{"id":14307,"date":"2026-03-02T18:30:06","date_gmt":"2026-03-02T15:30:06","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=14307"},"modified":"2026-03-02T18:30:06","modified_gmt":"2026-03-02T15:30:06","slug":"moltbot-enterprise-risk-management","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/moltbot-enterprise-risk-management\/14307\/","title":{"rendered":"OpenClaw tehditleri: Risklerin de\u011ferlendirilmesi ve g\u00f6lge yapay zeka ile nas\u0131l ba\u015fa \u00e7\u0131k\u0131laca\u011f\u0131"},"content":{"rendered":"<p>Herkes muhtemelen daha \u00f6nce \u201cClawdbot\u201d veya \u201cMoltbot\u201d olarak bilinen, bir makineye yerel olarak kurulabilen a\u00e7\u0131k kaynakl\u0131 yapay zeka asistan\u0131 OpenClaw\u2019\u0131 duymu\u015ftur. OpenClaw; WhatsApp, Telegram, Signal, Discord ve Slack gibi pop\u00fcler sohbet platformlar\u0131na ba\u011flanarak, sahibinden komutlar\u0131 kabul edip yerel dosya sisteminde \u00e7al\u0131\u015fmaya ba\u015flar. Sahibinin takvimine, e-postas\u0131na ve taray\u0131c\u0131s\u0131na eri\u015febilir ve hatta kabuk arac\u0131l\u0131\u011f\u0131yla i\u015fletim sistemi komutlar\u0131n\u0131 \u00e7al\u0131\u015ft\u0131rabilir.<\/p>\n<p>G\u00fcvenlik a\u00e7\u0131s\u0131ndan bak\u0131ld\u0131\u011f\u0131nda, bu a\u00e7\u0131klama tek ba\u015f\u0131na herkesi tedirgin etmeye yeter. Ancak insanlar bunu kurumsal bir ortamda i\u015f i\u00e7in kullanmaya ba\u015flad\u0131klar\u0131nda, endi\u015fe h\u0131zla yakla\u015fan kaosun kesinli\u011fi haline d\u00f6n\u00fc\u015f\u00fcr. Baz\u0131 uzmanlar, OpenClaw\u2019\u0131 \u015fimdiden 2026 y\u0131l\u0131n\u0131n en b\u00fcy\u00fck i\u00e7 tehdidi olarak nitelendiriyor. OpenClaw ile ilgili sorunlar, son <a href=\"https:\/\/www.kaspersky.com.tr\/blog\/top-agentic-ai-risks-2026\/14222\/\" target=\"_blank\" rel=\"noopener\">OWASP Top 10 for Agentic Applications<\/a>\u2018da vurgulanan risklerin t\u00fcm\u00fcn\u00fc kapsamaktad\u0131r.<\/p>\n<p>OpenClaw, herhangi bir yerel veya bulut tabanl\u0131 LLM\u2019nin tak\u0131lmas\u0131na ve ek hizmetlerle \u00e7ok \u00e7e\u015fitli entegrasyonlar\u0131n kullan\u0131lmas\u0131na izin verir. Temelinde, sohbet uygulamalar\u0131 veya bir web kullan\u0131c\u0131 aray\u00fcz\u00fc arac\u0131l\u0131\u011f\u0131yla komutlar\u0131 kabul eden ve bunlar\u0131 uygun yapay zeka ajanlar\u0131na y\u00f6nlendiren bir a\u011f ge\u00e7idi bulunmaktad\u0131r. Clawdbot olarak adland\u0131r\u0131lan ilk versiyon, Kas\u0131m 2025\u2019te piyasaya s\u00fcr\u00fcld\u00fc; Ocak 2026\u2019ya kadar viral oldu ve beraberinde bir dizi g\u00fcvenlik sorunu getirdi. Tek bir hafta i\u00e7inde, <a href=\"https:\/\/www.kaspersky.com\/blog\/openclaw-vulnerabilities-exposed\/55263\/\" target=\"_blank\" rel=\"noopener nofollow\">birka\u00e7 kritik g\u00fcvenlik a\u00e7\u0131\u011f\u0131 ortaya \u00e7\u0131kt\u0131<\/a>, beceri dizininde k\u00f6t\u00fc niyetli beceriler ortaya \u00e7\u0131kt\u0131 ve Moltbook\u2019tan (esasen \u201cbotlar i\u00e7in Reddit\u201d) s\u0131rlar s\u0131zd\u0131r\u0131ld\u0131. \u00dcst\u00fcne \u00fcstl\u00fck, Anthropic, \u201cClaude\u201d markas\u0131n\u0131 ihlal etmemek i\u00e7in projenin ad\u0131n\u0131n de\u011fi\u015ftirilmesi talebinde bulundu ve projenin X hesap ad\u0131, kripto doland\u0131r\u0131c\u0131l\u0131\u011f\u0131 yapmak i\u00e7in ele ge\u00e7irildi.