Yapay Zeka Aracı Güvenliğinin Geleceği - Openclaw Güvenlik Denetimi

Yıllar boyunca, YZ güvenliği hakkındaki kamuya açık konuşmaların çoğu aslında model davranışı hakkındaki konuşmalardı. İnsanlar halüsinasyonlar, jailbreak'ler, güvenli olmayan cevaplar ve bir chatbot'un yanıltıcı, önyargılı veya tehlikeli bir şey üretip üretmeyeceği konusunda endişeliydi. Bu çerçeve artık yeterli değil. Bir yapay zeka sistemi göz atabildiğinde, dosyaları okuyabildiğinde, araçları çağırabildiğinde, mesaj gönderebildiğinde, kod yazabildiğinde, API'leri tetikleyebildiğinde ve minimum denetimle birden fazla adımda hareket edebildiğinde, güvenlik sorusu "Model ne söyleyebilir?" olmaktan çıkar ve "Model manipüle edilirse sistem ne yapabilir?" haline gelir. OpenClaw'ın yükselişi bu geçişi görmezden gelmeyi imkansız hale getirdi. 13 Mart 2026 itibariyle OpenClaw deposunda yaklaşık 309.000 GitHub yıldızı bulunmaktadır ve kendi dokümantasyonu, sertleştirilmiş düşmanca çok kiracılı bir sınır yerine "kişisel asistan" güven sınırı içinde yer alan bir çalışma zamanını tanımlamaktadır. (GitHub)

Bu ayrım hype döngüsünden daha önemlidir. OpenClaw sadece popüler olduğu için ilginç değildir. Daha önce birbirinden ayrı olan birçok endişeyi tüketiciye yönelik tek bir ürün kategorisinde topladığı için önemlidir: güvenilmeyen girdi, yetki devri, kalıcı durum, beceriler yoluyla genişletilebilirlik ve dosyalara, ağlara, tarayıcılara ve işletim sistemi araçlarına doğrudan erişim. OpenClaw'ın dokümantasyonu açıkça "mükemmel güvenli" bir kurulum olmadığı konusunda uyarıyor, hala çalışan en küçük erişimle başlamayı öneriyor ve birden fazla güvenilmeyen kullanıcı bir araç etkin ajanla konuşabiliyorsa, aynı yetkilendirilmiş yetkiyi etkin bir şekilde paylaştıklarını vurguluyor. Bu arada Censys, 31 Ocak 2026 itibariyle 21.000'den fazla OpenClaw örneğinin kamuya açık olduğunu bildirdi. Bu, yapay zeka aracı güvenliğinin niş bir araştırma konusu olmaktan çıkıp operasyonel bir sorun haline geldiği andır. (OpenClaw)

Bu konudaki en iyi kamuya açık yazılar, farklı yönlerden aynı fikre yaklaşıyor. IBM, YZ aracı güvenliğini hem aracıların kendilerini hem de etkileşimde bulundukları sistemleri korumak olarak tanımlamaktadır. Palo Alto, etmen yapay zeka güvenliğini muhakeme, bellek, araçlar, eylemler ve etkileşimler etrafında çerçeveliyor. CrowdStrike, bir ajan çalışma zamanındaki istem enjeksiyonunun bir içerik sorunundan "ajan patlama yarıçapına" genişlediği konusunda uyarıyor, çünkü başarılı saldırgan ajanın erişilebilir araçlarını ve veri depolarını devralabilir. OpenAI'nin en son güvenlik kılavuzu daha da ileri giderek, modern istem enjeksiyonunun giderek sosyal mühendisliğe benzediğini, yani doğru savunmanın sadece daha iyi girdi filtrelemesi değil, manipülasyon başarılı olsa bile etkiyi kısıtlamak olduğunu savunuyor. Bu bakış açıları aynı değildir, ancak tek bir sonuca işaret etmektedirler: YZ aracı güvenliğinin geleceği, yalnızca uyarı ifadeleriyle değil, mimari ve kontrollerle belirlenecektir. (IBM)

OpenClaw neden sohbeti değiştirdi?

OpenClaw konuşmayı değiştirdi çünkü yapay zeka özerkliğini elle tutulur hale getirdi. Proje açıkça gerçek makinelerde çalışabilen, gerçek mesajlaşma yüzeylerine bağlanabilen ve gerçek araçları kullanabilen kişisel bir YZ asistanı olarak inşa edilmiştir. Güvenlik belgeleri başka türlü davranmıyor. Desteklenen modelin, düşmanca paylaşılan bir veri yolu değil, ağ geçidi başına bir güvenilir operatör sınırı olduğunu söylüyor. Paylaşılan bir ortamda izin verilen herhangi bir göndericinin politika dahilinde araç çağrılarına neden olabileceği, paylaşılan durumu etkileyebileceği ve aracının hassas kimlik bilgilerine veya dosyalara erişimi varsa potansiyel olarak dışarı sızmaya neden olabileceği konusunda uyarıyor. Bu alışılmadık derecede samimi bir dokümantasyondur ve aynı zamanda güvenlik mühendislerinin gerçek sorunu hemen fark etmelerinin nedenidir: bir aracı izinlere sahip olduğunda, güven sınırı yalnızca model değildir. Tüm çalışma zamanıdır. (OpenClaw)

OpenClaw'ın beceri sistemi bu gerçeği güçlendiriyor. Proje dokümantasyonu, becerilerin AgentSkills uyumlu klasörler olduğunu ve bir BECERİ.md manifestosu, isteğe bağlı komut dosyaları ve yerel veya çalışma alanı geçersiz kılmaları ile. Beceri güvenliğine ilişkin ayrı bir OpenClaw RFC'si, mevcut modelde izin modeli, kod imzalama, kum havuzu, inceleme süreci ve bütünlük kontrolleri bulunmadığını, ancak aracıya kabuk yürütme, tam dosya sistemi erişimi, ağ erişimi ve diğer araçları sağladığını savunmaktadır. RFC kesinleşmiş bir ürün garantisinden ziyade bir teklif olduğundan, resmi ürün konumlandırması olarak değerlendirilmemelidir. Ancak yine de açıklayıcıdır, çünkü güvenlik uygulayıcılarının hemen gördüğü şeyi yakalar: bir beceri "içerik" değildir. Bu bir infaz yoludur. (GitHub)

