Son dönemin hızla yükselen yapay zeka ajanlarından OpenClaw, bu kez ciddi güvenlik sorunlarıyla gündemde. Güvenlik araştırmacıları, platformun eklenti mağazasında yer alan yüzlerce uzantının kötü amaçlı yazılım barındırdığını tespit etti. Uzmanlara göre OpenClaw ekosistemi, siber saldırganlar için yeni ve cazip bir hedef haline gelmiş durumda.
Takvim planlamasından uçuş işlemlerine, e-posta düzenlemeden dosya yönetimine kadar pek çok görevi otonom şekilde yerine getirebilen OpenClaw, kullanıcı cihazlarında yerel olarak çalışıyor. Ayrıca WhatsApp, Telegram ve iMessage gibi mesajlaşma uygulamaları üzerinden kontrol edilebilmesi, erişim kolaylığı sağlarken güvenlik risklerini de beraberinde getiriyor. Özellikle bazı kullanıcıların asistana dosya okuma-yazma, komut çalıştırma ve script yürütme gibi geniş yetkiler vermesi, potansiyel tehlikeyi büyütüyor.
400’den Fazla Zararlı “Skill” Tespit Edildi
OpenSourceMalware tarafından yayımlanan rapora göre, yalnızca birkaç gün içinde OpenClaw’ın ClawHub adlı eklenti mağazasına 400’ün üzerinde zararlı uzantı yüklendi. Bu eklentiler genellikle kripto para al-sat otomasyonu gibi zararsız araçlar gibi sunuluyor. Ancak arka planda kripto cüzdan anahtarları, borsa API erişimleri, SSH bilgileri ve tarayıcıda kayıtlı parolaları ele geçiren kodlar çalıştırıyor.
1Password Ürün Başkan Yardımcısı Jason Meller, OpenClaw’ın eklenti mimarisini “doğrudan bir saldırı yüzeyi” olarak tanımlıyor. Meller’a göre, popüler eklentilerden biri bile kullanıcıyı kötü amaçlı bir bağlantıya yönlendirerek yapay zekaya zararlı komutlar çalıştırabiliyor. Üstelik birçok eklentinin Markdown dosyaları üzerinden dağıtılması, hem kullanıcıları hem de yapay zekayı gizli talimatlarla manipüle etmeyi mümkün kılıyor.
OpenClaw’dan İlk Önlemler Geldi
OpenClaw’ın geliştiricisi Peter Steinberger, yaşananların ardından bazı güvenlik önlemlerini devreye aldıklarını açıkladı. Buna göre artık eklenti yayınlamak isteyen geliştiricilerin en az bir haftalık aktif bir GitHub hesabına sahip olması gerekiyor. Ancak uzmanlar, bu adımın tek başına yeterli olmadığını ve daha sıkı denetim mekanizmalarına ihtiyaç duyulduğunu belirtiyor.
Yaşanan bu gelişmeler, yapay zeka ajanlarının sunduğu kolaylıkların yanında kontrolsüz yetkilendirme ve üçüncü taraf eklentilerin ne kadar büyük riskler barındırabileceğini bir kez daha gözler önüne seriyor.
Yorum Yok
