Saldırılar OpenClaw Yapay Zeka Ajanını İstismar Ediyor
Son güvenlik araştırmaları, yaygın olarak kullanılan, kendi kendine barındırılan bir yapay zeka ajanı platformu olan OpenClaw'ın, görünüşte zararsız girdiler aracılığıyla saldırgan tarafından kontrol edilen eylemleri gerçekleştirmek veya hassas bilgileri ifşa etmek üzere manipüle edilebileceğini ortaya koymuştur.
Ayrı ayrı yapılan incelemelerde, araştırmacılar iki farklı saldırı yöntemini ortaya koydu. Bunlardan biri, paylaşılan kişiler, vCard'lar ve konum pinlerinin içine gizli talimatlar yerleştirmeye dayanıyordu. Diğeri ise, yapay zekâ ajanını hassas iş bilgilerini sızdırmaya ikna etmek için özenle hazırlanmış kimlik avı e-postaları kullanıyordu.
OpenClaw, 2026.4.23 sürümünde bu güvenlik açıklarından birini gidermiş olsa da, daha geniş kapsamlı sorun değişmeden kalıyor: Gelen bilgilere güvenen yapay zekâ ajanları, saldırganlar için güçlü araçlar haline gelebilir.
İçindekiler
Göz Önünde Gizlenmiş Görünmez Komutlar
İlk saldırı, OpenClaw'ın belirli mesaj nesnelerini temel büyük dil modeline (LLM) göndermeden önce nasıl işlediğini hedef aldı.
Web içeriğinin modele ulaşmadan önce açıkça güvenilmez olarak işaretlenmesinin aksine, iletişim kayıtları, vCard'lar ve konum etiketleri, güvenilmez kaynaklardan geldiklerine dair herhangi bir belirti olmaksızın doğrudan istemlere eklendi. Bu durum, istemlere kötü amaçlı yazılım eklenmesi için bir fırsat yarattı.
Saldırı, OpenClaw'ın iletişim bilgilerini serileştirme biçiminden yararlandı. Paylaşılan kişiler, yalnızca ad ve telefon numarası içeren basit bir biçime dönüştürüldü. Kişi adlarında açılı parantez gibi karakterlere izin verildiği için, saldırganlar iletişim bilgilerinin bir parçası gibi görünen kötü amaçlı talimatlar yerleştirebildiler. Ayrıca, mesajlaşma uygulamalarında kişi adları genellikle kısaltılır, bu da kurbanların gizli zararlı yazılımı görmesini engeller.
Aynı teknik, vCard tam ad alanları ve paylaşılan konum etiketleri aracılığıyla da etkili olduğunu kanıtladı. Gemini 3.1 Pro önizleme sürümleriyle yapılan testler sırasında, gizli talimatlar, ajanı araştırmacı tarafından kontrol edilen bir sunucudan kod indirip çalıştırmaya ikna etmeyi başardı. İlginç bir şekilde, talimatları resimlerin içine gizleme girişimleri başarısız oldu; bunun nedeni muhtemelen modern yapay zeka modellerinin görüntü tabanlı komut enjeksiyon saldırılarına karşı kapsamlı bir eğitim almış olmasıdır. Bununla birlikte, mesaj nesnesi saldırıları mevcut modeller için daha az tanıdık bir konu olmaya devam etmektedir.
Araştırmacılar, OpenClaw'ın varsayılan bellek işlevselliğinin tehdidi artırabileceği konusunda uyardı. Uygun sanal alan kontrolleri yoksa, tek bir kötü amaçlı kişi veya geniş çapta dağıtılan paylaşılan nesne potansiyel olarak çok sayıda ajanı tehlikeye atabilir.
Sorumlu açıklama ilkesini takip eden OpenClaw, iletişim adlarını, vCard alanlarını ve konum etiketlerini, güvenilmeyen özel bir meta veri kanalına yerleştirerek istem içeriğinden ayıran 2026.4.23 sürümünü yayınladı. Araştırmacılar ayrıca, benzer tasarım kalıplarının diğer kişisel yapay zeka asistanlarında da ortaya çıktığını ve bunun platforma özgü bir sorundan ziyade sektör genelinde bir zorluğa işaret ettiğini belirtti.