Kamuya açık olay kayıtları bu korkuyu hızla pekiştirdi. OpenClaw'ın CVE-2026-25253 için kendi GitHub güvenlik danışmanlığı, ağ geçidinin tam olarak ele geçirilmesine, ağ geçidi API'sine operatör düzeyinde erişime, keyfi yapılandırma değişikliklerine ve ağ geçidi ana bilgisayarında kod yürütülmesine yol açabilen bir belirteç sızıntısı kusurunu açıklar, ağ geçidi geri döngüye bağlandığında bile, çünkü kurbanın tarayıcısı köprü haline gelir. Tek başına bu bile endişelenmek için yeterli olabilirdi. Ancak aynı zamanda, maruz kalma araştırmacıları on binlerce erişilebilir dağıtım sayıyor ve kötü amaçlı yazılımdan koruma ekipleri ekosistemdeki kötü niyetli becerileri belgeliyordu. Sıradan gözlemcilere "havalı bir yerel yapay zeka asistanı" gibi görünen şey, savunmacılar için hızla ayrıcalıklı bir saldırı yüzeyi haline geliyordu. (GitHub)

OpenClaw'ın önemli olmasının bir başka nedeni daha var: proje yürütücülerinin kendileri güvenlik hikayesini halka açık bir şekilde geliştirmeye zorlandılar, bu da onu daha geniş ajan pazarı için yararlı bir vekil haline getiriyor. Şubat 2026'da OpenClaw, VirusTotal ile bir ortaklık kurduğunu duyurdu, böylece ClawHub'da yayınlanan her beceri taranacak, hashlenecek, Code Insight ile analiz edilecek ve karara bağlı olarak otomatik olarak onaylanacak, uyarılacak veya engellenecekti. Bu anlamlı bir adımdı, ancak duyuru aynı zamanda tüm yazıdaki en önemli cümleyi de içeriyordu: bu sihirli bir değnek değil. OpenClaw, VirusTotal taramasının her şeyi yakalayamayacağını ve doğal dil istemi enjeksiyon yüklerinin bir tehdit veritabanında görünmeyebileceğini açıkça söyledi. Bu itiraf, ajan güvenliğinin geleceğinin dayandığı menteşedir. Statik tarama gereklidir, ancak yeterli değildir. Tedarik zinciri incelemesi yardımcı olur, ancak çalışma zamanı doğrulaması hala önemlidir. (OpenClaw)

Yapay zeka aracı güvenliği sadece yeni bir etikete sahip LLM güvenliği değildir

Aracı güvenliğini "LLM güvenliği artı birkaç eklenti" olarak ele alma eğilimi anlaşılabilir olmakla birlikte, sığ savunmalara yol açmaktadır. Geleneksel LLM uygulama güvenliği zaten olgun bir risk sözlüğüne sahiptir: istem enjeksiyonu, güvensiz çıktı işleme, hassas bilgi ifşası, aşırı aracılık, eklenti riski ve model hizmet reddi. OWASP'ın LLM Top 10'u kullanışlı olmaya devam etmektedir çünkü bu modeller ajan sistemlerde hala mevcuttur. Ancak ajanlar operasyonel olarak farklı bir şey eklerler: kalıcıdırlar, plan yaparlar, harekete geçerler, araçlarla koordine olurlar, bazen diğer ajanlarla koordine olurlar ve dış durumda kalıcı değişiklikler üretebilirler. Bu nedenle OWASP, 2026 için Ajan Uygulamaları için ayrı bir Top 10 oluşturdu ve NIST'in yapay zeka ajan güvenliği hakkında özel bir bilgi talebi açmasının yanı sıra güvenli, birlikte çalışabilir otonom sistemlere odaklanan bir Yapay Zeka Ajan Standartları Girişimi başlatmasının nedeni budur. (OWASP Vakfı)

NIST'in çerçevesi özellikle önemlidir çünkü burada neyin benzersiz olduğunu açıklığa kavuşturmaktadır. Ocak 2026'da YZ aracı sistemlerinin güvenliğine ilişkin duyurusunda NIST, kimlik doğrulama ve bellek yönetimi sorunları da dahil olmak üzere bazı risklerin sıradan yazılım güvenliğiyle örtüştüğünü, ancak RFI'nin özellikle YZ model çıktılarını yazılım işlevselliği ile birleştirirken ortaya çıkan farklı risklere odaklandığını söyledi. Bu, modern aracı sorununun kısa bir açıklamasıdır. Model artık sadece metin üretmiyor. Talimatlar, bağlam, bellek, alınan veriler, araç açıklamaları ve onay akışları arasında sürekli olarak pazarlık yapmakta ve ardından bu karışımı eyleme dönüştürmektedir. Güvenlik sorusu artık sadece modelin kandırılıp kandırılamayacağı değildir. Önemli olan, sistemin kandırılmış bir modelin anlamlı bir zarara yol açmasını engelleyip engelleyemeyeceğidir. (NIST)

OpenAI'nin 11 Mart 2026 tarihli yazısı da aynı noktayı daha somut bir dille ortaya koyuyor. Gerçek dünyadaki en güçlü istem enjeksiyon saldırılarının artık basit "önceki talimatları yok say" dizelerinden ziyade sosyal mühendisliğe benzediğini savunuyor. OpenAI'nin vardığı sonuç, hedefin kötü niyetli girdilerin mükemmel bir şekilde tespit edilmesi olamayacağıdır. Bunun yerine sistemler, bazı saldırılar başarılı olsa bile manipülasyonun olumsuz yönleri kısıtlanacak şekilde tasarlanmalıdır. Bu ajanlar için tam olarak doğru zihinsel modeldir, çünkü gerçek dağıtımlar temiz laboratuvar ortamlarında yaşamazlar. E-postaları, belgeleri, günlükleri, tarayıcı içeriklerini, sohbet mesajlarını, arama sonuçlarını, ekleri ve bağlayıcı çıktılarını alırlar. Düşmanca içeriğin okunacağını kabul ettiğinizde, tasarım önceliği sınıflandırmadan kontrol altına almaya kayar. (OpenAI)

Microsoft'un dolaylı istem enjeksiyonu üzerine yaptığı araştırma bu dersi deneysel olarak pekiştirmektedir. BIPIA kıyaslama çalışması, bu saldırıların başarılı olmasının altında yatan nedenin, modelin talimatları harici içerikten güvenilir bir şekilde ayırt edememesi olduğunu belirtirken, "spotlighting" üzerine daha sonra yayınlanan bir Microsoft Research makalesi, deneylerinde saldırı başarısını yüzde 50'den yüzde 2'nin altına düşürdüğünü bildirdi. Bunlar değerli ilerlemelerdir, ancak operasyonel temel çizgiyi değiştirmezler. İyi bir savunma başarı oranlarını önemli ölçüde düşürebilir; yürütme sınırları, onay kontrolleri, çıkış sınırları ve denetlenebilirlik ihtiyacını ortadan kaldırmaz. Başka bir deyişle, daha iyi model sağlamlığı cevabın bir parçasıdır, ancak aracı güvenliği yine de modelin etrafındaki sistemde kazanılacak veya kaybedilecektir. (Microsoft)

