Son günlerde süratle popülerleşen yapay zekâ casusu OpenClaw, bu sefer önemli güvenlik kaygılarıyla gündemde. Güvenlik araştırmacıları, OpenClaw’ın eklenti mağazasında yer alan yüzlerce “skill” uzantısının ziyanlı yazılım içerdiğini ortaya çıkardı. Uzmanlara nazaran platform, âdeta siber saldırganlar için yeni bir oyun alanına dönüşmüş durumda.

Takvim idaresinden uçuş check-in’ine, e-posta temizliğinden belge süreçlerine kadar pek çok işi “kendi başına yapabilen” OpenClaw, kullanıcılarının aygıtları üzerinde lokal olarak çalışıyor ve WhatsApp, Telegram, iMessage üzere uygulamalar üzerinden denetim edilebiliyor lakin birtakım kullanıcıların asistana belge okuma-yazma, komut çalıştırma ve script yürütme üzere çok geniş yetkiler vermesi, riskleri daha da büyütüyor.

OpenClaw tedbir almaya başladı ancak risk hâlâ büyük

OpenSourceMalware isimli platformun raporuna nazaran yalnızca birkaç gün içinde ClawHub marketplace’ine 400’ü aşkın ziyanlı eklenti yüklendi. Bu düzmece “skill” uzantıları ekseriyetle kripto para al-sat otomasyonu üzere pak araçlar üzere görünüyor lakin art planda kullanıcıları kandırarak cüzdan anahtarları, borsa API bilgileri, SSH erişimleri ve tarayıcı şifrelerini çalan yazılımlar çalıştırıyor.

1Password Eser Lider Yardımcısı Jason Meller, OpenClaw’ın “skill” sistemini “doğrudan bir akın yüzeyi” olarak tanımlıyor. En çok indirilen eklentilerden birinin bile kullanıcıyı ziyanlı bir temasa yönlendirerek yapay zekâya makus gayeli komutlar çalıştırttığını söylüyor. Üstelik bu eklentilerin birçok Markdown belgeleri halinde paylaşılıyor, yani hem kullanıcıyı hem de yapay zekâyı manipüle edebilecek saklı talimatlar barındırabiliyor.

OpenClaw’ın geliştiricisi Peter Steinberger ise riskleri azaltmak için kimi tedbirler almaya başlamış durumda. Artık eklenti yayınlamak isteyenlerin en az bir haftalık bir GitHub hesabına sahip olması gerekiyor.

Peki siz OpenClaw hakkında ne düşünüyorsunuz? Fikirlerinizi aşağıdaki yorumlar kısmından bizimle paylaşabilirsiniz.