<\/p>\n<h2>Bilinen OpenClaw sorunlar\u0131<\/h2>\n<p>Projenin geli\u015ftiricisi g\u00fcvenli\u011fin \u00f6nemli oldu\u011funu kabul ediyor gibi g\u00f6r\u00fcnse de, bu bir hobi projesi oldu\u011fu i\u00e7in g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n y\u00f6netimi veya di\u011fer \u00fcr\u00fcn g\u00fcvenli\u011fi gereklilikleri i\u00e7in ayr\u0131lm\u0131\u015f hi\u00e7bir kaynak bulunmamaktad\u0131r.<\/p>\n<h3>OpenClaw g\u00fcvenlik a\u00e7\u0131klar\u0131<\/h3>\n<p>OpenClaw\u2019da bilinen g\u00fcvenlik a\u00e7\u0131klar\u0131 aras\u0131nda en tehlikelisi <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-25253\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2026-25253<\/a> (CVSS 8.8) \u2018d\u00fcr. Bunu istismar etmek, a\u011f ge\u00e7idinin tamamen tehlikeye girmesine yol a\u00e7ar ve sald\u0131rgan\u0131n keyfi komutlar \u00e7al\u0131\u015ft\u0131rmas\u0131na olanak tan\u0131r. Daha da k\u00f6t\u00fcs\u00fc, bunu ger\u00e7ekle\u015ftirmek \u015fa\u015f\u0131rt\u0131c\u0131 derecede kolayd\u0131r: Ajan sald\u0131rgan\u0131n sitesini ziyaret ederse veya kullan\u0131c\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 bir ba\u011flant\u0131ya t\u0131klarsa, birincil kimlik do\u011frulama jetonu s\u0131zd\u0131r\u0131l\u0131r. Bu jeton elinde olan sald\u0131rgan, a\u011f ge\u00e7idi \u00fczerinde tam y\u00f6netim kontrol\u00fcne sahiptir. Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131 2026.1.29 s\u00fcr\u00fcm\u00fcnde d\u00fczeltilmi\u015ftir.<\/p>\n<p>Ayr\u0131ca, iki tehlikeli komut enjeksiyon g\u00fcvenlik a\u00e7\u0131\u011f\u0131 (CVE-2026-24763 ve CVE-2026-25157) ke\u015ffedilmi\u015ftir.<\/p>\n<h3>G\u00fcvenli olmayan varsay\u0131lan ayarlar ve \u00f6zellikler<\/h3>\n<p>\u00c7e\u015fitli varsay\u0131lan ayarlar ve uygulama tuhafl\u0131klar\u0131, a\u011f ge\u00e7idine sald\u0131rmay\u0131 \u00e7ocuk oyunca\u011f\u0131 haline getirmektedir:<\/p>\n<ul>\n<li>Kimlik do\u011frulama varsay\u0131lan olarak devre d\u0131\u015f\u0131d\u0131r, bu nedenle a\u011f ge\u00e7idi internetten eri\u015filebilir durumdad\u0131r.<\/li>\n<li>Sunucu, kaynaklar\u0131n\u0131 do\u011frulamadan WebSocket ba\u011flant\u0131lar\u0131n\u0131 kabul eder.<\/li>\n<li>Localhost ba\u011flant\u0131lar\u0131 \u00f6rt\u00fck olarak g\u00fcvenilir kabul edilir, bu da ana bilgisayar ters proxy \u00e7al\u0131\u015ft\u0131r\u0131yorsa felakete davetiye \u00e7\u0131kar\u0131r.<\/li>\n<li>Misafir Modunda, baz\u0131lar\u0131 tehlikeli olan \u00e7e\u015fitli ara\u00e7lara eri\u015filebilir.<\/li>\n<li>\u00d6nemli yap\u0131land\u0131rma parametreleri, mDNS yay\u0131n mesajlar\u0131 arac\u0131l\u0131\u011f\u0131yla yerel a\u011fda s\u0131z\u0131nt\u0131ya u\u011frar.