Sihirden zararlı yazılıma: OpenClaw’ın Agent özelliği zararlı yazılım taşımaya nasıl dönüştü?

Başlığı biraz değiştirdim. Tam İngilizce başlık yaklaşık olarak "Sihirden zararlı yazılıma: OpenClaw’ın agent yetenekleri nasıl bir saldırı yüzeyi haline geliyor" olurdu.

26 Şubat 2 tarihli bir yazı; okunmaya değer göründüğü için paylaşıyorum.

Sihirden zararlı yazılıma: OpenClaw’ın agent yetenekleri nasıl bir saldırı yüzeyi haline geliyor

Giriş: Agent’ların gücü neden aynı zamanda risk anlamına geliyor

Birkaç gün önce, OpenClaw’ın neden geleceğe açılan bir portal gibi hissettirdiğine ve o geleceğin neden çok somut biçimlerde korkutucu olduğuna dair bir yazı yayımladım.

Kısacası şu: OpenClaw gibi agent ağ geçitleri güçlüdür, çünkü dosyalarınıza, araçlarınıza, tarayıcınıza, terminalinize ve düşünme biçiminizi ve çalışmalarınızı içeren uzun vadeli "hafıza" dosyalarına gerçekten erişebilirler. Ve tam da bu kombinasyon, modern infostealer’ların hedeflediği şeyle birebir örtüşüyor.

Bu yazı, o rahatsız edici "ve sonunda oldu" devam hikâyesi.

Sorun yalnızca agent’ların kurulduktan sonra riskli olabilmesi değil. Agent özelliklerini ve yetenek kayıtlarını dağıtan ekosistemin kendisi zaten bir saldırı yüzeyi haline gelmiş durumda.

⚠️ Uyarı: OpenClaw’ı şirket cihazlarında kullanmayın

OpenClaw ile denemeler yapıyorsanız, bunu kesinlikle şirket cihazlarında yapmayın. Bu net bir uyarıdır.

İlk yazıda OpenClaw’ı bir tür Faustvari pazarlık olarak tanımlamıştım. OpenClaw’ı çekici kılan şey, yerel makinenize, uygulamalarınıza, tarayıcı oturumlarınıza, dosyalarınıza ve uzun vadeli hafızanıza gerçekten erişebilmesidir. Ancak aynı erişim, kurumsal kimlik bilgileri barındıran veya prodüksiyon sistemlerine erişebilen bir makinede bunun güvenli biçimde çalıştırılmasının henüz bir yolu olmadığı anlamına geliyor.

OpenClaw’ı zaten iş cihazınızda çalıştırdıysanız, bunu potansiyel bir güvenlik olayı olarak değerlendirin ve derhal güvenlik ekibinizle iletişime geçin. Belirti ortaya çıkmasını beklemeyin. İlgili makinede çalışmayı durdurun ve kurumunuzun olay müdahale prosedürünü izleyin.

Yetenekler aslında sadece Markdown dosyaları, sorun da tam olarak bu

OpenClaw ekosisteminde "yetenek" çoğunlukla bir Markdown dosyasıdır. Agent’a uzmanlaşmış görevleri nasıl yapacağını anlatan tek sayfalık bir yönerge gibi düşünün. Uygulamada bu Markdown; bağlantılar, kopyala-yapıştır komutları ve araç çağırma tarifleri içerebilir.

İnsanların ve agent’ların belgeleri gerçekte nasıl tükettiğini düşünene kadar bu zararsız görünebilir:

• "Önkoşullar burada."
• "Bu komutu çalıştırın."
• "Temel bağımlılığı kurun."
• "Bunu terminale yapıştırın."

Agent ekosistemlerinde Markdown sadece "içerik" değildir. Markdown bir kurulum programıdır.

Tehlikeli yanlış anlama: "MCP yetenekleri güvenli hale getirir"

Bazı kişiler MCP (Model Context Protocol) katmanının bunu daha güvenli hale getirdiğini varsayıyor. Çünkü araçlar yapılandırılmış bir arayüz üzerinden sunuluyor ve host ile sunucu uygulamasına bağlı olarak açık kullanıcı onayı ve yetkilendirme kontrolleri mümkün olabiliyor.

Ancak yeteneklerin MCP kullanması hiç gerekmiyor.

Agent yetenek spesifikasyonu, Markdown gövdesine herhangi bir sınırlama getirmiyor ve yetenekler, "agent’ın işi yapmasına yardımcı olan" her türlü talimatı içerebiliyor. Buna terminale kopyala-yapıştır komutları da dahil. Ayrıca yetenekler, Markdown ile birlikte script’leri paketleyebiliyor; yani yürütme MCP araç sınırlarının dışında gerçekleşebiliyor.

Dolayısıyla güvenlik modeliniz "MCP araç çağrılarını kontrol eder" ise, sosyal mühendislik, doğrudan shell talimatları veya paketlenmiş kod aracılığıyla MCP’yi atlayan kötü niyetli yeteneklere karşı hâlâ savunmasızsınız. MCP güvenli bir sistemin parçası olabilir, ama tek başına güvenlik garantisi değildir.