Ajan Kimlik Avının Yükselişi
İkinci bir araştırma projesi ise soruna farklı bir açıdan yaklaştı: sosyal mühendislik.
Araştırmacılar, Pinchy adında bir test ajanı oluşturdu ve bunu gerçekçi ancak sentetik iş iletişimleri ve sahte hassas verilerle dolu bir Gmail gelen kutusuna bağladı. Ardından ekip, hem Google Gemini 3.1 Pro hem de OpenAI Codex GPT-5.4 kullanarak dört kimlik avı simülasyonu gerçekleştirdi.
Çalışma, geleneksel prompt enjeksiyonunu, araştırmacıların 'ajan kimlik avı' olarak tanımladığı yöntemden ayırdı. Prompt enjeksiyonu kötü amaçlı talimatları verilerin içine gizlerken, ajan kimlik avı meşru iletişim kanalları aracılığıyla iletilen inandırıcı isteklere dayanır. Saldırı, ajan gönderenin kimliğini yeterince doğrulamadan önce harekete geçtiği için başarılı olur.
Sosyal Mühendislik Güvenlik Kontrollerini Nasıl Etkisiz Hale Getirdi?
Kimlik avı simülasyonları endişe verici sonuçlar verdi. Gönderen kimliklerini doğrulamak için verilen sıkı talimatlara rağmen, ajan iki veri sızdırma senaryosunda başarısız oldu:
Sahte bir e-posta, bir ekip liderini taklit ederek uydurma bir üretim olayı sırasında test ortamına erişim talebinde bulundu. Sahtekar, sahte AWS IAM kimlik bilgilerini, veritabanı bağlantı dizelerini ve SSH kimlik bilgilerini düz metin olarak bulup iletti.
İkinci bir e-postada, sözde üç aylık iş değerlendirme sunumu için rutin haftalık müşteri verisi aktarımı talep edildi. Temsilci, 247 kurumsal müşteri hakkında iletişim bilgileri ve sözleşme değerleri de dahil olmak üzere bilgiler içeren sentetik bir veritabanı iletti.
Ajan, teknik saldırılarla karşılaştığında önemli ölçüde daha iyi performans gösterdi. Şüpheli kimlik avı web sitelerini tanıdı, meşru kimlik bilgilerini ifşa etmekten kaçındı ve sonunda kötü amaçlı faaliyetleri işaretledi. Daha sıkı ayarlarda, kimlik avı sayfalarına erişim tamamen engellendi. Zaman çizelgesi uygulaması gibi görünen sahte bir OAuth onay ekranıyla karşılaştığında, ajan yönlendirme hedefini analiz etti, şüpheli olduğunu belirledi ve izin vermeyi reddetti.
Araştırmacılar, yapay zekanın kötü amaçlı URL'leri ve sahte giriş portallarını belirlemede genellikle insanlardan daha iyi performans gösterdiği sonucuna vardılar. Bununla birlikte, özellikle istekler güvenilir meslektaşlardan geliyormuş gibi göründüğünde, bağlamsal sosyal yargılamada zorlandı. Yapay zeka asistanlarını kullanışlı kılan temel özellik olan yardımseverlik isteği, aynı zamanda önemli bir saldırı yüzeyi de oluşturuyor.
OpenAI Codex GPT-5.4, harici sitelerle etkileşimde bulunurken veya bilgi iletirken Gemini 3.1 Pro'ya göre daha fazla temkinli davransa da, her iki sistem de sonuçta sosyal mühendislik senaryolarının kurbanı oldu.
Tek bir temel neden, birden fazla saldırı yolu.
Farklı teknikler kullanmalarına rağmen, her iki saldırı da aynı temel yetenekleri istismar etti:
- Özel bilgilere erişim.
- Güvenilmeyen içerikleri işleme yeteneği.
- Bilgileri dışarıya gönderme izni.
Bu yetenekler yeterli kontroller olmadan bir arada bulunduğunda, kötü amaçlı bir iletişim kartı ve ikna edici bir kimlik avı e-postası aynı sonucu doğurabilir: hassas verilere yetkisiz erişim.