<\/li>\n<\/ul>\n<h3>D\u00fcz metindeki s\u0131rlar<\/h3>\n<p>OpenClaw\u2019\u0131n yap\u0131land\u0131rmas\u0131, \u201cbellek\u201d ve sohbet g\u00fcnl\u00fckleri, LLM\u2019ler ve entegrasyon hizmetleri i\u00e7in API anahtarlar\u0131n\u0131, \u015fifreleri ve di\u011fer kimlik bilgilerini d\u00fcz metin olarak depolar. Bu; RedLine ve Lumma bilgi h\u0131rs\u0131zlar\u0131n\u0131n s\u00fcr\u00fcmlerinin, \u00e7al\u0131nmas\u0131 gerekenler listesine OpenClaw dosya yollar\u0131 eklenmi\u015f olarak tespit edildi\u011fi \u00f6l\u00e7\u00fcde, kritik bir tehdittir. Ayr\u0131ca, Vidar bilgi h\u0131rs\u0131z\u0131 OpenClaw\u2019dan <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/infostealer-malware-found-stealing-openclaw-secrets-for-first-time\/\" target=\"_blank\" rel=\"noopener nofollow\">gizli bilgileri \u00e7alarken yakalanm\u0131\u015ft\u0131r<\/a>.<\/p>\n<h3>K\u00f6t\u00fc niyetli beceriler<\/h3>\n<p>OpenClaw\u2019\u0131n i\u015flevselli\u011fi, <a href=\"https:\/\/clawhub.ai\/skills\" target=\"_blank\" rel=\"noopener nofollow\">ClawHub<\/a> deposunda bulunan \u201cbeceriler\u201d ile geni\u015fletilebilir. Herkes beceri y\u00fckleyebildi\u011finden, tehdit akt\u00f6rlerinin AMOS macOS bilgi h\u0131rs\u0131z\u0131n\u0131 y\u00fcklemelerine \u201ceklemeye\u201d ba\u015flamas\u0131 \u00e7ok uzun s\u00fcrmedi. K\u0131sa bir s\u00fcre i\u00e7inde, k\u00f6t\u00fc niyetli becerilerin say\u0131s\u0131 <a href=\"https:\/\/www.scworld.com\/news\/openclaw-agents-targeted-with-341-malicious-clawhub-skills\" target=\"_blank\" rel=\"noopener nofollow\">y\u00fczlere ula\u015ft\u0131<\/a>. Bu durum, geli\u015ftiricileri VirusTotal ile h\u0131zl\u0131 bir \u015fekilde <a href=\"https:\/\/openclaw.ai\/blog\/virustotal-partnership\" target=\"_blank\" rel=\"noopener nofollow\">anla\u015fma<\/a> imzalamaya y\u00f6nlendirdi. B\u00f6ylece, y\u00fcklenen t\u00fcm beceriler sadece k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m veri tabanlar\u0131na g\u00f6re kontrol edilmeyecek, ayn\u0131 zamanda LLM\u2019ler arac\u0131l\u0131\u011f\u0131yla kod ve i\u00e7erik analizinden de ge\u00e7ecek. Bununla birlikte, yazarlar \u00e7ok net bir \u015fekilde belirtiyorlar: Bu bir sihirli de\u011fnek de\u011fildir.<\/p>\n<h3>OpenClaw AI ajan\u0131ndaki yap\u0131sal kusurlar<\/h3>\n<p>G\u00fcvenlik a\u00e7\u0131klar\u0131 yamalanabilir ve ayarlar g\u00fc\u00e7lendirilebilir, ancak OpenClaw\u2019\u0131n baz\u0131 sorunlar\u0131 tasar\u0131m\u0131n\u0131n temelinde yatmaktad\u0131r. \u00dcr\u00fcn, bir araya geldi\u011finde son derece tehlikeli olan birka\u00e7 kritik \u00f6zelli\u011fi bir araya getirmektedir:<\/p>\n<ul>\n<li>OpenClaw, ana makinedeki hassas verilere ve sahibinin ki\u015fisel hesaplar\u0131na ayr\u0131cal\u0131kl\u0131 eri\u015fim hakk\u0131na sahiptir.<\/li>\n<li>Asistan, g\u00fcvenilir olmayan verilere tamamen a\u00e7\u0131kt\u0131r: Ajan, sohbet uygulamalar\u0131 ve e-posta yoluyla mesajlar al\u0131r, web sayfalar\u0131n\u0131 ba\u011f\u0131ms\u0131z olarak tarar vb.<\/li>\n<li>LLM\u2019lerin komutlar\u0131 verilerden g\u00fcvenilir bir \u015fekilde ay\u0131rma konusunda do\u011fu\u015ftan gelen yetersizli\u011finden muzdariptir, bu da komut enjeksiyonunu m\u00fcmk\u00fcn k\u0131lar.