Aynı derecede önemli olan bir diğer nokta da bunun yalnızca OpenClaw’a özgü olmamasıdır. Açık Agent Skills formatını benimseyen birçok agent ile birlikte "yetenekler" giderek daha taşınabilir hale geliyor. Bu formatta yetenek; meta veriler ve serbest biçimli talimatlar içeren, merkezinde bir SKILL.md dosyası bulunan bir klasördür; ayrıca script’ler ve diğer kaynaklar da paketlenebilir. OpenAI belgeleri de aynı temel yapıyı (SKILL.md dosyası + isteğe bağlı script’ler ve varlıklar) tanımlar. Bu da kötü niyetli bir "yetenek"in yalnızca OpenClaw sorunu olmadığını, aynı standardı destekleyen tüm agent ekosistemlerine yayılabilecek bir dağıtım mekanizması olduğunu gösterir.

Ne buldum: En çok indirilen yetenek bir zararlı yazılım taşıma aracına dönüşmüştü

ClawHub’a (bariz nedenlerle bağlantı vermeyeceğim) göz atarken, o sırada en çok indirilen yeteneğin bir "Twitter" yeteneği olduğunu fark ettim. Sıradan görünüyordu. Açıklama, amaçlanan kullanım ve genel bakışla birlikte, fazla düşünmeden kurulabilecek türdendi.

Ama bu yeteneğin yaptığı ilk şey, "openclaw-core" adlı bir "gerekli bağımlılığı" tanıtmak ve platforma özel kurulum adımları sunmak oldu. Bu adımların içinde, normal dokümantasyon bağlantıları gibi görünen kullanışlı bağlantılar ("here", "this link") vardı.

Ama bunlar normal bağlantılar değildi.

Her iki bağlantı da kötü amaçlı altyapıya gidiyordu. Bu, tipik bir aşamalı teslim zinciriydi:

1. Yetenek özeti size önkoşulları kurmanızı söyler.
2. Bağlantı, agent’ın komut çalıştırmasını sağlamak üzere tasarlanmış bir hazırlık sayfasına yönlendirir.
3. Bu komut, gizlenmiş bir yükü çözüp çalıştırır.
4. Yük, ikinci aşama bir script’i getirir.
5. Script bir binary indirir ve çalıştırır; buna, macOS’un yerleşik kötü amaçlı yazılım önleme sistemi Gatekeeper’ın tarayamaması için macOS karantina özniteliğini kaldırmak da dahildir.

Tam komutları veya URL’leri burada bilerek paylaşmıyorum. Mekanizma ne yazık ki basit ve bunu tekrar etmek savunmacılardan çok saldırganların işine yarar. Esas nokta şu: Bu bir "şüpheli bağlantı" değildi. Kurulum talimatı gibi görünen tam bir yürütme zinciriydi.

Doğrulandı: bilgi hırsızlığı yapan zararlı yazılım

Son binary’yi güvenli şekilde indirip VirusTotal’a gönderdim.

Sonuç belirsiz değildi. macOS için bilgi hırsızlığı yapan bir zararlı yazılım olarak işaretlendi.

Bu sadece "bilgisayarı enfekte eden" bir zararlı yazılım değil. Cihazdaki değerli her şeyi yağmalıyor:

• tarayıcı oturumları ve çerezler
• kayıtlı kimlik bilgileri ve otomatik doldurma verileri
• geliştirici token’ları ve API anahtarları
• SSH anahtarları
• bulut kimlik bilgileri
• hesap ele geçirmeye dönüştürülebilecek her şey

Eğer agent yetenekleri kuran türden bir kullanıcıysanız, çalınmaya değer makine tam olarak sizinkidir.

Bu tek seferlik bir olay değildi. Organize bir kampanyaydı

Bunu kurum içinde paylaştıktan sonra, daha geniş kapsamlı haberlerle birlikte ölçek ortaya çıktı. Yüzlerce OpenClaw yeteneğinin, ClickFix tarzı talimatlar üzerinden macOS zararlı yazılımı dağıtımıyla ilişkili olduğu bildirildi.

Bu ayrıntı önemli, çünkü bunun gerçekte ne olduğunu doğruluyor.

Bu tek seferlik kötü niyetli bir yükleme değil.

Bu kasıtlı bir strateji: dağıtım kanalı olarak "yetenekleri", sosyal mühendislik ambalajı olarak da "önkoşulları" kullanmak.

"Yardımcı" olan şey agent dünyasında nasıl "düşmanca" hale geliyor

Paket yöneticilerinin ve açık kaynak kayıtlarının tedarik zinciri saldırı vektörlerine dönüşebileceğini yıllardır öğreniyoruz.

Agent yetenek kayıtları bu hikâyenin bir sonraki bölümü. Tek fark, bu kez "paket"in aynı zamanda dokümantasyon olması.

