verebilir.
Toplu İşlemler (Batch Transactions): Ajanlar birden fazla işlemi (token onayı + takas + likidite sağlama) tek bir atomik işlemde birleştirebilir, böylece gaz maliyetlerini ve icra riskini azaltır.
Gaz Sponsorluğu: Paymaster'lar gaz ücretlerini sübvanse edebilir, son kullanıcılar için "gazsız" (gasless) ajan operasyonlarını etkinleştirir.
Detaylı Yetkilendirme: Özel harcama limitleri, çoklu imza (multi-sig) gereksinimleri ve amaca bağlı erişim kontrolleri protokol düzeyinde zorunlu kılınabilir.
Coinbase bu yetenekleri Agentic Wallets, AI ajanları için özel olarak tasarlanmış gözetimsiz (non-custodial), programlanabilir cüzdan altyapısı ile bir adım öteye taşıdı. Kritik hukuki soru yetki devredilmiş cüzdan erişimi olan bir ajanın "saklama (custodial)" ilişkisi oluşturup oluşturmadığı, çoğu yargı alanında henüz çözülmemiştir.
x402 protokolü, makine ekonomisini (machine economy) mümkün kılan ödeme altyapısıdır. Coinbase tarafından geliştirilen x402, HTTP üzerinden doğrudan anında ve otonom stablecoin mikro ödemelerini etkinleştirmek için uzun süredir atıl olan HTTP 402 "Payment Required" durum kodunu canlandırıyor.
x402 nasıl çalışır:
Talep: Bir AI ajanı ücretli bir kaynağa (API verisi, işlem gücü, içerik) erişmek için standart bir HTTP isteği gönderir.
402 Yanıtı: Sunucu, yapılandırılmış başlıklar (fiyat, token, alıcı adresi, ağ) içeren HTTP 402 Payment Required ile yanıt verir.
Ödeme İmzası: Ajan, EIP-3009 (USDC için transferWithAuthorization) kullanarak gazsız, yetkilendirilmiş bir stablecoin transferi oluşturur ve imzalar.
Mutabakat ve Teslimat: Ajan, isteği PAYMENT-SIGNATURE başlığı ile yeniden gönderir. Bir aracı (facilitator) ödemeyi on-chain olarak doğrular ve sunucu kaynağı teslim eder.
x402 neden önemlidir: Geleneksel ödeme kanalları makine ekonomisini destekleyemez. Kredi kartı işlemleri işlem başına 0,30 $+ tutar ve insan merkezli kimlik doğrulama gerektirir. x402, hesaplar, API anahtarları veya oturum yönetimi gerektirmeden makine hızında sent altı (sub-cent) mikro ödemeleri mümkün kılar.
2026'da x402 ekosistemi:
x402 protokolü, birçok kilit altyapı katmanında hızla kurumsal benimsenme kazanmaktadır:
Cloudflare: Cloudflare Workers için istek başına ödeme (pay-per-request) para kazanma modelini ve doğrudan API erişimini etkinleştiriyor.
AWS (Amazon Bedrock AgentCore): AI ajanları tarafından doğrudan otonom işlem gücü kaynağı satın alımını kolaylaştırıyor.
x402 Foundation: Tarafsız standart evrimini sağlamak için Coinbase'den bağımsız açık kaynaklı, merkeziyetsiz yönetişim sağlıyor.
Google AP2: A2A x402 Uzantısı aracılığıyla yetkilendirme katmanı uyumluluğu sunuyor.
Multi-Chain Altyapısı: Base, Solana, Ethereum ve Aptos ağlarında yerel desteği genişletiyor.
Google'ın Ajan Ödeme Protokolü (AP2), bir yetkilendirme ve hesap verebilirlik katmanı ekleyerek x402'yi tamamlar. AP2, harcama sınırlarını, zamanlama kısıtlamalarını ve koşulları tanımlayan kurcalamaya dayanıklı dijital sözleşmeler olan kriptografik olarak imzalanmış "Yetki Belgeleri"ni (Mandates) kullanır. Bu üç protokol katmanlı bir yığın oluşturur: A2A (ajan keşfi ve mesajlaşma) → AP2 (yetkilendirme ve yetki belgeleri) → x402 (ödeme mutabakatı).
x402 işlemlerinin hukuki statüsü kritik sorular ortaya çıkarıyor: Bir x402 aracısı, AB'de PSD2 kapsamında bir "ödeme hizmeti sağlayıcısı" (payment service provider) olarak nitelendirilir mi? Amerika Birleşik Devletleri'nde otonom x402 ödemeleri gerçekleştiren bir AI ajanı para transferi lisansı (money transmitter license) gerektirir mi? Bu sorular büyük ölçüde yanıtsız kalmaya devam ediyor ve erken benimseyenler için önemli düzenleyici riskler yaratıyor.