<\/li>\n<li>Ajan, gelecekteki eylemleri bilgilendirmek i\u00e7in g\u00f6revlerinden \u00f6nemli \u00e7\u0131kar\u0131mlar\u0131 ve eserleri kaydeder. Bu, tek bir ba\u015far\u0131l\u0131 enjeksiyonun ajan\u0131n haf\u0131zas\u0131n\u0131 zehirleyerek davran\u0131\u015f\u0131n\u0131 uzun vadede etkileyebilece\u011fi anlam\u0131na gelir.<\/li>\n<li>OpenClaw, d\u0131\u015f d\u00fcnyayla ileti\u015fim kurma g\u00fcc\u00fcne sahiptir; e-posta g\u00f6nderme, API \u00e7a\u011fr\u0131lar\u0131 yapma ve di\u011fer y\u00f6ntemleri kullanarak i\u00e7 verileri d\u0131\u015far\u0131ya aktarma gibi.<\/li>\n<\/ul>\n<p>OpenClaw\u2019\u0131n \u00f6zellikle a\u015f\u0131r\u0131 bir \u00f6rnek olmas\u0131na ra\u011fmen, bu \u201cKorkun\u00e7 Be\u015fli\u201d listesinin asl\u0131nda neredeyse t\u00fcm \u00e7ok ama\u00e7l\u0131 AI ajanlar\u0131n\u0131n karakteristik \u00f6zelli\u011fi oldu\u011funu belirtmek gerekir.<\/p>\n<h2>Kurulu\u015flar i\u00e7in OpenClaw riskleri<\/h2>\n<p>Bir \u00e7al\u0131\u015fan, kurumsal bir cihaza bu t\u00fcr bir arac\u0131 y\u00fckler ve onu temel bir hizmet paketine (Slack ve SharePoint gibi) ba\u011flarsa, otonom komut y\u00fcr\u00fctme, geni\u015f dosya sistemi eri\u015fimi ve a\u015f\u0131r\u0131 OAuth izinlerinin birle\u015fimi, a\u011f\u0131n ciddi \u015fekilde tehlikeye girmesine yol a\u00e7an verimli bir zemin olu\u015fturur. Asl\u0131nda, botun \u015fifrelenmemi\u015f s\u0131rlar\u0131 ve tokenleri tek bir yerde biriktirme al\u0131\u015fkanl\u0131\u011f\u0131, AI ajan\u0131 kendisi hi\u00e7bir zaman tehlikeye girmesen bile, felakete davetiye \u00e7\u0131karmaktad\u0131r.<\/p>\n<p>Bunun da \u00f6tesinde, bu yap\u0131land\u0131rmalar bir\u00e7ok \u00fclke ve sekt\u00f6rdeki yasal gereklilikleri ihlal etmekte ve potansiyel para cezalar\u0131 ve denetim ba\u015far\u0131s\u0131zl\u0131klar\u0131na yol a\u00e7maktad\u0131r. AB AI Yasas\u0131 veya NIST AI Risk Y\u00f6netimi \u00c7er\u00e7evesi gibi mevcut yasal gereklilikler, AI ajanlar\u0131 i\u00e7in s\u0131k\u0131 eri\u015fim kontrol\u00fcn\u00fc a\u00e7\u0131k\u00e7a zorunlu k\u0131lmaktad\u0131r. OpenClaw\u2019\u0131n yap\u0131land\u0131rma yakla\u015f\u0131m\u0131 bu standartlar\u0131n a\u00e7\u0131k\u00e7a gerisinde kalmaktad\u0131r.<\/p>\n<p>Ancak as\u0131l sorun, \u00e7al\u0131\u015fanlar\u0131n i\u015f bilgisayarlar\u0131na bu yaz\u0131l\u0131m\u0131 y\u00fcklemeleri yasak olsa bile, OpenClaw\u2019\u0131n yine de ki\u015fisel cihazlar\u0131na y\u00fcklenebilmesidir. Bu durum, kurulu\u015fa bir b\u00fct\u00fcn olarak belirli riskler de getirmektedir:<\/p>\n<ul>\n<li>Ki\u015fisel cihazlar genellikle kurumsal VPN yap\u0131land\u0131rmalar\u0131 veya e-posta ve dahili ara\u00e7lar i\u00e7in taray\u0131c\u0131 jetonlar\u0131 gibi i\u015f sistemlerine eri\u015fimi depolar. Bunlar, \u015firketin altyap\u0131s\u0131nda bir yer edinmek i\u00e7in ele ge\u00e7irilebilir.