OpenClaw tehditleri: Risklerin değerlendirilmesi ve gölge yapay zeka ile nasıl başa çıkılacağı

Herkes muhtemelen daha önce “Clawdbot” veya “Moltbot” olarak bilinen, bir makineye yerel olarak kurulabilen açık kaynaklı yapay zeka asistanı OpenClaw’ı duymuştur. OpenClaw; WhatsApp, Telegram, Signal, Discord ve Slack gibi popüler sohbet platformlarına bağlanarak, sahibinden komutları kabul edip yerel dosya sisteminde çalışmaya başlar. Sahibinin takvimine, e-postasına ve tarayıcısına erişebilir ve hatta kabuk aracılığıyla işletim sistemi komutlarını çalıştırabilir.

Güvenlik açısından bakıldığında, bu açıklama tek başına herkesi tedirgin etmeye yeter. Ancak insanlar bunu kurumsal bir ortamda iş için kullanmaya başladıklarında, endişe hızla yaklaşan kaosun kesinliği haline dönüşür. Bazı uzmanlar, OpenClaw’ı şimdiden 2026 yılının en büyük iç tehdidi olarak nitelendiriyor. OpenClaw ile ilgili sorunlar, son OWASP Top 10 for Agentic Applications‘da vurgulanan risklerin tümünü kapsamaktadır.

OpenClaw, herhangi bir yerel veya bulut tabanlı LLM’nin takılmasına ve ek hizmetlerle çok çeşitli entegrasyonların kullanılmasına izin verir. Temelinde, sohbet uygulamaları veya bir web kullanıcı arayüzü aracılığıyla komutları kabul eden ve bunları uygun yapay zeka ajanlarına yönlendiren bir ağ geçidi bulunmaktadır. Clawdbot olarak adlandırılan ilk versiyon, Kasım 2025’te piyasaya sürüldü; Ocak 2026’ya kadar viral oldu ve beraberinde bir dizi güvenlik sorunu getirdi. Tek bir hafta içinde, birkaç kritik güvenlik açığı ortaya çıktı, beceri dizininde kötü niyetli beceriler ortaya çıktı ve Moltbook’tan (esasen “botlar için Reddit”) sırlar sızdırıldı. Üstüne üstlük, Anthropic, “Claude” markasını ihlal etmemek için projenin adının değiştirilmesi talebinde bulundu ve projenin X hesap adı, kripto dolandırıcılığı yapmak için ele geçirildi.

Bilinen OpenClaw sorunları

Projenin geliştiricisi güvenliğin önemli olduğunu kabul ediyor gibi görünse de, bu bir hobi projesi olduğu için güvenlik açıklarının yönetimi veya diğer ürün güvenliği gereklilikleri için ayrılmış hiçbir kaynak bulunmamaktadır.

OpenClaw güvenlik açıkları

OpenClaw’da bilinen güvenlik açıkları arasında en tehlikelisi CVE-2026-25253 (CVSS 8.8) ‘dür. Bunu istismar etmek, ağ geçidinin tamamen tehlikeye girmesine yol açar ve saldırganın keyfi komutlar çalıştırmasına olanak tanır. Daha da kötüsü, bunu gerçekleştirmek şaşırtıcı derecede kolaydır: Ajan saldırganın sitesini ziyaret ederse veya kullanıcı kötü amaçlı bir bağlantıya tıklarsa, birincil kimlik doğrulama jetonu sızdırılır. Bu jeton elinde olan saldırgan, ağ geçidi üzerinde tam yönetim kontrolüne sahiptir. Bu güvenlik açığı 2026.1.29 sürümünde düzeltilmiştir.

Ayrıca, iki tehlikeli komut enjeksiyon güvenlik açığı (CVE-2026-24763 ve CVE-2026-25157) keşfedilmiştir.

Güvenli olmayan varsayılan ayarlar ve özellikler

Çeşitli varsayılan ayarlar ve uygulama tuhaflıkları, ağ geçidine saldırmayı çocuk oyuncağı haline getirmektedir:

• Kimlik doğrulama varsayılan olarak devre dışıdır, bu nedenle ağ geçidi internetten erişilebilir durumdadır.
• Sunucu, kaynaklarını doğrulamadan WebSocket bağlantılarını kabul eder.
• Localhost bağlantıları örtük olarak güvenilir kabul edilir, bu da ana bilgisayar ters proxy çalıştırıyorsa felakete davetiye çıkarır.
• Misafir Modunda, bazıları tehlikeli olan çeşitli araçlara erişilebilir.
• Önemli yapılandırma parametreleri, mDNS yayın mesajları aracılığıyla yerel ağda sızıntıya uğrar.