Gerçek tehdit modeli neye benziyor

OpenClaw ve benzeri sistemler için pratik bir tehdit modeli dört sınırla başlar, sonra genişler. İlki girdi güvenidir. Buna doğrudan istemlerin yanı sıra belgeler, web siteleri, günlükler, ekler, e-posta, alınan bağlam ve paylaşılan ortamlardaki çapraz kullanıcı mesajları da dahildir. OpenClaw'ın dokümantasyonu, içerik enjeksiyonunun bu kanallardan geçebileceğini açıkça belirtmektedir. İkincisi ise araç yetkisidir. Aracı bir kez kullanabildiğinde yöneticigöz atma, dosya okuma, dosya yazma veya mesaj gönderme, sorun artık yalnızca anlamsal doğruluk değildir. Kapasite erişimidir. Üçüncüsü ise durum ve bellektir. Kalıcı bellek, önbelleğe alınmış bağlam, ayrıntılı izler ve oturum geçmişinin tümü zehirlenme, sızıntı ve bağlamlar arası bulaşma için yüzeyler oluşturur. Dördüncüsü dağıtım maruziyetidir: bağlama adresleri, ters proxy'ler, kimlik doğrulama yolları, tüneller, tarayıcı belirteçleri ve iş istasyonu hijyeni. Bunlar destekleyici detaylar değildir. Bunlar, modelin hatalarının olaylara dönüştüğü ortamlardır. (OpenClaw)

Bu dört sınır modeli hala yeterli değildir. Temsilci güvenliği aynı zamanda kimlik mirası ve yetki devri hakkında da düşünmeyi gerektirir. Bir ajan bir kullanıcı "için" hareket ederse, tam olarak neyi, ne kadar süreyle, hangi koşullar altında, hangi iptal yolu ile devralır ve bir şeyler yanlış gittiğinde geriye hangi kanıtlar kalır? Palo Alto'nun ajansal yapay zeka güvenliği özeti, kimlik ve ayrıcalık mirasını, kalıcı durum risklerini, araç kullanımını ve etkileşim kanallarını benzersiz başarısızlık kaynakları olarak yararlı bir şekilde belirtmektedir. OpenAI'nin sosyal mühendislik çerçevesi bir başka önemli içgörü daha ekliyor: tehlikeye atılmış bir hedef genellikle kötü niyetli bir komuttan daha tehlikelidir. Bir saldırganın her zaman ajana "sırları çalmasını" söylemesi gerekmez. Temsilcinin çalma, dışa aktarma veya yükseltmenin kullanıcının gerçek görevinde meşru bir alt adım olduğuna inanmasını sağlamak yeterli olabilir. (Palo Alto Ağları)

Bu nedenle, yapay zeka aracı güvenliğinin geleceği "hızlı güvenlik" ile değil, sistemlerin bir avuç acımasız mühendislik sorusuna ne kadar iyi yanıt verdiğiyle ölçülecektir. Güvenilmeyen içerik geri döndürülemez eyleme geçebilir mi? Düşük güvene sahip bir kullanıcı yüksek güvene sahip bir çalışma zamanını yönlendirebilir mi? Araç çıktıları veya beceri tezahürleri politikayı değiştirebilir mi? Aracı ihtiyaç duymadığı sırları okuyabilir mi? Rastgele ağ yolları üzerinden veri sızdırabilir mi? Altta yatan sistem durumu iddiayla çeliştiğinde başarı iddia edebilir mi? Yakın tarihli makale Kaos Ajanları bu son noktayı özellikle canlı hale getiriyor. Bellek, e-posta, Discord, dosya sistemleri ve kabuk yürütme özelliklerine sahip aracılarla yapılan iki haftalık bir kırmızı ekip çalışmasında araştırmacılar, sahip olmayanlarla yetkisiz uyum, hassas verilerin ifşası, yıkıcı sistem eylemleri, hizmet reddi koşulları, kontrolsüz kaynak tüketimi, kimlik sahteciliği, güvenli olmayan uygulamaların aracılar arası yayılımı ve sistem durumu eşleşmediği halde aracının görevin tamamlandığını bildirdiği durumları belgeledi. (arXiv)

Rahatsız edici olsa bile, çıkarım çok açık. Bu makalenin başlığındaki "gelecek" çok uzak bir ufukla ilgili değildir. Gelecek zaten burada ve soyut yapay zeka hizalama söyleminden çok tanıdık güvenlik mühendisliğine benziyor: segmentasyon, kimlik kapsamı, tedarik zinciri incelemesi, yüksek riskli eylem onayı, çıkış kontrolü, gizli izolasyon, telemetri ve tekrarlanan düşmanca testler. Bu bir hedef küçültme değildir. Alan bu şekilde gerçek olur. (NIST)

Kişisel kullanıcıların gerçekte karşılaştığı OpenClaw riskleri

Bireysel kullanıcılar için ilk hata "yerel "in "güvenli" anlamına geldiğine inanmaktır. Microsoft'un Şubat 2026 tarihli OpenClaw'ı güvenli bir şekilde çalıştırma kılavuzu, en güvenli tavsiyenin birincil iş veya kişisel hesaplarla çalıştırmamak ve hassas veriler içeren bir cihazda çalıştırmamak olduğunu söylüyor. Microsoft ayrıca çalışma zamanının güvenilmeyen girdilerden etkilenebileceğini, durumunun değiştirilebileceğini ve ana sistemin ajan aracılığıyla ifşa edilebileceğini varsaymak gerektiğini söylüyor. Bu, büyük bir satıcıdan alışılmadık derecede açık bir rehberliktir ve kişisel kullanıcıların kendi kendine barındırılan aracılar hakkındaki düşüncelerinin temelini sıfırlamalıdır. Tarayıcı oturumlarını, parola yöneticisi durumunu, SSH materyalini, bulut kimlik bilgilerini ve mesajlaşma kimliklerini tutan bir makine, deneysel eylem yeteneğine sahip bir çalışma zamanının serbestçe dolaşmasına izin vermek için uygun bir yer değildir. (Microsoft)