<\/li>\n<li>Sohbet uygulamalar\u0131 arac\u0131l\u0131\u011f\u0131yla ajan\u0131 kontrol etmek, sosyal m\u00fchendisli\u011fin hedefi haline gelenin sadece \u00e7al\u0131\u015fan de\u011fil, ayn\u0131 zamanda yapay zeka ajan\u0131 da oldu\u011fu anlam\u0131na gelir. B\u00f6ylece, yapay zeka hesaplar\u0131n\u0131n ele ge\u00e7irilmesi veya \u00e7al\u0131\u015fanlar\u0131n meslekta\u015flar\u0131yla yapt\u0131klar\u0131 sohbetlerde kimliklerinin taklit edilmesi (di\u011fer doland\u0131r\u0131c\u0131l\u0131k y\u00f6ntemlerinin yan\u0131 s\u0131ra) ger\u00e7e\u011fe d\u00f6n\u00fc\u015f\u00fcr. Ki\u015fisel sohbetlerde i\u015f konusu ara s\u0131ra g\u00fcndeme gelse bile, bu sohbetlerdeki bilgiler de\u011ferlendirilmeye haz\u0131rd\u0131r.<\/li>\n<li>Ki\u015fisel bir cihazdaki bir yapay zeka ajan\u0131 herhangi bir kurumsal hizmete (e-posta, mesajla\u015fma, dosya depolama) ba\u011fl\u0131ysa, sald\u0131rganlar ajan\u0131 manip\u00fcle ederek verileri \u00e7alabilir ve bu faaliyetin kurumsal izleme sistemleri taraf\u0131ndan tespit edilmesi son derece zor olur.<\/li>\n<\/ul>\n<h2>OpenClaw\u2019\u0131 tespit etme<\/h2>\n<p>SOC ekibinin izleme ve m\u00fcdahale yeteneklerine ba\u011fl\u0131 olarak, ki\u015fisel cihazlarda veya bulutta OpenClaw a\u011f ge\u00e7idi ba\u011flant\u0131 giri\u015fimlerini izleyebilirler. Ek olarak, belirli bir dizi uyar\u0131 i\u015fareti, OpenClaw\u2019\u0131n kurumsal bir cihazda bulundu\u011funu g\u00f6sterebilir:<\/p>\n<ul>\n<li>Ana makinalarda ~\/.openclaw\/, ~\/clawd\/ veya ~\/.clawdbot dizinlerini aray\u0131n.<\/li>\n<li>A\u011f\u0131n\u0131z\u0131 dahili ara\u00e7larla veya Shodan gibi genel ara\u00e7larla tarayarak Clawdbot kontrol panellerinin HTML parmak izlerini belirleyin.<\/li>\n<li>3000 ve 18789 numaral\u0131 ba\u011flant\u0131 noktalar\u0131nda WebSocket trafi\u011fini izleyin.<\/li>\n<li>5353 numaral\u0131 ba\u011flant\u0131 noktas\u0131nda (\u00f6zellikle openclaw-gw.tcp) mDNS yay\u0131n mesajlar\u0131n\u0131 takip edin.<\/li>\n<li>Yeni Uygulama Kimli\u011fi kay\u0131tlar\u0131, OAuth Onay olaylar\u0131 veya Node.js ve di\u011fer standart d\u0131\u015f\u0131 kullan\u0131c\u0131 arac\u0131lar\u0131 i\u00e7in tipik olan Kullan\u0131c\u0131 Arac\u0131s\u0131 dizeleri gibi kurumsal hizmetlerde ola\u011fand\u0131\u015f\u0131 kimlik do\u011frulama giri\u015fimlerine dikkat edin.<\/li>\n<li>Otomatik veri toplama i\u00e7in tipik eri\u015fim modellerini aray\u0131n: B\u00fcy\u00fck miktarda veriyi okumak (t\u00fcm dosyalar\u0131 veya t\u00fcm e-postalar\u0131 taramak) veya \u00e7al\u0131\u015fma saatleri d\u0131\u015f\u0131nda sabit aral\u0131klarla dizinleri taramak gibi.<\/li>\n<\/ul>\n<h2>G\u00f6lge yapay zekay\u0131 kontrol etme<\/h2>\n<p>Bir dizi g\u00fcvenlik hijyeni uygulamas\u0131, g\u00f6lge BT ve g\u00f6lge yapay zekan\u0131n ayak izini etkili bir \u015fekilde k\u00fc\u00e7\u00fcltebilir ve bir kurulu\u015fta OpenClaw\u2019\u0131 da\u011f\u0131tmay\u0131 \u00e7ok daha zor hale getirebilir:<\/p>\n<ul>\n<li>Yaln\u0131zca onaylanm\u0131\u015f uygulamalar\u0131n ve bulut entegrasyonlar\u0131n\u0131n y\u00fcklenmesini sa\u011flamak i\u00e7in ana bilgisayar d\u00fczeyinde izin listesi kullan\u0131n. Geni\u015fletilebilirli\u011fi destekleyen \u00fcr\u00fcnler (Chrome uzant\u0131lar\u0131, VS Code eklentileri veya OpenClaw becerileri gibi) i\u00e7in, onaylanm\u0131\u015f eklentilerin kapal\u0131 bir listesini uygulay\u0131n.