OpenClaw, son bir hafta içinde hızlı bir şekilde popülarite kazanan bir yapay zeka ajanı, araştırmacıların kullanıcılar tarafından gönderilen yüzlerce “yetenek” eklentisinde kötü amaçlı yazılımlar keşfetmesiyle yeni güvenlik endişelerine yol açtı. 1Password ürün VP’si Jason Meller, OpenClaw’ın yetenek merkezinin “saldırı yüzeyi” haline dönüştüğünü belirtirken, en çok indirilen eklentinin bir “kötü amaçlı yazılım dağıtım aracı” olarak işlev gördüğünü ifade etti.
İlk olarak Clawdbot ve ardından Moltbot olarak adlandırılan OpenClaw, takvim yönetimi, uçuş check-in işlemleri, e-posta kutusunu temizleme gibi görevleri yerine getiren bir yapay zeka ajanı olarak tanımlanıyor. Cihazlarda yerel olarak çalışıyor ve kullanıcılar, WhatsApp, Telegram, iMessage gibi mesajlaşma uygulamaları aracılığıyla AI asistanıyla etkileşime geçebiliyor. Ancak bazı kullanıcılar, OpenClaw’ın cihazlarının tamamına erişmesine izin vererek dosyaları okuma ve yazma, betikler çalıştırma gibi yetenekler kazandırıyor.
Bu tür bir erişim kendi başına riskler taşırken, OpenClaw’ın yeteneklerini geliştirmesi gereken araçlar gibi görünen kötü amaçlı yazılımlar endişeleri artırıyor. Açık kaynak ekosistemindeki kötü amaçlı yazılımların varlığını takip eden OpenSourceMalware, 27-29 Ocak tarihleri arasında ClawHub yetenek pazarında 28 kötü amaçlı yeteneğin yayımlandığını, 31 Ocak – 2 Şubat tarihlerinde ise 386 kötü amaçlı eklentinin yüklendiğini belirtti.
OpenSourceMalware, bu yeteneklerin “kriptovar trading otomasyonu araçları olarak maskelendiğini ve bilgi çalan kötü amaçlı yazılımlar sunduğunu” ve kullanıcıları “kripto varlıkları çalan kodları çalıştırmaya” manipüle ettiğini vurguladı. Meller, OpenClaw’ın yeteneklerinin sıklıkla markdown dosyaları olarak yüklendiğini ve bu dosyaların hem kullanıcılar hem de yapay zeka ajanı için kötü amaçlı talimatlar içerebileceğini kaydetti.
OpenClaw’ın yaratıcısı Peter Steinberger, bazı bu riskleri ele almak için çalışıyor ve ClawHub artık kullanıcıların bir yetenek yayımlamak için en az bir haftalık bir GitHub hesabına sahip olmasını zorunlu kılıp, yeni bir yetenek bildirme yöntemi sunmuş durumda. Ancak bu, platforma kötü amaçlı yazılımların sızma olasılığını ortadan kaldırmıyor.
Belirtilen bu güvenlik endişeleri, kullanıcıların OpenClaw’ı kullanma şeklini nasıl etkileyebilir?