Düz metindeki sırlar

OpenClaw’ın yapılandırması, “bellek” ve sohbet günlükleri, LLM’ler ve entegrasyon hizmetleri için API anahtarlarını, şifreleri ve diğer kimlik bilgilerini düz metin olarak depolar. Bu; RedLine ve Lumma bilgi hırsızlarının sürümlerinin, çalınması gerekenler listesine OpenClaw dosya yolları eklenmiş olarak tespit edildiği ölçüde, kritik bir tehdittir. Ayrıca, Vidar bilgi hırsızı OpenClaw’dan gizli bilgileri çalarken yakalanmıştır.

Kötü niyetli beceriler

OpenClaw’ın işlevselliği, ClawHub deposunda bulunan “beceriler” ile genişletilebilir. Herkes beceri yükleyebildiğinden, tehdit aktörlerinin AMOS macOS bilgi hırsızını yüklemelerine “eklemeye” başlaması çok uzun sürmedi. Kısa bir süre içinde, kötü niyetli becerilerin sayısı yüzlere ulaştı. Bu durum, geliştiricileri VirusTotal ile hızlı bir şekilde anlaşma imzalamaya yönlendirdi. Böylece, yüklenen tüm beceriler sadece kötü amaçlı yazılım veri tabanlarına göre kontrol edilmeyecek, aynı zamanda LLM’ler aracılığıyla kod ve içerik analizinden de geçecek. Bununla birlikte, yazarlar çok net bir şekilde belirtiyorlar: Bu bir sihirli değnek değildir.

OpenClaw AI ajanındaki yapısal kusurlar

Güvenlik açıkları yamalanabilir ve ayarlar güçlendirilebilir, ancak OpenClaw’ın bazı sorunları tasarımının temelinde yatmaktadır. Ürün, bir araya geldiğinde son derece tehlikeli olan birkaç kritik özelliği bir araya getirmektedir:

• OpenClaw, ana makinedeki hassas verilere ve sahibinin kişisel hesaplarına ayrıcalıklı erişim hakkına sahiptir.
• Asistan, güvenilir olmayan verilere tamamen açıktır: Ajan, sohbet uygulamaları ve e-posta yoluyla mesajlar alır, web sayfalarını bağımsız olarak tarar vb.
• LLM’lerin komutları verilerden güvenilir bir şekilde ayırma konusunda doğuştan gelen yetersizliğinden muzdariptir, bu da komut enjeksiyonunu mümkün kılar.
• Ajan, gelecekteki eylemleri bilgilendirmek için görevlerinden önemli çıkarımları ve eserleri kaydeder. Bu, tek bir başarılı enjeksiyonun ajanın hafızasını zehirleyerek davranışını uzun vadede etkileyebileceği anlamına gelir.
• OpenClaw, dış dünyayla iletişim kurma gücüne sahiptir; e-posta gönderme, API çağrıları yapma ve diğer yöntemleri kullanarak iç verileri dışarıya aktarma gibi.

OpenClaw’ın özellikle aşırı bir örnek olmasına rağmen, bu “Korkunç Beşli” listesinin aslında neredeyse tüm çok amaçlı AI ajanlarının karakteristik özelliği olduğunu belirtmek gerekir.

Kuruluşlar için OpenClaw riskleri

Bir çalışan, kurumsal bir cihaza bu tür bir aracı yükler ve onu temel bir hizmet paketine (Slack ve SharePoint gibi) bağlarsa, otonom komut yürütme, geniş dosya sistemi erişimi ve aşırı OAuth izinlerinin birleşimi, ağın ciddi şekilde tehlikeye girmesine yol açan verimli bir zemin oluşturur. Aslında, botun şifrelenmemiş sırları ve tokenleri tek bir yerde biriktirme alışkanlığı, AI ajanı kendisi hiçbir zaman tehlikeye girmesen bile, felakete davetiye çıkarmaktadır.

Bunun da ötesinde, bu yapılandırmalar birçok ülke ve sektördeki yasal gereklilikleri ihlal etmekte ve potansiyel para cezaları ve denetim başarısızlıklarına yol açmaktadır. AB AI Yasası veya NIST AI Risk Yönetimi Çerçevesi gibi mevcut yasal gereklilikler, AI ajanları için sıkı erişim kontrolünü açıkça zorunlu kılmaktadır. OpenClaw’ın yapılandırma yaklaşımı bu standartların açıkça gerisinde kalmaktadır.