<\/li>\n<li>Herhangi bir \u00fcr\u00fcn veya hizmetin, yapay zeka ajanlar\u0131 da dahil olmak \u00fczere, kurumsal kaynaklara ba\u011flanmas\u0131na izin vermeden \u00f6nce tam bir g\u00fcvenlik de\u011ferlendirmesi yap\u0131n.<\/li>\n<li>Yapay zeka ajanlar\u0131n\u0131, hassas kurumsal verileri i\u015fleyen halka a\u00e7\u0131k sunuculara uygulanan ayn\u0131 s\u0131k\u0131 g\u00fcvenlik gereklilikleriyle ele al\u0131n.<\/li>\n<li>T\u00fcm kullan\u0131c\u0131lar ve di\u011fer kimlikler i\u00e7in en az ayr\u0131cal\u0131k ilkesini uygulay\u0131n.<\/li>\n<li>Kritik bir i\u015f gereklili\u011fi olmadan y\u00f6netici ayr\u0131cal\u0131klar\u0131 vermeyin. Y\u00fckseltilmi\u015f izinlere sahip t\u00fcm kullan\u0131c\u0131lar\u0131n, her zaman ayr\u0131cal\u0131kl\u0131 hesaplardan \u00e7al\u0131\u015fmak yerine, yaln\u0131zca belirli g\u00f6revleri yerine getirirken bu izinleri kullanmas\u0131n\u0131 zorunlu k\u0131l\u0131n.<\/li>\n<li>Teknik entegrasyonlara (OAuth eri\u015fimi talep eden uygulamalar gibi) yaln\u0131zca asgari izinlerin verilmesi i\u00e7in kurumsal hizmetleri yap\u0131land\u0131r\u0131n.<\/li>\n<li>Entegrasyonlar\u0131, OAuth belirte\u00e7lerini ve \u00fc\u00e7\u00fcnc\u00fc taraf uygulamalara verilen izinleri d\u00fczenli olarak denetleyin. \u0130\u015fletme sahipleriyle bunlar\u0131n gereklili\u011fini g\u00f6zden ge\u00e7irin, a\u015f\u0131r\u0131 izinleri proaktif olarak iptal edin ve eski entegrasyonlar\u0131 ortadan kald\u0131r\u0131n.<\/li>\n<\/ul>\n<h2>Ajan yapay zekan\u0131n g\u00fcvenli bir \u015fekilde kullan\u0131lmas\u0131<\/h2>\n<p>Bir kurulu\u015f, deneysel kapasitede (\u00f6rne\u011fin, geli\u015ftirme testleri veya verimlilik pilotlar\u0131 i\u00e7in) yapay zeka ajanlar\u0131na izin veriyorsa veya genel personel i\u00e7in belirli yapay zeka kullan\u0131m durumlar\u0131 onaylanm\u0131\u015fsa, sa\u011flam izleme, g\u00fcnl\u00fck kayd\u0131 ve eri\u015fim kontrol \u00f6nlemleri uygulanmal\u0131d\u0131r:<\/p>\n<ul>\n<li>Ajanlar\u0131, s\u0131k\u0131 giri\u015f ve \u00e7\u0131k\u0131\u015f kurallar\u0131 olan izole bir alt a\u011fda da\u011f\u0131t\u0131n ve ileti\u015fimi yaln\u0131zca g\u00f6rev i\u00e7in gerekli olan g\u00fcvenilir ana bilgisayarlarla s\u0131n\u0131rland\u0131r\u0131n.<\/li>\n<li>K\u0131s\u0131tl\u0131 eri\u015fim haklar\u0131na sahip, k\u0131sa s\u00fcreli belirte\u00e7ler kullan\u0131n. Asla bir temsilciye \u015firketin ana sunucular\u0131na veya hizmetlerine eri\u015fim izni veren belirte\u00e7leri vermeyin. \u0130deal olarak, her bir test i\u00e7in \u00f6zel hizmet hesaplar\u0131 olu\u015fturun.<\/li>\n<li>Ajan\u0131, belirli g\u00f6reviyle ilgili olmayan tehlikeli ara\u00e7lardan ve veri k\u00fcmelerinden uzak tutun. Deneysel uygulamalar i\u00e7in, ger\u00e7ek \u00fcretim verilerinin yap\u0131s\u0131n\u0131 taklit eden tamamen sentetik veriler kullanarak ajan\u0131 test etmek en iyi uygulamad\u0131r.<\/li>\n<li>Ajan\u0131n eylemlerinin ayr\u0131nt\u0131l\u0131 g\u00fcnl\u00fc\u011f\u00fcn\u00fc yap\u0131land\u0131r\u0131n. Bu, olay g\u00fcnl\u00fcklerini, komut sat\u0131r\u0131 parametrelerini ve y\u00fcr\u00fct\u00fclen her komutla ili\u015fkili d\u00fc\u015f\u00fcnce zinciri artefaktlar\u0131n\u0131 i\u00e7ermelidir.