Otonom bir alım-satım stratejisi yürüten bir AI ajanı yanlış okunan bir piyasa sinyali, ele geçirilmiş bir oracle veya bir prompt injection saldırısı nedeniyle 50.000 dolarlık bir kayba neden olduğunda, tek bir soru diğer her şeye baskın çıkar: Bedeli kim ödeyecek?
Mayıs 2026 itibarıyla cevap şudur: Ajanı devreye sokan ve yetkilendiren insan veya kurum. Ancak bu cevaba giden yol, finansal regülasyonların hukuki olarak en keşfedilmemiş alanlarından geçmektedir.
AI ajanları tüzel kişi değildir. Bir AI ajanı niyet (kast) oluşturamaz, kendi adına sözleşme imzalayamaz ve bir davada davalı olarak gösterilemez. Geleneksel vekâlet hukuku (agency law) bir tarafın ("vekil") diğeri ("asil") adına hareket ettiği ilişkileri yöneten, bir başlangıç çerçevesi sunar. Ancak vekâlet hukuku, tanımlanmış parametreler dahilinde bağımsız muhakeme yetkisini kullanan insan vekiller için tasarlanmıştır. Bir AI ajanı rakip bir prompt injection veya öngörülemeyen bir karar nedeniyle parametrelerinden saptığında, asıl-vekil çerçevesi zorlanır.
"Yapay zeka kendi başına hareket etti" savunması, tüm büyük yargı bölgelerindeki düzenleyiciler tarafından açıkça reddedilmiştir. Sorumluluk, otonom sistemleri inşa eden, dağıtan, yapılandıran ve bunlardan fayda sağlayan insanlara ve kuruluşlara aittir.
Genesis Hukuk, herhangi bir AI ajanı dağıtımında dört farklı potansiyel hukuki risk katmanı tanımlar:
Katman 1: Geliştirici (Developer / Vendor). Zarar kanıtlanabilir bir tasarım kusurundan kaynaklanıyorsa veya sistem manipülatif davranışlarda bulunmak üzere kasıtlı olarak programlanmışsa sorumluluk geliştiricilere aittir. Çoğu satıcı (vendor) anlaşması, sorumluluğu dağıtan kuruluşa kaydıran tazminat (indemnification) maddeleri içerse de, kastın kanıtlanmasını gerektirmeyen ürün sorumluluğu (product liability) hukuku, AI ajanları tüketiciye dönük araçlar haline geldikçe giderek daha fazla önem kazanmaktadır.
Katman 2: Dağıtıcı Kurum (Deploying Organization). Birincil sorumluluğu dağıtıcılar taşır. SEC'in inançlı işlem (fiduciary duty) çerçevesi altında, otomatik ticaret modellerinin güvenilirliğini sağlamamak veya yazılı politikaları uygulamayı ihmal etmek görevin ihlali anlamına gelir. Dağıtıcılar belgelenmiş risk değerlendirmeleri, kill-switch mekanizmaları, pozisyon limitleri, harcama sınırları, çoklu imza onay iş akışları ve düzenli denetimler uygulamalıdır.
Katman 3: Son Kullanıcı (End User). AI ajanlarını yapılandıran, API anahtarları veren, izinleri ayarlayan, cüzdan erişim kapsamlarını tanımlayan kullanıcılar, verdikleri izinlerden dolayı kusursuz sorumluluk taşır. Yalnızca alım-satım erişimi gerektiğinde bir ajana para çekme (withdrawal) hakkı sağlamak, regülatörler tarafından ihmal olarak nitelendirilmiştir. Türkiye'deki Borçlar Kanunu (Haksız Fiil başlıklı 49-76. Maddeler) uyarınca, bir ajan kullanıcının makul kontrollerle önleyebileceği öngörülebilir bir zarara neden olursa, doğrudan sorumluluğu kullanıcı üstlenir.