İkinci hata, doğrudan yönlendirmenin asıl tehlike olduğunu düşünmektir. Öyle değildir. OpenClaw'ın kendi dokümanları, OWASP'ın AI Agent Güvenlik Hile Sayfası, Microsoft'un araştırması ve OpenAI'nin en yeni güvenlik kılavuzunun hepsi aynı yöne işaret ediyor: dolaylı istem enjeksiyonu alan sorunudur. Sadece kullanıcının yazdıklarından değil, ajanın okuduklarından da kaynaklanır. Kötü niyetli bir web sayfası, zehirli bir özet, bubi tuzaklı bir e-posta veya operasyonel talimatlar içeren bir beceri bildirimi, sistem içeriği yetkiden ayırmak için tasarlanmamışsa politika haline gelebilir. Düz bir sohbet robotunda, bu kötü bir cevap üretebilir. Bir aracıda, kabuk yürütme, tarayıcı otomasyonu, dosya erişimi, mesaj gönderme veya gizli bilgilerin açığa çıkmasını tetikleyebilir. (OpenClaw)

Üçüncü hata ise beceri katmanını hafife almaktır. OpenClaw'ın kamuya açık materyalleri artık becerilerin ajan bağlamında araçlara ve verilere erişimle çalıştığını kabul ediyor ve ClawHub pazaryeri tam da beceri katmanı bir tedarik zinciri sorunu haline geldiği için günlük VirusTotal yeniden taramasını eklemek zorunda kaldı. VirusTotal'ın Şubat 2026 tarihli yazısında, en hızlı büyüyen kişisel yapay zeka aracı ekosisteminin kötü amaçlı yazılımlar için yeni bir dağıtım kanalı haline geldiği ve yüzlerce aktif kötü amaçlı OpenClaw becerisinin yardımcı otomasyon kılığına girmiş damlalıklar, arka kapılar, bilgi hırsızları ve uzaktan erişim araçları dağıttığı belirtildi. Trend Micro daha sonra, kötü niyetli OpenClaw becerilerinin yeni bir Atomic macOS Stealer varyantını yüklemek için AI-agent iş akışlarını manipüle ettiği bir kampanyayı belgeledi. BECERİ.md, aldatıcı kurulum akışları ve Apple anahtar zincirlerinin, KeePass verilerinin ve kullanıcı belgelerinin geniş çapta çalınması. (OpenClaw)

Dördüncü hata, paylaşılan alanlara erişim kontrolü hala kullanıcıların hayal ettiği şekilde çalışıyormuş gibi davranmaktır. OpenClaw'ın dokümantasyonunda, birden fazla kişi bir aracı etkinleştirilmiş ajana mesaj gönderebiliyorsa, aynı izin setini etkin bir şekilde yönlendirdikleri belirtilmektedir. Bu, dağıtım mimarisi ayrı bir sınırı zorunlu kılmadıkça, paylaşılan bir Slack botunun veya ekip ajanının sihirli bir şekilde mesajı kimin yazdığına göre bölünmediği anlamına gelir. Bu nedenle paylaşılan bir çalışma alanı bir yetki devri sorununa dönüşebilir: bir kullanıcı bağlamı oluşturur, başka bir kullanıcı talimatları enjekte eder ve çalışma zamanı her ikisi de aynı araçları ve gizlilikleri kullanma hakkına eşit derecede sahipmiş gibi davranır. İşte tam da bu nedenle dokümantasyon, kullanıcıların birbirlerine düşman olabileceği durumlarda güven sınırlarının ayrı ağ geçitleri ve kimlik bilgileriyle bölünmesini önermektedir. (OpenClaw)

Beşinci hata, durum kayması ve kaçak hedefleri göz ardı etmektir. OpenAI'nin son prompt-injection kılavuzu, gelişmiş saldırıların giderek artan bir şekilde sistemin misyonunu sosyal örtü altında yeniden yönlendirerek çalıştığını savunuyor. Kaos Ajanları gerçek dünyadan bir uyarı ekliyor: otonom ajanlar hizmet reddi koşullarına, kontrolsüz kaynak tüketimine ve yanlış tamamlanma iddialarına kayabilir. İşte bu noktada "Riemann Hipotezini sonsuza kadar kanıtla" şeklindeki sözde mizahi durum güvenlikle ilgili hale gelmektedir. Temel model matematik değildir. Hedef kaçırma artı eksik durdurma koşullarıdır. Yetenekli bir çalışma zamanında bu, token yakma, tarayıcı döngüleri, tekrarlanan araç çağrıları, sınırsız arama, günlük spam'i ve nihayetinde ajanın "görevi bitirebilmesi" için daha fazla erişim izni vermesi için kullanıcı baskısı anlamına gelir. (OpenAI)

Geleceği tüm sloganlardan daha iyi açıklayan CVE'ler

Yapay zeka aracı güvenliğinin hala yanlış anlaşılmasının bir nedeni, insanların yepyeni, tamamen "yapay zekaya özgü" istismar sınıfları beklemeye devam etmeleridir. Gerçekte, en önemli olayların çoğu, eski güvenlik açığı kategorilerinin yeni bir yürütme modeliyle buluştuğu hibrit arızalardır. CVE-2026-25253 en açık OpenClaw örneğidir. NVD bunu OpenClaw'ın bir güvenlik açığı elde ettiği bir kusur olarak tanımlamaktadır. gatewayUrl değerini bir sorgu dizesinden alır ve bir token değeri gönderirken otomatik olarak bir WebSocket bağlantısı açar. GitHub danışmanlığı operasyonel etkiyi daha net hale getiriyor: token sızıntısı tam ağ geçidi tehlikesine, operatör düzeyinde API erişimine, keyfi yapılandırma değişikliklerine ve ana bilgisayar kodunun yürütülmesine yol açabilir. Bunu ajan dönemine özgü bir hata yapan şey yenilik değildir. Bu, web tarzı bir güven başarısızlığının, yetki devredilmiş özerk bir çalışma zamanının ele geçirilmesine dönüşme şeklidir. (NVD)

Langflow başka bir öğretici vaka sunmaktadır. NVD'nin CVE-2026-27966 için girişi, 1.8.0 sürümünden önce CSV Agent düğümünün sabit kodlu olduğunu söylüyor allow_dangerous_code=TrueLangChain'in Python REPL'ini açığa çıkarır ve istem enjeksiyonu yoluyla tam uzaktan kod yürütmeye kadar keyfi Python ve işletim sistemi komutlarına izin verir. Bu cümle, aracı sistemleri inşa eden veya satın alan herkes tarafından dikkatle incelenmelidir. Görünüşte "kullanışlı" bir özelliğin, tehlikeli yetenekler kolaylık sağlamak için önceden etkinleştirildiğinde, dil düzeyinde bir manipülasyonu nasıl sunucu tarafı yürütmeye dönüştürebileceğini göstermektedir. Eğer ajan güvenliğinin geleceğinde tekrarlanan tek bir ders varsa, o da şudur: Geliştirme aşamasında verimli olduğunu hissettiren izin kısayolları, genellikle düşmanca koşullarda felakete dönüşür. (NVD)

