Açık kaynaklı yapay zeka platformu OpenClaw, siber saldırganların resmi eklenti deposu ClawHub üzerinden yaydığı zararlı yazılımlarla kurumsal ağları tehdit ediyor. Tek bir komutla kurulan bu araçlar, BT departmanlarının haberi olmadan sistemlere tam erişim sağlayarak “Gölge Yapay Zeka (Shadow AI)” riskini artırıyor.
Popüler Platform Siber Saldırganlara Kapı Aralıyor
Son dönemde 160 binin üzerinde GitHub yıldızı ve haftalık 2 milyon ziyaretçi sayısıyla öne çıkan OpenClaw, çalışanların tek bir komutla bilgisayarlarına kurabildiği güçlü bir yapay zeka asistanı olarak biliniyor. Ancak bu kolaylık, siber suçlular için yeni bir saldırı fırsatına dönüşüyor.
Bitdefender Türkiye Distribütörü Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, platformun resmi deposuna yüklenen zararlı eklentilerin, kullanıcıların sistemlerine geniş yetkiler vererek kurumsal ağa sızmayı sağladığını belirtti. Akkoyunlu, “Gölge Yapay Zeka” olarak adlandırılan bu denetimsiz kullanımın şirket verilerini tehlikeye attığını vurguladı.
“İyi Niyetle Kullanılan Yapay Zeka Araçları Siber Saldırganlara Kapı Aralıyor”
Akkoyunlu, “OpenClaw örneğinde gördüğümüz gibi, çalışanlar işlerini kolaylaştırmak adına iyi niyetle indirdikleri bir yapay zeka aracına farkında olmadan tüm diske erişim yetkisi verebiliyor. Saldırganlar, popüler platformların güvenilirliğini kullanarak zararlı eklentilerle doğrudan kurumsal ağa tünel açıyor. Bu araçlar, en gelişmiş güvenlik duvarlarını bile içeriden aşabilen bir Truva Atı işlevi görüyor. Kurumların acilen yapay zeka kullanım politikalarını gözden geçirmesi ve görünürlüğü artırması gerekiyor” dedi.
Şirketler İçin 4 Kritik Önlem
Akkoyunlu, kurumların OpenClaw ve benzeri Shadow AI risklerine karşı alması gereken dört temel önlemi şöyle sıraladı:
Yapay zeka envanteri çıkarın ve görünürlüğü artırın: Şirket ağında hangi yapay zeka araçlarının ve eklentilerinin çalıştığını tespit edin. BT ekipleri, izinsiz kurulumları engelleyerek savunmayı güçlendirmeli.
Erişim izinlerini “Sıfır Güven” ilkesiyle yönetin: Yapay zeka araçlarına sadece gerekli minimum yetkileri verin ve kritik sistemlerden izole edin.
Çalışanları Yapay Zeka Güvenliği konusunda eğitin: Resmi depolardan bile olsa kaynağı belirsiz eklentilerin yüklenmemesi ve hassas verilerin paylaşılmaması konusunda düzenli eğitim verin.
Gelişmiş tehdit algılama çözümleri kullanın: Davranışsal analiz yapabilen EDR (Uç Nokta Tespit ve Yanıt) teknolojileri, yapay zeka ajanlarının şüpheli komut çalıştırmasını saniyeler içinde durdurabilir.
Akkoyunlu, “Teknoloji ne kadar gelişirse gelişsin, insan faktörü en kritik halkadır. Kurumsal güvenlik, görünürlük ve eğitim ile desteklenmelidir” diyerek şirketleri uyardı.