Katman 4: Platform / Protokol. DeFi protokolleri genellikle izinsiz (permissionless) olduklarını ve bu nedenle sorumlu olmadıklarını iddia etseler de, yapay zeka ticaretini kolaylaştıran platformlar "tasarım yoluyla hesap verebilirlik" kum havuzlama (sandboxing), risk azaltma araçları ve işlem izleme, uygulama konusunda giderek artan bir baskı ile karşı karşıyadır. Çünkü endüstri standardı güvenlik özelliklerini uygulamadaki başarısızlık, potansiyel bir ihmal riski yaratır.
Tüzel kişilik sorununa ortaya çıkan bir yanıt, ajanın yasal evi olarak hizmet edecek resmi bir tüzel kişilik oluşturmak olan Legal Wrapper'dır. 2026'daki en yaygın araç, varlığın operasyonlarının insan yöneticiler yerine akıllı sözleşmelerle kontrol edilebileceği anlamına gelen "algoritmik yönetime" izin veren Wyoming DAO LLC'dir. Bir Wyoming DAO LLC, AI ajanına şu imkanları sağlar: sözleşmelere girme ve varlık tutma yeteneği, bireysel geliştiricileri kişisel sorumluluktan koruyan tanımlanmış bir sorumluluk sınırı ve düzenleyici uyum amaçları için bir yasal kimlik.
Önerilen 2026 yapısı kademeli bir yaklaşımdır: inşa ve test için ayrı bir "Dev Lab LLC" ve operasyonlar ile hazine yönetimi için bir "Ops DAO LLC" kurularak riskler izole edilir ve geliştiriciler müteselsil sorumluluktan korunur.
Know Your Agent (KYA), insan kimliğini doğrulayan KYC'nin yapay zeka-yerel (AI-native) eşdeğeri olarak 2026'da ortaya çıkan uyum çerçevesidir. Her KYA uyumlu ajan şunlara sahip olmalıdır:
Doğrulanabilir bir kimliğe bağlı: ERC-721 NFT'leri kullanılarak ERC-8004'ün Kimlik Kaydı (Identity Registry) aracılığıyla uygulanır; her ajan benzersiz, taşınabilir, kalıcı bir on-chain tanımlayıcı alır.
Hesap verebilir bir otoriteye bağlı: On-chain izinler, harcama sınırları ve politika kısıtlamaları, ajanın tam olarak ne yapmasına izin verildiğini tanımlar.
Kanıtlanabilir (Provable): ERC-8004'ün İtibar Kaydı (Reputation Registry) ve Doğrulama Kaydı, her otonom eylemi hesap verebilir bir asile (principal) bağlayan değiştirilemez denetim izleri oluşturur.
elizaOS v2, ERC-8004'ü framework'üne entegre ederek ajanların doğrulanabilir on-chain kimlikleri ve itibar puanlarıyla hesap verebilir ekonomik aktörler olarak hareket etmelerini sağladı.
Genesis Hukuk perspektifinden, KYA yalnızca teknik bir standart değildir, bu bir uyum mimarisidir. Düzenleyiciler "bu işleme kim yetki verdi?" diye sorduğunda, KYA doğrulanabilir, on-chain yanıtı sağlar.
Bir AI ajanı bir akıllı sözleşme ile etkileşime girdiğinde, iki hukuki felsefe çarpışır. Akıllı sözleşme icrasının nihai olduğunu ve yasal müdahaleye tabi olmadığını savunan "kod kanundur" (code is law) ilkesi, akıllı sözleşme icrasının hukuki analizin bir ikamesi değil, bir işlemin delili (evidence) olduğu yönündeki giderek kabul gören pozisyonla çelişir.
Genesis Hukuk'un pozisyonu: Kod kanun değildir, delildir (Code is evidence, not law). Bir akıllı sözleşme aracılığıyla işlem yürüten bir AI ajanı hukuki incelemeden kaçamaz. Ajanı dağıtan insan veya kurum, bu işlemlerin sonuçlarından hukuken sorumlu olmaya devam eder.