Langflow'un CVE-2026-21445'i farklı bir açıdan aynı daha geniş gerçekliğe işaret ediyor. NVD'ye göre, birden fazla kritik API uç noktası kimlik doğrulamasından yoksundu ve 1.7.0.dev45 sürümünden önce konuşma verilerine, işlem geçmişlerine ve mesaj silme dahil yıkıcı işlemlere kimliği doğrulanmamış erişime izin veriyordu. Tekrar etmek gerekirse, sorun "yapay zeka büyüsü" değildir. Bu, artık model bağlamına, kullanıcı verilerine ve iş akışı kontrolüne yakın duran bir sistemdeki klasik yetkilendirme hatasıdır. Aracılar orkestrasyon yüzeyleri haline geldiğinde, normal uygulama güvenliği kusurları yeni bir önem kazanır çünkü tehlikeye atılan yüzey artık yalnızca veri depolama yerine kararlara ve eylemlere aracılık etmektedir. (NVD)

Model Bağlam Protokolü ekosistemi üçüncü bir önemli örnek kümesi sunmaktadır. NVD ve GitHub tavsiyeleri, aşağıdaki konularda birden fazla sorun tanımlamaktadır mcp-sunucu-gitCVE-2025-68143'te keyfi dosya sistemi konumlarında sınırsız depo oluşturma, CVE-2025-68144'te keyfi dosya üzerine yazmaya yol açan argüman enjeksiyonu ve CVE-2025-68145'te araç çağrılarının yapılandırılmış depo dışında çalışmasına izin veren eksik yol doğrulaması dahil. Bunların hiçbiri tek başına egzotik değildir. Yol doğrulama hataları ve argüman enjeksiyonu onlarca yıllık güvenlik temalarıdır. Etmen bağlamında değişen şey birleştirilebilirliktir. Bu hizmetler, aracıların otomatik olarak çağırabileceği araç zincirlerinin içine yerleştirildiğinde, aksi takdirde sıradan kusurlar güvenilmeyen talimatlar ve ayrıcalıklı dosya işlemleri arasında köprü haline gelir. (NVD)

Bir güvenlik açığı "yalnızca" hizmet reddine neden olsa bile, kullanılabilirlik ve maliyet tehdit modelinin bir parçası olduğu için aracı altyapısında hala önemlidir. NVD'nin CVE-2025-0312 girişi, Ollama'ya yüklenen kötü amaçlı GGUF model dosyalarının 0.3.14'e kadar olan sürümlerde bir null-pointer dereference ve uzaktan DoS tetikleyebileceğini söylüyor. Bu, yapay zeka dönemindeki en dramatik hata değil, ancak yerel model sunucuları sıklıkla kişisel veya kendi kendine barındırılan ajan yığınları için temel olarak benimsendiğinden önemlidir. Çalışma zamanı hatalı biçimlendirilmiş varlıklar aracılığıyla çökertilebilir veya istikrarsızlaştırılabilirse, kullanıcı yalnızca veri ve yürütme riskiyle değil, aynı zamanda temel katmandaki operasyonel kırılganlıkla da karşı karşıya kalır. (NVD)

Aşağıdaki tablo, bu konuların neden YZ aracı güvenliğinin geleceğine ilişkin ciddi bir tartışmaya dahil edilmesi gerektiğini özetlemektedir.

Bu tablodaki açıklamalar ve çıkarımlar NVD ve GitHub'ın danışma veritabanından alınmıştır. (NVD)

Anında güvenlikten yürütme sınırlarına kadar bir sonraki güvenlik modeli

OpenClaw'ın yükselişi bir şey öğretiyorsa, o da yeni nesil güvenlik mimarisinin kötü niyetli metinleri mükemmel bir şekilde sınıflandırmaya çalışmak üzerine inşa edilemeyeceğidir. Bu yaklaşım her zaman önemini koruyacak ve model düzeyindeki savunmalar gelişmeye devam edecektir. Ancak aracılar için temel kontrol düzlemi, yürütme sınırları olmak zorundadır. Bu nedenle yapay zeka aracı güvenliğinin geleceği, "modeli saldırılar konusunda daha akıllı hale getirmekten" ziyade "model kandırıldığında bile sistemi kötüye kullanmayı zorlaştırmakla" ilgilidir. Bu kısmen bir çıkarımdır, ancak OpenAI'nin etki kısıtlayıcı hızlı enjeksiyon görüşü, OWASP'ın ajan tehdit kategorileri, NIST'in model çıktısı ve yazılım işlevselliğinin birleşmesine odaklanması ve OpenClaw'ın mükemmel güvenli bir kurulum olmadığına dair kendi uyarıları tarafından güçlü bir şekilde desteklenmektedir. (OpenAI)

Pratikte bu, güvenlik çevresinin içe doğru hareket etmesi ve çoğalması gerektiği anlamına gelir. İlk sınır kimliktir. Temsilciler varsayılan olarak bir kullanıcı hesabından geniş ayrıcalıklar devralmamalıdır. Dar, görev kapsamlı, geri alınabilir yetenek bağışları almalıdırlar. İkinci sınır araç kapsamıdır. Bir özetleme aracısı, sırf platform destekliyor diye kabuk çalıştırma özelliğine sahip olmamalıdır. Üçüncü sınır ise çalışma zamanı izolasyonudur. Web'de gezinen veya beceri yükleyen bir aracı, operatörün birincil bulut anahtarlarını, parola yöneticisi kasasını ve tarayıcı profillerini tutan aynı ana bilgisayar ve işletim sistemi kullanıcısı üzerinde çalışmamalıdır. Microsoft'un OpenClaw'ın birincil kişisel veya iş hesaplarıyla çalıştırılmaması yönündeki tavsiyesi bu ilkenin kör bir versiyonudur. (Microsoft)