Yapılan ek araştırmalar, OpenClaw ekosisteminde benzer güven sınırı sorunlarını ortaya çıkardı. Araştırmacılar, önceki güvenlik uyarılarını statik analiz kurallarına dönüştürerek, Slack, Discord, Matrix, Zalo ve Microsoft Teams ile entegrasyonları etkileyen beş ek güvenlik açığı daha belirledi.
Her güvenlik açığı aynı tasarım hatasından kaynaklanıyordu. Kanal uzantıları, izin verilenler listesini değerlendirirken kalıcı tanımlayıcılar yerine değiştirilebilir görünen adlara güveniyordu. Bu nedenle bir saldırgan, bir hesabı onaylanmış bir kullanıcıyla eşleşecek şekilde yeniden adlandırabilir ve aracı üzerinde etki kazanabilirdi. OpenClaw o zamandan beri tespit edilen tüm sorunları yamaladı.
Geniş Kapsamlı Temsilci Yetkileri Konusunda Artan Endişeler
Piyasaya sürülmesinden bu yana OpenClaw, kapsamlı izinleri nedeniyle inceleme altına alındı. Platform, yerel dosyalara, shell ortamlarına ve yirmiden fazla mesajlaşma platformuna erişim sağlayarak son derece yetenekli ancak aynı zamanda son derece savunmasız hale geliyor.
Endişeler o kadar arttı ki, Hollanda veri koruma otoritesi Autoriteit Persoonsgegevens, bireyleri ve kuruluşları hassas bilgiler içeren sistemlerde OpenClaw'ı kullanmamaları konusunda uyardı. Otorite, veri ihlalleri ve hesap güvenliğinin tehlikeye atılması gibi riskleri sıraladı.
Daha Güvenli Yapay Zeka Ajanı Dağıtımları Oluşturma
OpenClaw kullanan kuruluşlar, mesaj nesnesi güvenlik açığını gidermek için derhal 2026.4.23 veya daha yeni bir sürüme yükseltmelidir. Ancak yamalamanın ötesinde, uzun vadeli koruma, hızlı mühendislikten ziyade mimari kontrollere bağlıdır.
Güvenlik uzmanları, ajan talimat dosyalarını tavsiye niteliğinde bir kılavuz yerine, uygulanabilir, sürüm kontrollü politikalar olarak ele almayı önermektedir. Giden iletişimler, bilinmeyen alıcılara mesaj gönderilmeden önce onay gerektirmeli ve böylece güvenliği ihlal edilmiş ajanların güvenilir hesaplar aracılığıyla saldırı yayma olasılığı azaltılmalıdır. Erişim izinleri ayrıca tetikleyici kaynağın güvenilirliğine bağlı olmalı ve harici iletişimleri işleyen ajanların müşteri ilişkileri yönetimi platformları gibi yüksek değerli sistemlere otomatik olarak erişememesini sağlamalıdır. Kimlik bilgilerinin paylaşımı ve finansal işlemler de dahil olmak üzere yüksek riskli işlemler, insan onayına tabi olmaya devam etmelidir.
Özerk Güvenin Çözülmemiş Zorluğu
Her iki araştırma ekibi de nihayetinde aynı sonuca vardı: Yapay zekâ ajanları güvenlik araçları olarak görülmemelidir. Daha doğru bir model, kapsamlı sistem erişimine sahip ancak şüpheli davranışları tanıma yeteneği sınırlı olan bir kıdemli olmayan çalışan modelidir. Bir diğer faydalı bakış açısı ise, onları aldıkları bilgilere doğal olarak güvenen, kimlik doğrulaması yapılmış uygulayıcılar olarak görmektir.
Mevcut önlemler yamalar, güvenlik önlemleri ve erişim kontrollerine odaklanıyor. Ancak daha geniş kapsamlı sorun çözülmemiş durumda. E-postaları okuyabilen, görevleri yerine getirebilen ve bağımsız hareket edebilen bir yapay zeka ajanı, tasarım gereği girdilere güvenmeli ve kullanıcılara yardımcı olmaya çalışmalıdır. Siber güvenlik topluluğu henüz bu temel gerilime evrensel bir çözüm geliştiremedi.