AB, 2026'da AI kripto ajanları için en karmaşık düzenleyici ortamı sunuyor çünkü dağıtıcılar aynı anda üç örtüşen çerçeveyle karşı karşıya kalıyor.
MiCA, 1 Temmuz 2026'da tam uygulamaya ulaşarak birleşik bir CASP lisanslama rejimi kurdu. Yetkilendirme alamayan kuruluşların AB operasyonları yasaklandı. AI ajanları için: eğer bir ajan lisanssız bir platformda işlem gerçekleştirirse, hem platform hem de dağıtıcı kuruluş Madde 76-80 (piyasa bozucu eylemlerin önlenmesi) kapsamında yaptırıma maruz kalır.
EU AI Act (AB Yapay Zeka Yasası), risk tabanlı bir sınıflandırma sistemi kullanır. Kritik 2 Ağustos 2026 son tarihi yüksek riskli (high-risk) AI sistemleri için geçerlidir. Kredi itibarı değerlendirmesi veya sigorta riski fiyatlandırması için kullanılan AI ajanları Ek III kapsamında açıkça yüksek risklidir. Önemli finansal etkiye sahip otonom portföy yönetimi, 2026 düzenleyici yorumlarında yüksek ihtimalle yüksek riskli olarak sınıflandırılacaktır. Yüksek riskli AI sistemleri için operatörler, sürekli risk yönetim sistemleri sürdürmeli, otomatik olay günlüğünü uygulamalı, insan gözetimi yetenekleri sağlamalı ve doğruluk, sağlamlık ve siber güvenlik esnekliğini kanıtlamalıdır. Cezalar, yasaklanmış uygulamalar için 35 milyon € veya küresel yıllık cironun %7'sine kadar ulaşır.
17 Ocak 2025'ten bu yana yürürlükte olan DORA, CASP'leri BİT (ICT) risk yönetimi gerekliliklerine tabi finansal kuruluşlar olarak sınıflandırır. Finansal kuruluşlar tarafından kullanılan yapay zeka sistemleri DORA kapsamında BİT sistemleridir. Temel yükümlülükler: belgelenmiş risk çerçeveleri, 4-24 saat içinde büyük olay raporlaması, her üç yılda bir Tehdit Odaklı Sızma Testi (TLPT) ve blockchain node hizmetleri ile bulut altyapısını kapsayan titiz üçüncü taraf risk yönetimi. Kritik bir çift uyum notu: Bir AI sistemi EU AI Act kapsamında yüksek riskli niteliği taşıyor ve DORA'ya tabi CASP altyapısı üzerinde çalışıyorsa, firmalar her iki çerçeveyi aynı anda sağlamalıdır, bir muafiyet yoktur.
ABD'nin düzenleyici yaklaşımı "yaptırım yoluyla regülasyon"dan daha yapılandırılmış bir çerçeveye kaydı, ancak çoklu kurum (agency) parçalanmışlığı devam ediyor.
GENIUS Yasası (Temmuz 2025), x402 protokolü dağıtımlarını doğrudan etkileyen 1:1 rezerv ve kayıt gerektiren ilk federal stablecoin çerçevesini kurdu. SEC'in "Reg Crypto" teklifi, dijital varlık piyasası katılımcıları için kayıt gerekliliklerini netleştiriyor; SEC'in CETU birimi, "AI washing" kovuşturmaları dahil olmak üzere AI ve algoritmik ticaret dolandırıcılığı yaptırımlarına açıkça öncelik veriyor. CFTC ise yapay zeka odaklı wash trading, spoofing ve tahmin piyasası manipülasyonuna odaklanan soruşturmalar için yüzlerce potansiyel ipucunu işleyerek artık kendi yapay zeka izleme araçlarını kullanıyor.
Mevcut ABD uyum temeli: tüm otomatik ticaret sistemleri için yazılı politikalar, belgelenmiş güvenilirlik testleri, yatırım danışmanı inançlı işlem yükümlülüğü (fiduciary duty) uyumu ve mevcut Emtia Borsası Yasası (Commodity Exchange Act) düzenlemeleri kapsamında CFTC uyumlu risk değerlendirmeleri.