Dördüncü sınır çıkış noktasıdır. Hassas yerel bağlamı okuyabilen ama aynı zamanda rastgele giden hedeflere de bağlanabilen bir ajan, bir sızma motoru olmaktan bir adım uzaktadır. Beşinci sınır bellek ve kalıcılıktır. Uzun süreli depolanan her şey bir zehirleme ve sızıntı hedefi haline gelir. Altıncı sınır beceri alımıdır. Pazar yeri taraması yardımcı olur, ancak bu bir izin modeli değildir ve OpenClaw'ın kendi VirusTotal duyurusu da bunu söylemektedir. Yedinci sınır onay tasarımıdır. Dosya silme, kimlik bilgisi dışa aktarma, yeni hedeflere mesaj gönderme, ödemeler, depo yazma veya altyapı değişiklikleri gibi yüksek etkili eylemler, görünür gerekçelerle açık onay gerektirmelidir. Sekizinci sınır gözlemlenebilirliktir. Savunucular hangi girdinin okunduğunu, hangi aracın çağrıldığını, hangi dosyalara dokunulduğunu, hangi ağ hedeflerine ulaşıldığını ve sonrasında hangi durumun devam ettiğini yeniden yapılandıramıyorsa, sistem sorumlu bir şekilde çalışmak için yeterince güvenli değildir. (OpenClaw)

Bu aynı zamanda eski çerçevelerin modası geçmek yerine yeniden kullanışlı hale geldiği yerdir. MITRE ATLAS, yapay zeka sistemlerine yönelik düşmanca tehditleri haritalamak için mevcuttur ve OpenClaw'ın kendi genel tehdit modeli bunu açıkça kullanmaktadır. OWASP'ın ajan kılavuzu savunuculara pratik bir taksonomi sunmaktadır. NIST'in AI RMF'si ve Generative AI Profili, güvenilirlik, güvenlik ve yaşam döngüsü riskini yönetmek için yönetişim dili sağlar. YZ aracı güvenliğinin geleceği, kazanan tek bir ürün özelliği olmayacaktır. Birlikte çalışabilir kontroller, ölçülebilir politikalar ve tekrarlanabilir testlerden oluşan bir yığın olacak ve model aracılı karar vermeye uyum sağlarken yerleşik güvenlik uygulamalarından ödünç alınacaktır. (GitHub)

İyi mühendislik şimdi neye benziyor

Bugün en mantıklı olan mühendislik duruşu agresif bir şekilde mütevazı olmaktır. OpenClaw'ın kendisi hala çalışan en küçük erişimle başlanmasını söylemektedir ve bu tavsiye tüm kategori için çalışma prensibi olarak ele alınmalıdır. Ciddi bir dağıtım için bu, ağ geçidi başına bir güven sınırı, hassas sınır başına bir özel işletim sistemi kullanıcısı veya ana bilgisayar, ayrı tarayıcı profilleri, ayrı uygulama hesapları ve aracı çalışma zamanı içinde bir kişinin birincil kişisel veya kurumsal kimliğinin yeniden kullanılmaması anlamına gelir. "Tek bir paylaşılan şirket aracısı" isteyen ekipler bile bunu özel bir makinede veya sanal makinede tutmalı ve kişisel veya ayrıcalıklı hesaplarda imzalamaktan kaçınmalıdır. Bu tavsiyeler OpenClaw'ın resmi rehberliği ve Microsoft'un bağımsız olarak yayınladığı güvenlik tavsiyeleri ile doğrudan uyumludur. (OpenClaw)

İkinci mühendislik ilkesi, her içerik kanalının düşmanca olduğunu varsaymaktır. Bu paranoya değildir; mevcut araştırma ve olay geçmişinin ima ettiği minimum duruştur. Temsilci web içeriğini, belgeleri, e-postaları, sorun izleyicileri, günlükleri, sohbet mesajlarını, ekleri ve beceri bildirimlerini güvenilmeyen veriler olarak ele almalıdır. Bu içeriklerden bazıları hala faydalı olabilir. Önemli olan, içeriği okumanın ona itaat etmek anlamına gelmemesi gerektiğidir. Bu da alma işlemini yürütme işleminden ayırmak, içeriğe kaynak eklemek, kimin ne talep ettiğine ilişkin bağlamı korumak ve keyfi içeriğin kendi başına izinler oluşturmasına veya genişletmesine izin vermemek anlamına gelir. Microsoft'un BIPIA çalışması ve OpenAI'nin sosyal mühendislik çerçevesi, dize eşleştirmeden bağlama duyarlı etki kontrolüne geçişi desteklemektedir. (Microsoft)

Üçüncü ilke, kabiliyetin açık ve görünür olması gerektiğidir. Eğer bir temsilci dosyaları silebiliyor, depolara yazabiliyor, giden mesajlar gönderebiliyor, bilet oluşturabiliyor ya da üretim sistemlerine dokunabiliyorsa, bu kabiliyet ilk çalıştırmadan önce operatör tarafından görülebilmeli ve daha sonra günlüklerde gözden geçirilebilmelidir. Yetenekler, belirsiz beceri tanımları veya kolaylık sağlayan varsayılanlar yoluyla gizlenmemelidir. OpenClaw ekosistemindeki izin bildirimleri, kod imzalama ve sandboxing ile ilgili mevcut tartışmaların bu kadar önemli olmasının bir nedeni de budur. Bunlar idari detaylar değildir. Bunlar, temsilci becerileri için gerçek bir güvenlik modelinin başlangıcıdır. (GitHub)

Dördüncü ilke, aracıların sadece muhakeme izlerine değil, durum doğrulamasına da ihtiyaç duymasıdır. Kaos Ajanları temel sistem durumu aynı fikirde olmadığında aracıların başarı iddia edebileceğini vurgular. Bu, savunucuların ve oluşturucuların cilalı bir aracı yanıtını kanıt olarak görmemesi gerektiği anlamına gelir. Doğrulama, hedef sistemin kendisine karşı yapılmalıdır: dosya varlığı, sağlama toplamı değişiklikleri, API yanıt durumu, depo farkı, mesaj teslimi, ilke durumu veya bulut kaynağı yapılandırması. Pratikte bu, aracı güvenliğini test mühendisliğine yaklaştırır. Güvenli bir sistem, gerçekte neyin değiştiğini kanıtlayabilen bir sistemdir, neden bir şeyi değiştirdiğini düşündüğünü zarif bir şekilde açıklayabilen bir sistem değil. (arXiv)

Aşağıdaki tablo, yinelenen hata modundan riski gerçekten değiştiren kontrole kadar pratik bir harita vermektedir.