Ve bu, saldırı yolunu daha da pürüzsüz hale getiriyor:

• İnsanlar bir Markdown dosyasının tehlikeli olmasını beklemez.
• İnsanlar kurulum adımlarını hızlıca takip etmeye alıştırılmıştır.
• İnsanlar "en çok indirilen" etiketi meşruiyetin vekil göstergesi olarak görür.
• Agent ekosisteminde talimatı okumakla onu yürütmek arasındaki sınır çöker.

Agent shell komutlarını doğrudan çalıştıramasa bile yine de tehlikeli işler yapabilir. Tehlikeli davranışı normal gösterebilir.

Kötü niyetli önkoşulları güvenle "standart kurulum adımları" olarak özetleyebilir. Tek satırlık komutları yapıştırmaya ikna edebilir. Tereddüdü azaltabilir.

Ve eğer agent’ınız yerel komutlar çalıştırabiliyorsa, kötü niyetli bir yetenek yalnızca "kötü içerik" değildir. Dostça görünen dokümantasyon kılığına girmiş uzaktan kod çalıştırmadır.

Şu anda ne yapmalısınız

OpenClaw veya bir yetenek kaydı kullanıyorsanız

Bunu şirket cihazlarında çalıştırmayın. Güvenli bir yolu yok. Bunu zaten yaptıysanız veya bir yetenek içindeki "kurulum" komutlarını çalıştırdıysanız, derhal güvenlik ekibinize bildirin ve bunu olası bir ihlal olarak ele alın.

• İlgili cihazda hassas işleri durdurun.
• Önce oturumları ve sırları değiştirin: tarayıcı oturumları, geliştirici token’ları, SSH anahtarları, bulut konsolu oturumları.
• Son giriş geçmişlerini inceleyin: e-posta, kaynak kontrolü, bulut, CI/CD, yönetici konsolları.

Yine de denemek istiyorsanız, kurumsal erişimi ve kayıtlı kimlik bilgileri olmayan yalıtılmış bir makine kullanın.

Bir yetenek kaydı işletiyorsanız

Aslında bir uygulama mağazası işletiyorsunuz. Kötüye kullanılacağını varsayın.

• Tek satırlık kurulum komutlarını, kodlanmış yükleri, karantina kaldırma adımlarını ve parola korumalı arşivleri tarayın.
• kaynak doğrulama ve yayıncı itibar sistemi ekleyin.
• Harici bağlantılara ve kurulum adımlarına uyarılar ve sürtünme ekleyin.
• Üst sıralardaki yetenekleri gözden geçirin ve kötü niyetli olanları hızla kaldırın.

Burada Markdown, yürütülebilir niyet anlamına geliyor.

Agent framework’leri geliştiriyorsanız

Yeteneklerin silaha dönüştürüleceğini varsayın.

• Shell yürütmeyi varsayılan olarak reddedin.
• Tarayıcıya, keychain’e ve kimlik bilgisi depolarına erişimi sandbox içine alın.
• İzinleri ayrıntılı, süre sınırlı ve geri alınabilir yapın.
• Uzaktan kod ve komut yürütmeye sürtünme ekleyin.
• Kaynağı ve davranışı uçtan uca günlükleyin.

Gelecek için tasarım: agent’ların ihtiyaç duyduğu güven katmanı

Bu, önceki yazımda ileri sürdüğüm argümanın en net kanıtı. OpenClaw güçlü, çünkü niyet ile yürütme arasındaki mesafeyi çökertiyor. Sihir tam olarak bu. Ama bununla birlikte ciddi risk de geliyor. Özellikler yetenekler olarak dağıtıldığında ve dokümantasyon üzerinden kurulduğunda, kayıt artık bir tedarik zincirine dönüşüyor ve en kolay kurulum yolu saldırganların en sevdiği yol haline geliyor.

Çözüm agent geliştirmeyi bırakmak değil. Çözüm, agent’ların etrafında eksik olan güven katmanını inşa etmek. Yeteneklerin kaynak kanıtına ihtiyacı var. Yürütmenin arabuluculuğa ihtiyacı var. İzinler ayrıntılı, geri alınabilir ve sürekli uygulanır olmalı; bir kez verilip unutulmamalı. Agent’lar bizim adımıza hareket edecekse, kimlik bilgileri ve hassas eylemler çalıştırılan herhangi bir kod tarafından öylece "alınabilir" olmamalı. Bunlar aracılanmalı, yönetilmeli ve gerçek zamanlı olarak denetlenmeli.

İşte bir sonraki katmana neden ihtiyacımız olduğu tam da bu. "Yetenek"lerin tedarik zinciri haline geldiği bir dünyada güvenli olabilecek tek gelecek, her agent’ın kendi kimliğine sahip olduğu, yalnızca o anda ihtiyaç duyduğu en az yetkiyi taşıdığı ve bu erişimin süre sınırlı, geri alınabilir ve izlenebilir olduğu bir gelecek.