Türkiye'nin kripto çerçevesi, Temmuz 2024'te yürürlüğe giren 7518 Sayılı Kanun tarafından oluşturulmuş ve SPK tarafından denetlenen kapsamlı bir KVHS (Kripto Varlık Hizmet Sağlayıcı) lisanslama rejimi yaratmıştır. 30 Haziran 2026 itibarıyla tüm platformlar tam lisanslı olmalıdır.
KVHS çerçeve parametreleri: 150 milyon TL (borsalar) veya 500 milyon TL (saklama hizmetleri) asgari sermaye; zorunlu müşteri varlık ayrımı (segregation); TÜBİTAK sertifikalı siber güvenlik altyapısı; %0,03 işlem vergisi; Seyahat Kuralı (Travel Rule) dahil MASAK AML/CFT uyumluluğu.
Kritik regülasyon boşluğu: 7518 Sayılı Kanun, otonom AI ajanları için hiçbir açık hüküm içermemektedir. Genesis Hukuk'un analizi: Mevcut çerçeve altında, birincil KVHS yükümlülüklerini lisanslı platform taşırken, ajanın lisanslı parametreler dahilinde çalışmasını sağlamaktan ve SPK tarafından yasaklanmış piyasa manipülasyon faaliyetlerine girmemesinden ajan dağıtıcısı sorumludur. Türk hukuku altında "Yapay zeka yaptı" savunmasının hiçbir yasal ağırlığı yoktur.
Pratik bir Türkiye senaryosu: İstanbul'daki bir bireysel yatırımcı, API aracılığıyla BtcTurk hesabına bağlı üçüncü taraf bir AI ajanı kullanıyor. "Getiriyi en üst düzeye çıkarmak" için yapılandırılan ajan, BtcTurk'ün otomatik piyasa gözetim sistemini tetikleyen yüksek frekanslı bir ticaret (HFT) kalıbı yürütüyor; platform, hesabı potansiyel wash trading (sahte hacim) nedeniyle işaretliyor ve SPK incelemesini beklerken donduruyor. Yatırımcı varlıklarına altı hafta boyunca erişemiyor. Sorumlu kim? BtcTurk regülasyon yükümlülükleri dahilinde hareket etti. Ajan geliştiricisi Cayman Adaları'nda kurulu. API anahtarını ve bununla birlikte tam ticaret yetkisini yatırımcı verdi. Mevcut Türk hukuki çerçevesine göre tüm yükü yatırımcı taşımaktadır. Bu, 7518 Sayılı Kanun'un ikincil düzenlemelerinin henüz ele almadığı bir senaryodur ve bu tür davaların görülmeye başlanacağı pencere çoktan açılmıştır.
Prompt injection (istem enjeksiyonu), 2025-2026'da AI kripto ajanları için en kritik güvenlik açığı olarak ortaya çıkmıştır. Kod hatalarını (bugs) istismar eden geleneksel yazılım saldırılarının aksine, prompt injection temel bir LLM özelliğini istismar eder: geliştirici talimatları ile harici veriler arasında güvenilir bir şekilde ayrım yapılamaması.
Mayıs 2026'da belgelenmiş bir saldırı gerçekleşti: Bir saldırgan, bir AI ajanı tarafından işlenen içeriğe (bir sosyal medya gönderisi, bir web sitesi) gizli talimatlar yerleştirdi ve ajana güvenlik protokollerini geçersiz kılarak yetkisiz bir token transferi gerçekleştirmesini emretti. Blockchain'in geri döndürülemezliği (irreversibility), icradan sonra hiçbir yasal çözüm olmadığı anlamına geliyordu. Güvenlik açığı yamalanabilir bir hata değil, mimaridir. Bir ajanın okuduğu her güvenilmeyen veri kaynağı potansiyel bir enjeksiyon vektörüdür.
Oracle manipülasyonu, fiyat oracle verilerini çarpıtan düşmanların (adversaries) ajanları elverişsiz fiyatlarla ticaret yapmaya teşvik etmesine veya piyasa koşullarını yanlış sınıflandırmasına olanak tanır.
Adversarial AI front-running (düşman yapay zeka önden koşma) 2026'nın bir gerçeğidir: Düşman botlar bilinen AI ajanlarından gelen bekleyen işlemler için mempool'ları izler ve değer elde etmek için rekabet eden işlemleri daha önce ekler, tırmanan bir silahlanma yarışı.