Ancak asıl sorun, çalışanların iş bilgisayarlarına bu yazılımı yüklemeleri yasak olsa bile, OpenClaw’ın yine de kişisel cihazlarına yüklenebilmesidir. Bu durum, kuruluşa bir bütün olarak belirli riskler de getirmektedir:

• Kişisel cihazlar genellikle kurumsal VPN yapılandırmaları veya e-posta ve dahili araçlar için tarayıcı jetonları gibi iş sistemlerine erişimi depolar. Bunlar, şirketin altyapısında bir yer edinmek için ele geçirilebilir.
• Sohbet uygulamaları aracılığıyla ajanı kontrol etmek, sosyal mühendisliğin hedefi haline gelenin sadece çalışan değil, aynı zamanda yapay zeka ajanı da olduğu anlamına gelir. Böylece, yapay zeka hesaplarının ele geçirilmesi veya çalışanların meslektaşlarıyla yaptıkları sohbetlerde kimliklerinin taklit edilmesi (diğer dolandırıcılık yöntemlerinin yanı sıra) gerçeğe dönüşür. Kişisel sohbetlerde iş konusu ara sıra gündeme gelse bile, bu sohbetlerdeki bilgiler değerlendirilmeye hazırdır.
• Kişisel bir cihazdaki bir yapay zeka ajanı herhangi bir kurumsal hizmete (e-posta, mesajlaşma, dosya depolama) bağlıysa, saldırganlar ajanı manipüle ederek verileri çalabilir ve bu faaliyetin kurumsal izleme sistemleri tarafından tespit edilmesi son derece zor olur.

OpenClaw’ı tespit etme

SOC ekibinin izleme ve müdahale yeteneklerine bağlı olarak, kişisel cihazlarda veya bulutta OpenClaw ağ geçidi bağlantı girişimlerini izleyebilirler. Ek olarak, belirli bir dizi uyarı işareti, OpenClaw’ın kurumsal bir cihazda bulunduğunu gösterebilir:

• Ana makinalarda ~/.openclaw/, ~/clawd/ veya ~/.clawdbot dizinlerini arayın.
• Ağınızı dahili araçlarla veya Shodan gibi genel araçlarla tarayarak Clawdbot kontrol panellerinin HTML parmak izlerini belirleyin.
• 3000 ve 18789 numaralı bağlantı noktalarında WebSocket trafiğini izleyin.
• 5353 numaralı bağlantı noktasında (özellikle openclaw-gw.tcp) mDNS yayın mesajlarını takip edin.
• Yeni Uygulama Kimliği kayıtları, OAuth Onay olayları veya Node.js ve diğer standart dışı kullanıcı aracıları için tipik olan Kullanıcı Aracısı dizeleri gibi kurumsal hizmetlerde olağandışı kimlik doğrulama girişimlerine dikkat edin.
• Otomatik veri toplama için tipik erişim modellerini arayın: Büyük miktarda veriyi okumak (tüm dosyaları veya tüm e-postaları taramak) veya çalışma saatleri dışında sabit aralıklarla dizinleri taramak gibi.

Gölge yapay zekayı kontrol etme

Bir dizi güvenlik hijyeni uygulaması, gölge BT ve gölge yapay zekanın ayak izini etkili bir şekilde küçültebilir ve bir kuruluşta OpenClaw’ı dağıtmayı çok daha zor hale getirebilir:

• Yalnızca onaylanmış uygulamaların ve bulut entegrasyonlarının yüklenmesini sağlamak için ana bilgisayar düzeyinde izin listesi kullanın. Genişletilebilirliği destekleyen ürünler (Chrome uzantıları, VS Code eklentileri veya OpenClaw becerileri gibi) için, onaylanmış eklentilerin kapalı bir listesini uygulayın.
• Herhangi bir ürün veya hizmetin, yapay zeka ajanları da dahil olmak üzere, kurumsal kaynaklara bağlanmasına izin vermeden önce tam bir güvenlik değerlendirmesi yapın.
• Yapay zeka ajanlarını, hassas kurumsal verileri işleyen halka açık sunuculara uygulanan aynı sıkı güvenlik gereklilikleriyle ele alın.
• Tüm kullanıcılar ve diğer kimlikler için en az ayrıcalık ilkesini uygulayın.
• Kritik bir iş gerekliliği olmadan yönetici ayrıcalıkları vermeyin. Yükseltilmiş izinlere sahip tüm kullanıcıların, her zaman ayrıcalıklı hesaplardan çalışmak yerine, yalnızca belirli görevleri yerine getirirken bu izinleri kullanmasını zorunlu kılın.
• Teknik entegrasyonlara (OAuth erişimi talep eden uygulamalar gibi) yalnızca asgari izinlerin verilmesi için kurumsal hizmetleri yapılandırın.
• Entegrasyonları, OAuth belirteçlerini ve üçüncü taraf uygulamalara verilen izinleri düzenli olarak denetleyin. İşletme sahipleriyle bunların gerekliliğini gözden geçirin, aşırı izinleri proaktif olarak iptal edin ve eski entegrasyonları ortadan kaldırın.