Bu kontrol matrisi, mevcut satıcı rehberliği, kamuya açık olay raporları ve standart çalışmalarından oluşturulan bir mühendislik sentezidir. (OpenClaw)

Gerçekten yardımcı olan bir savunma becerisi alma modeli

OpenClaw benzeri sistemler için en faydalı yakın vadeli uygulamalardan biri beceri alım taramasıdır. Bu, mükemmel bir kötü amaçlı yazılım dedektörü olarak görülmemelidir. OpenClaw, pazar yeri taramasının yalnızca bir katman olduğunu ve her şeyi yakalayamayacağını söylüyor. Ancak basit bir giriş kontrolü, bir beceri ayrıcalıklı bir çalışma zamanına dokunmadan önce şaşırtıcı miktarda bariz riski ortadan kaldırabilir. (OpenClaw)

İşte tarayan küçük bir savunma örneği BECERİ.md Getir ve çalıştır davranışı, kodlanmış yükler, kabuk ağırlıklı kurulum talimatları ve gizli dizilere doğrudan referanslar gibi şüpheli kalıplar için dosyalar ve yakındaki komut dosyaları. Bu kod bir satıcı belgesinden alınmamıştır; operasyonel tarama için yazılmış güvenli bir örnektir.

#!/usr/bin/env python3
from pathlib import Path
yeniden içe aktar
import sys

RISK_PATTERNS = {
    "download_and_execute": re.compile(r"(curl|wget|Invoke-WebRequest).*(\\|bash|sh|python|powershell)", re.I),
    "encoded_payload": re.compile(r"(base64|FromBase64String|certutil\\s+-decode)", re.I),
    "shell_exec": re.compile(r"\\b(bash|sh|zsh|powershell|cmd\\.exe)\\b", re.I),
    "secret_targets": re.compile(r"(\\.aws/credentials|id_rsa|\.env|keychain|browser profile|wallet)", re.I),
    "chmod_plus_exec": re.compile(r "chmod\\s+\\+x", re.I),
}

def scan_file(path: Path):
    text = path.read_text(errors="ignore")
    hit = []
    for name, pattern in RISK_PATTERNS.items():
        if pattern.search(text):
            hits.append(name)
    dönüş vuruşları

def main(root: str):
    root_path = Path(root).expanduser()
    files = [p for p in root_path.rglob("*") if p.is_file() and p.suffix.lower() in {".md", ".sh", ".py", ".js", ".mjs", ".ps1"}]
    bulundu = 0
    for f in dosyalar:
        hits = scan_file(f)
        if hits:
            bulundu += 1
            print(f"[RİSK] {f}")
            print(f" desenler: {', '.join(sorted(hits))}")
    eğer bulunamazsa:
        print("Belirgin yüksek riskli modeller bulunamadı. Manuel inceleme hala gerekli.")

if __name__ == "__main__":
    target = sys.argv[1] if len(sys.argv) > 1 else "~/.openclaw/skills"
    main(hedef)

Bunun gibi bir betiğin amacı bir becerinin güvenli olduğunu "kanıtlamak" değildir. Amaç, yükleyici tarzı davranışı, kimlik bilgilerini hedefleyen dili veya indir ve çalıştır talimatlarını, insan incelemesinin belirsiz durumlar için ayrılmasına yetecek kadar hızlı bir şekilde yakalamaktır. Bu, beceri güvenliğinin geleceği için doğru zihniyettir: önce triyaj, sonra daha derin analiz, ardından gerektiğinde kum havuzlu çalışma zamanı gözlemi. Bu aynı zamanda OpenClaw'ın kendi VirusTotal duyurusunda derinlemesine savunma hakkında söyledikleriyle ve VirusTotal ve Trend Micro tarafından belgelenen ekosistem gerçekliğiyle de tutarlıdır. (OpenClaw)

Minimum çalışma zamanı maruz kalma kontrolü

Kendini amorti eden diğer yakın vadeli kontrol ise hızlı bir maruz kalma kontrolüdür. Birçok ekip önce hızlı enjeksiyon testlerine atlar. Bu ters bir yaklaşımdır. Zekice saldırıları test etmeden önce, sıkıcı temelleri doğrulayın: neyin bağlı olduğu, neyin erişilebilir olduğu ve hangi yapılandırma seçimlerinin saldırı yüzeyini sessizce genişlettiği. OpenClaw'ın resmi belgeleri ve kamuya açık tavsiyeleri bunun neden önemli olduğunu açıkça ortaya koymaktadır. (OpenClaw)

Bu kabuk örneği kasıtlı olarak basit ve savunmaya yöneliktir.

#!/usr/bin/env bash
set -euo pipefail

echo "=== OpenClaw ile ilgili soketler dinleniyor ==="
ss -ltnp | grep -E '(:18789|openclaw|moltbot|clawdbot)' || true

yankı
echo "=== Riskli maruz kalma bayrakları için hızlı yapılandırma grep ==="
grep -RInE '0\\.0\\.0\\.0|dangerouslyDisableDeviceAuth|trustedProxies' ~/.openclaw 2>/dev/null || true

yankı
echo "=== Yerel kontrol uç noktası kontrolü ==="
curl -sSI  | head -n 10 || true

yankı
echo "=== Hatırlatma ==="
echo "Uzaktan erişim gerekiyorsa, ham kontrol portunu açığa çıkarmak yerine VPN veya SSH tünelini tercih edin."

Bu göz alıcı değildir, ancak yerel öncelikli bir hikayenin sessizce internete açık bir çalışma zamanına dönüşmesini engelleyen bir tür operasyonel disiplindir. Yapay zeka aracı güvenliğinin geleceği, daha azı değil, daha fazlası üzerine inşa edilecektir: hızlı kanıt, küçük yüzey alanı, sıkı varsayılanlar ve temenni varsayımlar yerine rutin doğrulama. (OpenClaw)

Gelecek aslında neye benziyor

YZ aracı güvenliğinin geleceği, hızlı işçilikten çok Sıfır Güven'e benzeyecektir. Cloud Security Alliance'ın Agentic Trust Framework'ü, Sıfır Güven fikirlerini YZ aracıları için beş pratik yönetişim sorusuna dönüştürerek bunu açıkça ortaya koyuyor ve NIST'in YZ Aracı Standartları Girişimi, güvenli, birlikte çalışabilir aracı sistemlerinin sonradan düşünülen bir şey olmaktan ziyade ana akım altyapı konuşmasının bir parçası haline geldiği bir dünyaya doğru ilerliyor. Bu gidişat mantıklı. Aracılar basitçe "daha akıllı yazılımlar" değildir. Belirsiz girdiler üzerinde mantık yürütebilen, eylemleri seçebilen ve zaman içinde kalıcı olabilen yazılımlardır. Bu nedenle güvenlik, çevre varsayımlarından sürekli doğrulamaya geçmelidir. (Bulut Güvenliği Birliği)