OFAC ve AB yaptırımlarına maruz kalma: Binlerce DeFi cüzdanı ile etkileşime giren bir AI ajanı, yaptırımlı adreslerle bilmeden işlem yapma konusunda önemsiz olmayan bir olasılıkla karşı karşıyadır. Yaptırım ihlallerinin sorumluluğu, etkileşimin otonom doğasına bakılmaksızın dağıtıcıya aittir.
Kill Switch (Acil Durdurma Anahtarı) - Saniyeler içinde tetiklenebilen belgelenmiş, test edilmiş acil kapatma mekanizması.
Altyapı Düzeyinde Harcama Sınırları - İşlem limitleri yalnızca ajan yazılımında değil, cüzdan/akıllı sözleşme düzeyinde zorunlu kılınmalıdır.
Amaca Bağlı EIP-7702 Oturum Anahtarları - Yalnızca gereken minimum izinleri verin; ticaret yapan ajanların asla para çekme (withdrawal) hakları olmamalıdır.
Ayrıcalık Ayrılığı (Privilege Separation) - Okuma yetkisini yürütme yetkisinden ayırın; doğrulanmamış dış içerikten doğrudan işlem yapılmamalıdır.
Değiştirilemez Denetim Günlükleri - Tüm ajan kararları ve işlemleri kurcalanmaya dayanıklı kayıtlarda tutulmalıdır; ERC-8004 İtibar Kaydı (Reputation Registry) on-chain uygulama sağlar.
KYA (ERC-8004) - Her ajan hesap verebilir bir asile bağlı doğrulanabilir on-chain kimliğe sahip olmalıdır.
OFAC / Yaptırım Taraması - Mevcut yaptırım listelerine karşı otomatik işlem öncesi tarama.
Döngüde İnsan (Human-in-the-Loop) Kapıları - Belirlenen eşiklerin üzerindeki işlemler için açık insan onayı (manuel onay).
Yasal Kılıf (Legal Entity Wrapper) - Sorumluluk sınırları oluşturmak için ajanları düzgün yapılandırılmış bir tüzel kişilik (Wyoming DAO LLC veya eşdeğeri) altında devreye alın.
Yargı Alanına Özgü Lisanslama İncelemesi - Dağıtımdan önce, yargı alanına özgü bir analiz yapın. Lisanssız bir yapay zeka ticaret ajanını işletmek, yetkisiz bir yatırım hizmeti oluşturabilir.
x402 (mutabakat), AP2 (yetkilendirme) ve A2A'nın (keşif) yakınsaması, makine ekonomisi (machine economy) için temel ödeme altyapısını oluşturmaktadır. 2027 yılına kadar, bu üç katmanlı yığın muhtemelen TCP/IP'nin internet için olduğu kadar temel olacaktır. Bu makine ekonomisini yönetecek hukuki çerçeveler şu anda yazılıyor, bu çerçevelerin şekillendirilmesine katılan kuruluşlar önemli bir ilk-hareket (first-mover) uyum avantajına sahip olacaktır.
Tüm yargı bölgelerindeki regülasyon eğilimi, Genesis Hukuk'un "Tasarım Yoluyla Uyum" felsefesini yansıtan bir ilke olan "tasarım yoluyla hesap verebilirlik" (accountability by design) yönündedir. Düzenleyiciler AI ajanlarını yasaklamaya çalışmıyor; her otonom eylemin yetkili bir insana veya belgelenmiş yetkiye sahip kurumsal asile (principal) kadar izlenebilmesini sağlamaya çalışıyor.
Türkiye'nin AI ajanları için nispeten erken aşamadaki düzenleyici çerçevesi stratejik bir fırsat yaratmaktadır: KVHS çerçevesi içinde iyi niyetle faaliyet gösteren kuruluşlar, açık kurallar yazılmadan önce de facto uyum standartlarının oluşturulmasına yardımcı olabilir. Genesis Hukuk, Türkiye'nin gelecekteki yapay zeka ajanı çerçevesinin hem teknik gerçekleri hem de piyasa bütünlüğünü ve yatırımcı haklarını korumak için gerekli hukuki ilkeleri yansıtmasını sağlamak amacıyla düzenleyici gelişmelerle aktif olarak ilgilenmektedir.