Ajan yapay zekanın güvenli bir şekilde kullanılması

Bir kuruluş, deneysel kapasitede (örneğin, geliştirme testleri veya verimlilik pilotları için) yapay zeka ajanlarına izin veriyorsa veya genel personel için belirli yapay zeka kullanım durumları onaylanmışsa, sağlam izleme, günlük kaydı ve erişim kontrol önlemleri uygulanmalıdır:

• Ajanları, sıkı giriş ve çıkış kuralları olan izole bir alt ağda dağıtın ve iletişimi yalnızca görev için gerekli olan güvenilir ana bilgisayarlarla sınırlandırın.
• Kısıtlı erişim haklarına sahip, kısa süreli belirteçler kullanın. Asla bir temsilciye şirketin ana sunucularına veya hizmetlerine erişim izni veren belirteçleri vermeyin. İdeal olarak, her bir test için özel hizmet hesapları oluşturun.
• Ajanı, belirli göreviyle ilgili olmayan tehlikeli araçlardan ve veri kümelerinden uzak tutun. Deneysel uygulamalar için, gerçek üretim verilerinin yapısını taklit eden tamamen sentetik veriler kullanarak ajanı test etmek en iyi uygulamadır.
• Ajanın eylemlerinin ayrıntılı günlüğünü yapılandırın. Bu, olay günlüklerini, komut satırı parametrelerini ve yürütülen her komutla ilişkili düşünce zinciri artefaktlarını içermelidir.
• Anormal ajan faaliyetlerini işaretlemek için SIEM’i kurun. LotL saldırılarını tespit etmek için kullanılan teknikler ve kurallar burada da geçerlidir, ancak belirli bir ajanın normal faaliyetlerinin nasıl olduğunu tanımlamak için ek çabalar gereklidir.
• MCP sunucuları ve ek ajan becerileri kullanılıyorsa, bunları beceri tarayıcı, mcp tarayıcı veya mcp tarama gibi bu görevler için geliştirilen güvenlik araçlarıyla tarayın. Özellikle OpenClaw testleri için, birkaç şirket, yapılandırmalarının güvenliğini denetleyen açık kaynaklı araçlar yayınladı.

Kurumsal ilke ve çalışan eğitimi

Tüm yapay zeka araçlarını tamamen yasaklamak basit ama nadiren verimli bir yoldur. Çalışanlar genellikle geçici çözümler bulurlar ve sorunu kontrol edilmesi daha da zor olan gölgeye iterler. Bunun yerine, üretkenlik ve güvenlik arasında makul bir denge bulmak daha iyidir.

Ajan yapay zeka kullanımına ilişkin şeffaf ilkelere uymayı sağlayın: Harici yapay zeka hizmetlerinin hangi veri kategorilerini işleyebileceğini ve hangilerinin kesinlikle yasak olduğunu belirleyin. Çalışanlar, bir şeyin neden yasak olduğunu anlamalıdır. “Evet, ama bazı önlemler alınarak” ilke, genel bir “hayır”dan her zaman daha iyi karşılanır.

Gerçek hayattan örneklerle antrenman yapın: “Sızıntı riskleri” hakkında soyut uyarılar genellikle faydasızdır. E-posta erişimi olan bir temsilcinin, rastgele gelen bir e-posta bunu istediği için gizli mesajları nasıl iletebileceğini göstermek daha iyidir. Tehdit gerçek hissedildiğinde, kurallara uymak için motivasyon da artar. İdeal olarak, çalışanlar yapay zeka güvenliği konusunda kısa bir hızlandırılmış kursu tamamlamalıdır.

Güvenli alternatifler sunun: Çalışanların bir yapay zeka asistanına ihtiyacı varsa; merkezi yönetim, günlük kaydı ve OAuth erişim kontrolü özelliklerine sahip onaylanmış bir araç sağlayın.