Somut anlamda bu, en olgun kuruluşların bir aracının soyut olarak "güvenli" olup olmadığını sormayı bırakacağı anlamına gelir. Belirli bir modele, belirli bir beceri setine, belirli bir kimlik kapsamına, belirli bir ana bilgisayar ortamına, belirli bir bellek politikasına ve belirli bir onay iş akışına sahip belirli bir ajanın belirli hata sınıflarına neden olup olamayacağını soracaklardır. Daha sonra bu sınıfları tekrar tekrar test edecekler. İstismar edilebilirliği, patlama yarıçapını, kalıcılığı, tespit edilebilirliği ve durum bütünlüğünü ölçeceklerdir. Sürüm kontrol politikası uygulayacaklar. Aracı kimliklerini dar ve denetlenebilir tutacaklardır. Yüksek riskli araçları izole edeceklerdir. Becerileri ve bağlayıcıları tedarik zinciri girdileri olarak ele alacaklardır. Ve tek seferlik güvence yerine sürekli düşmanca doğrulama bekleyeceklerdir. Bu teorik bir hedef değildir. Bu, kamu kayıtlarının zaten gösterdiği her şeyin doğal son noktasıdır. (OWASP Gen AI Güvenlik Projesi)

Burada öne geçen kuruluşlar mutlaka en sofistike sınır modellerine sahip olanlar olmayacaktır. Önce daha basit bir kuralı içselleştirenler olacaklar: sınırları olmayan özerklik inovasyon değildir. Bu bir kaza kuyruğudur. OpenClaw bunu görünür kıldı çünkü tüketici ölçeğinde, herkese açık kodla, gerçek olaylarla, gerçek CVE'lerle ve kötü niyetli becerilerin ve açık çalışma zamanlarının gerçek kanıtlarıyla geldi. Bu nedenle proje kendi kullanıcı tabanının çok ötesinde bir öneme sahiptir. Sektörü, bir model yalnızca üretken değil, aynı zamanda operasyonel olduğunda neler olduğuyla yüzleşmeye zorladı. (GitHub)

Bu nedenle dürüst sonuç kötümser değil, spesifiktir. YZ aracı güvenliğinin geleceği, her hızlı enjeksiyonu, her beceri riskini veya ortaya çıkan her hata modunu ortadan kaldırmakla ilgili değildir. Bu standart gerçekçi değildir. Asıl amaç, manipülasyon gerçekleştiğinde sonuçların sınırlandırıldığından; uzlaşma gerçekleştiğinde bunun gözlemlenebilir olduğundan; ajan başarı iddia ettiğinde bunun doğrulanabildiğinden; yeni beceriler geldiğinde bunların tarandığından ve çalışma zamanı değiştiğinde savunmalarının yeniden test edildiğinden emin olmaktır. Alan bu şekilde olgunlaşır. Mükemmel güven fantezisinin peşinden koşmayı bırakır ve kontrollü başarısızlık için mühendislik yapmaya başlar. (OpenAI)

Son çekim

OpenClaw'ın popülerliği yapay zeka aracı güvenlik sorunları yaratmadı. Onları sıradan kullanıcıların, güvenlik mühendislerinin ve ürün geliştiricilerin artık soyutlayamayacağı bir biçimde ortaya çıkardı. Bir sistem okuyabildiğinde, karar verebildiğinde ve harekete geçebildiğinde, her klasik güvenlik sorusu daha fazla kaldıraçla geri döner: kim yetkilidir, neye ulaşılabilir, ne devam eder, ne kaydedilir, ne tersine çevrilebilir ve çalışma zamanı manipüle edildiğinde ne olur. Kamuya açık olay raporları, mevcut CVE'ler, satıcı rehberliği, standart faaliyeti ve akademik araştırmaların hepsi aynı hikayeyi anlatıyor. Yapay zeka güvenliğinin bir sonraki bölümü dil ve yürütme arasındaki sınırda yazılacaktır. (VirusTotal Blog)

İşte bu yüzden yapay zeka ajan güvenliğinin geleceği bir model yarışması değildir. Bu bir kontrol yarışmasıdır. Kazananlar sadece ajanları daha yetenekli hale getiren ekipler olmayacaktır. Kazananlar, aracıların ele geçirilmesini zorlaştıran, aşırı izin vermeyi zorlaştıran, kalıcı olarak zehirlemeyi zorlaştıran, dışarı sızmayı zorlaştıran ve doğrulamayı kolaylaştıran ekipler olacaktır. Pazarın nereye gittiği, standartların nereye gittiği ve güvenlik mühendisliğinin bundan sonra nereye gitmesi gerektiği budur. (NIST)

Daha fazla okuma ve dahili bağlantılar

• NIST, Yapay Zeka Aracı Standartları Girişimi. (NIST)
• NIST, Yapay Zeka Aracıları için Güvenlik Hususlarına İlişkin Bilgi Talebi. (Federal Kayıt)
• NIST, YZ Risk Yönetimi Çerçevesi ve Üretken YZ Profili. (NIST)
• OWASP, 2026 için Ajan Uygulamaları için İlk 10. (OWASP Gen AI Güvenlik Projesi)
• OWASP, AI Agent Güvenlik Hile Sayfası. (OWASP Hile Sayfası Serisi)
• MITRE ATLAS. (MITRE ATLAS)
• OpenClaw Güvenlik belgeleri. (OpenClaw)
• OpenClaw tehdit modeli ve beceri belgeleri. (GitHub)
• OpenClaw Beceri Güvenliği için VirusTotal ile İş Ortaklığı Yapıyor. (OpenClaw)
• Censys, Vahşi Doğada OpenClaw. (Censys)
• CVE-2026-25253 için OpenClaw GitHub danışmanlığı. (GitHub)
• VirusTotal, Otomasyondan Enfeksiyona. (VirusTotal Blog)
• Trend Micro, Kötü Amaçlı OpenClaw Becerileri Atomik macOS Çalıcısını Dağıtmak İçin Kullanıldı. (www.trendmicro.com)
• OpenAI, Yapay zeka ajanlarının hızlı enjeksiyona direnecek şekilde tasarlanması. (OpenAI)
• OpenClaw Güvenlik: Riskler, Kırmızı Ekip ve Hayatta Kalma için Kesin Kılavuz. (Penligent)
• OpenClaw Yapay Zeka Güvenlik Testi - Yüksek Ayrıcalıklı Bir Ajan Sizi Kırmızı Takibe Almadan Önce Nasıl Kırmızı Takibe Alınır? (Penligent)
• OpenClaw Güvenlik Riskleri ve Nasıl Düzeltilir, Pratik Bir Güçlendirme ve Doğrulama El Kitabı. (Penligent)
• MCP Çağında Ajan Uygulamalarının Güvenliğini Sağlama. (Penligent)
• Agents of Chaos, ajan aldatmacasını bir güvenlik sorununa dönüştüren makale. (Penligent)