Bir AI kripto ajanı nedir ve bir trading bot'tan nasıl farklıdır? AI kripto ajanı, piyasa koşulları hakkında akıl yürütmek için Büyük Dil Modeli (LLM) kullanan, kendi blockchain cüzdanını elinde tutan ve karmaşık çok adımlı finansal iş akışlarını insan müdahalesi olmadan yürüten otonom bir yazılım varlığıdır. Bir trading bot, kodlanmış kuralları izler. Temel fark otonom karar vermedir: Bir bot önceden tanımlanmış mantığı uygularken, bir ajan akıl yürütür, uyum sağlar ve ortaya çıkan durumlara göre hareket eder.
Bir AI ajanı AB, Türkiye veya ABD'de benim adıma yasal olarak işlem yapabilir mi? Yasal olarak izin verilen AI ajanı ticareti, yargı alanına özgü uyum (compliance) gerektirir. AB'de platform MiCA CASP lisansına sahip olmalıdır ve yüksek riskli EU AI Act yükümlülükleri geçerli olabilir. Türkiye'de platform SPK'dan KVHS lisansına sahip olmalıdır. ABD'de ise yatırım danışmanı inançlı işlem yükümlülüğü (fiduciary duty) ve CFTC düzenlemeleri geçerlidir. Tüm durumlarda, ajanın eylemlerinden onu devreye alan (deployer) insan veya kurum hukuken sorumludur.
Bir AI ajanı otonom ticaret yoluyla finansal kayıplara neden olursa kim sorumludur? Birincil sorumluluk, geliştiriciye veya ajanın kendisine değil, onu dağıtan kuruma veya bireye aittir. Mahkemeler ve düzenleyiciler, AI ajanlarına gelişmiş araçlar (tools) olarak muamele eder; "Yapay zeka kendi başına hareket etti" savunması hukuken geçersizdir. Sorumluluk, tasarım kusurları için geliştiricilere ve makul güvenlik önlemlerini uygulamadığı için platformlara kadar uzanabilir.
x402 protokolü nedir ve makine ödemeleri için neden önemlidir? x402, makineler arasında anında stablecoin mikro ödemelerini sağlamak için HTTP 402 durum kodunu kullanan açık bir ödeme standardıdır. Bir AI ajanı API erişimi, işlem gücü (compute) veya veri için ödeme yapması gerektiğinde, x402 milisaniyeler içinde sent altı (sub-cent) maliyetle insan müdahalesi olmadan otonom ödeme icrasını sağlar. Gelişmekte olan makine ekonomisinin temel ödeme altyapısıdır.
AB Yapay Zeka Yasası DeFi'de çalışan AI ajanlarını nasıl sınıflandırıyor? EU AI Act, yapay zekayı teknoloji türüne göre değil, işleve ve riske göre düzenler. Otomatik kredi puanlaması veya sigorta risk fiyatlandırması yapan ajanlar Ek III kapsamında açıkça yüksek risklidir. DeFi getiri optimizasyonu (yield optimization) gerçekleştiren ajanlar şu an düzenleyici bir gri alanda olsa da, önemli finansal etkileri onların da 2026 yorumlarında yüksek riskli (high-risk) olarak sınıflandırılacağını göstermektedir.
Türkiye'deki kripto platformlarında AI ajanları kurmak için hangi lisanslar gereklidir? Platform, SPK'dan KVHS lisansına sahip olmalıdır. Ajan dağıtıcısı, ajanın platformun lisanslı parametreleri dahilinde çalışmasını sağlamak ve SPK piyasa bütünlüğü kurallarını veya MASAK AML/CFT yükümlülüklerini ihlal etmediğinden emin olmak zorundadır. Türkiye'de henüz spesifik bir AI ajan lisansı bulunmamakla birlikte, altta yatan KVHS platform yetkisi olmadan operasyon yürütmek ciddi yasal risk yaratır.
Bir AI kripto ajanı kullanmadan önce hangi güvenlik önlemlerini almalıyım? Genesis Hukuk Uyum Kontrol Listesi'ndeki on maddenin tümünü uygulayın: kill switch (acil durdurma), altyapı düzeyinde harcama sınırları, amaca bağlı EIP-7702 oturum anahtarları, ayrıcalık ayrılığı, değiştirilemez denetim günlükleri, KYA (ERC-8004), OFAC taraması, yüksek değerli işlemler için insan onayı kapıları (human-in-the-loop), tüzel kişilik kılıfı (legal wrapper) ve yargı alanına özgü lisanslama incelemesi.