<\/li>\n<li>Anormal ajan faaliyetlerini i\u015faretlemek i\u00e7in SIEM\u2019i kurun. LotL sald\u0131r\u0131lar\u0131n\u0131 tespit etmek i\u00e7in kullan\u0131lan teknikler ve kurallar burada da ge\u00e7erlidir, ancak belirli bir ajan\u0131n normal faaliyetlerinin nas\u0131l oldu\u011funu tan\u0131mlamak i\u00e7in ek \u00e7abalar gereklidir.<\/li>\n<li>MCP sunucular\u0131 ve ek ajan becerileri kullan\u0131l\u0131yorsa, bunlar\u0131 <a href=\"https:\/\/github.com\/cisco-ai-defense\/skill-scanner\" target=\"_blank\" rel=\"noopener nofollow\">beceri taray\u0131c\u0131<\/a>, <a href=\"https:\/\/github.com\/cisco-ai-defense\/mcp-scanner\" target=\"_blank\" rel=\"noopener nofollow\">mcp taray\u0131c\u0131<\/a> veya <a href=\"https:\/\/github.com\/invariantlabs-ai\/mcp-scan\" target=\"_blank\" rel=\"noopener nofollow\">mcp tarama<\/a> gibi bu g\u00f6revler i\u00e7in geli\u015ftirilen g\u00fcvenlik ara\u00e7lar\u0131yla taray\u0131n. \u00d6zellikle OpenClaw testleri i\u00e7in, birka\u00e7 \u015firket, <a href=\"https:\/\/github.com\/guardzcom\/security-research-labs\/tree\/main\/openclaw-security-analyzer\" target=\"_blank\" rel=\"noopener nofollow\">yap\u0131land\u0131rmalar\u0131n\u0131n<\/a> g\u00fcvenli\u011fini denetleyen a\u00e7\u0131k kaynakl\u0131 ara\u00e7lar yay\u0131nlad\u0131.<\/li>\n<\/ul>\n<h2>Kurumsal ilke ve \u00e7al\u0131\u015fan e\u011fitimi<\/h2>\n<p>T\u00fcm yapay zeka ara\u00e7lar\u0131n\u0131 tamamen yasaklamak basit ama nadiren verimli bir yoldur. \u00c7al\u0131\u015fanlar genellikle ge\u00e7ici \u00e7\u00f6z\u00fcmler bulurlar ve sorunu kontrol edilmesi daha da zor olan g\u00f6lgeye iterler. Bunun yerine, \u00fcretkenlik ve g\u00fcvenlik aras\u0131nda makul bir denge bulmak daha iyidir.<\/p>\n<p><strong>Ajan yapay zeka kullan\u0131m\u0131na ili\u015fkin \u015feffaf ilkelere uymay\u0131 sa\u011flay\u0131n:<\/strong> Harici yapay zeka hizmetlerinin hangi veri kategorilerini i\u015fleyebilece\u011fini ve hangilerinin kesinlikle yasak oldu\u011funu belirleyin. \u00c7al\u0131\u015fanlar, bir \u015feyin neden yasak oldu\u011funu anlamal\u0131d\u0131r. \u201cEvet, ama baz\u0131 \u00f6nlemler al\u0131narak\u201d ilke, genel bir \u201chay\u0131r\u201ddan her zaman daha iyi kar\u015f\u0131lan\u0131r.<\/p>\n<p><strong>Ger\u00e7ek hayattan \u00f6rneklerle antrenman yap\u0131n:<\/strong> \u201cS\u0131z\u0131nt\u0131 riskleri\u201d hakk\u0131nda soyut uyar\u0131lar genellikle faydas\u0131zd\u0131r. E-posta eri\u015fimi olan bir temsilcinin, rastgele gelen bir e-posta bunu istedi\u011fi i\u00e7in gizli mesajlar\u0131 nas\u0131l iletebilece\u011fini g\u00f6stermek daha iyidir. Tehdit ger\u00e7ek hissedildi\u011finde, kurallara uymak i\u00e7in motivasyon da artar. \u0130deal olarak, \u00e7al\u0131\u015fanlar yapay zeka g\u00fcvenli\u011fi konusunda <a href=\"https:\/\/k-asap.com\/tr\/?icid=tr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=tr_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=tr_kdaily_organic_avmwswubv8qh92b\" target=\"_blank\" rel=\"noopener\">k\u0131sa bir h\u0131zland\u0131r\u0131lm\u0131\u015f kursu<\/a> tamamlamal\u0131d\u0131r.