Açık kaynaklı yapay zeka platformu OpenClaw, siber saldırganların resmi eklenti deposu ClawHub üzerinden yaydığı zararlı yazılımlarla kurumsal ağları tehdit ediyor. Tek bir komutla kurulan bu araçlar, BT departmanının haberi olmadan sistemlere tam erişim sağlayarak “Gölge Yapay Zeka” (Shadow AI) riskini artırıyor.
Son dönemde 160 binin üzerinde GitHub yıldızı ve haftalık 2 milyon ziyaretçi sayısıyla popülerleşen OpenClaw, çalışanların tek bir komutla bilgisayarlarına kurabildiği güçlü bir AI asistanı olarak öne çıkıyor. Ancak bu kolaylık, siber suçlular için yeni bir saldırı fırsatını beraberinde getiriyor.
Saldırganlar, platformun resmi deposu ClawHub’a yükledikleri zararlı eklentilerle, bu araçlara geniş yetkiler (terminal ve disk erişimi) veren kullanıcıların sistemlerine sızmayı başarıyor.
Şirketlerin karşılaştığı en büyük tehdidin sadece dış saldırılar değil. İçerideki denetimsiz AI kullanımı da kritik bir risk faktörü oluşturuyor.
OpenClaw örneğinde gördüğümüz gibi, çalışanlar işlerini kolaylaştırmak adına iyi niyetle indirdikleri bir AI aracına, farkında olmadan tüm diske erişim yetkisi verebiliyor. Saldırganlar ise popüler platformların güvenilirliğini kullanarak, zararlı eklentilerle kurumsal ağa doğrudan bir tünel açıyor.
BT ekiplerinin haberi olmadan kullanılan bu ‘Gölge Yapay Zeka’ araçları, en gelişmiş güvenlik duvarlarını bile içeriden aşabilen bir Truva Atı işlevi görüyor. Kurumların acilen AI kullanım politikalarını gözden geçirmesi ve görünürlüğü artırması gerekiyor.
OpenClaw ve benzeri Shadow AI risklerine karşı alması gereken 4 önlem
1. Yapay zeka envanterinizi çıkarın ve görünürlüğü artırın. Şirket ağında hangi AI araçlarının ve eklentilerinin çalıştığını tespit etmek, savunmanın ilk adımıdır. BT ekipleri, ağ trafiğini ve uç nokta aktivitelerini izleyerek izinsiz kullanılan OpenClaw gibi araçları belirlemeli ve yetkisiz kurulumların önüne geçmelidir.
2. Erişim izinlerini “Sıfır Güven” ilkesiyle yönetin. Çalışanların kullandığı AI ajanlarına terminale erişim veya dosya sistemi üzerinde tam yetki vermek, olası bir ihlalde saldırganın hareket alanını genişletir. AI araçlarının yetkilerini sadece ihtiyaç duyulan minimum seviyede tutun ve kritik sistemlerden izole edin.
3. Çalışanlarınıza “Yapay Zeka Güvenliği” eğitimi verin. Teknoloji ne kadar gelişirse gelişsin, insan faktörü en kritik halkadır. Çalışanları, resmi depolardan bile olsa kaynağı belirsiz eklentileri yüklememeleri ve AI araçlarına hassas şirket verilerini girmemeleri konusunda düzenli olarak eğitin.
4. Gelişmiş tehdit algılama çözümleri kullanın. Geleneksel antivirüs yazılımları, meşru bir yapay zeka aracının içine gizlenmiş zararlı aktiviteleri tespit etmekte zorlanabilir.