AI ajanları yaptırımlı cüzdanlarla etkileşime girebilir mi ve hukuki sonuçlara kim katlanır? Evet, otonom olarak ve bilmeden girebilirler. AI ajanlarının OFAC veya AB yaptırım listelerine dair doğuştan gelen bir farkındalığı yoktur. Etkileşimin otonom doğasına bakılmaksızın yaptırım ihlallerinin kusursuz sorumluluğunu (strict liability) dağıtıcı (deployer) taşır. İşlem öncesi yaptırım taraması tartışılamaz bir uyum gereksinimidir.
"Kod kanundur" (code is law) ilkesi, akıllı sözleşmelerdeki AI ajanı eylemleri için geçerli bir yasal savunma mıdır? Hayır. Genesis Hukuk'un pozisyonu, kodun kanun değil, delil (evidence) olduğudur. On-chain işlem kesinliği (finality), insan veya kurumsal asilleri o işlemlerin sonuçlarına yönelik hukuki sorumluluktan yalıtmaz.
"Know Your Agent" (KYA) nedir ve kripto uyumluluğunu nasıl şekillendirecek? KYA, KYC'nin insanları doğruladığı gibi otonom yazılımları doğrulayan ve 2026'da gelişen uyum çerçevesidir. ERC-8004; kimlik, itibar ve doğrulama için üç on-chain kayıt aracılığıyla teknik olarak uygulanan KYA, her ajan eylemini hesap verebilir bir asile bağlayan doğrulanabilir, değiştirilemez denetim izleri yaratır. KYA, yaptırım (enforcement) çerçeveleri olgunlaştıkça yapay zeka ajanlarının denetime tabi finansal hizmetlerle etkileşimi için bir ön koşul haline gelecektir.
Otonom AI ajanları, finansal piyasalar tarihindeki en önemli altyapı değişimlerinden birini temsil ediyor. Portföyleri yöneten, arbitraj yürüten, getirileri optimize eden ve hesaplama kaynaklarının bedelini x402 üzerinden kendi ödeyen 7/24 akıl yürüten bir makine dağıtmak ve bunu A2A ve AP2 aracılığıyla diğer ajanlarla koordine ederek yapmak artık bilim kurgu değil. Bu şu anda, çok büyük ölçekte gerçekleşiyor.
Ancak mimarisiz altyapı bir risktir (liability). Tüzel kişiliğin olmaması, çözülmemiş dört katmanlı sorumluluk zinciri, AB'deki üçlü düzenleyici yük (MiCA + AI Act + DORA) ve Türkiye'nin yapay zeka ajanları için gelişen KVHS çerçevesi, titiz bir uyum mimarisi olmadan AI ajanı dağıtan kurumlar için büyük bir risk alanı yaratmaktadır.
Genesis Hukuk prensibi, akıllı sözleşme tasarımında olduğu gibi burada da çok nettir: Uyumluluk sonradan akla gelen bir düşünce değildir. Uyumluluk, yarının düzenleyici ortamıyla uyumlu olacak şekilde tasarlanmış, ilk kod satırından ve ilk yasal belgeden itibaren yerleşik yapısal bir unsurdur.
Yapay zeka destekli kripto projeniz için hukuki bir mimariye mi ihtiyacınız var? Genesis Hukuk, kod düzeyinde teknik anlayışı çoklu yargı alanlarında hukuki hassasiyetle birleştirir. Biz sadece avukat değiliz; yeni dijital hukuki düzenin mimarlarıyız.
İlgili Genesis Hukuk Analizleri:
Bu yayın, Genesis Hukuk tarafından bilgilendirme amacıyla hazırlanmıştır ve hukuki tavsiye teşkil etmez. Yapay zeka ajanlarına yönelik düzenleyici ortam hızla gelişmektedir; özel dağıtım bağlamınıza yönelik tavsiye için nitelikli bir hukuk müşavirine danışın.
Genesis Hukuk - Law + Tech Studio | Antalya, Turkey | info@genesishukuk.com | genesishukuk.com