<\/p>\n<p><strong>G\u00fcvenli alternatifler sunun:<\/strong> \u00c7al\u0131\u015fanlar\u0131n bir yapay zeka asistan\u0131na ihtiyac\u0131 varsa; merkezi y\u00f6netim, g\u00fcnl\u00fck kayd\u0131 ve OAuth eri\u015fim kontrol\u00fc \u00f6zelliklerine sahip onaylanm\u0131\u015f bir ara\u00e7 sa\u011flay\u0131n.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\">\n","protected":false},"excerpt":{"rendered":"<p>Kurumsal g\u00fcvenlik ekipleri \u201cviral\u201d yapay zeka ajan\u0131 konusunda ne yapmal\u0131d\u0131r?<\/p>\n","protected":false},"author":2722,"featured_media":14308,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1726,1194],"tags":[1425,744,2802,1610,2850,1424,2849,1855],"class_list":{"0":"post-14307","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-enterprise","8":"category-business","9":"tag-ai","10":"tag-guvenlik","11":"tag-llm","12":"tag-makine-ogrenimi","13":"tag-openclaw","14":"tag-yapay-zeka","15":"tag-yapay-zeka-ajanlari","16":"tag-yz"},"hreflang":[{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/moltbot-enterprise-risk-management\/14307\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/moltbot-enterprise-risk-management\/30218\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/moltbot-enterprise-risk-management\/25296\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/moltbot-enterprise-risk-management\/30091\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/moltbot-enterprise-risk-management\/29000\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/moltbot-enterprise-risk-management\/31875\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/moltbot-enterprise-risk-management\/30495\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/moltbot-enterprise-risk-management\/41329\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/moltbot-enterprise-risk-management\/55317\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/moltbot-enterprise-risk-management\/23656\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/moltbot-enterprise-risk-management\/24770\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/moltbot-enterprise-risk-management\/30293\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/moltbot-enterprise-risk-management\/35975\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/moltbot-enterprise-risk-management\/35631\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.tr\/blog\/tag\/yapay-zeka\/","name":"yapay zeka"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/14307","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=14307"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/14307\/revisions"}],"predecessor-version":[{"id":14310,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/14307\/revisions\/14310"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media\/14308"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=14307"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=14307"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=14307"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}