AI Perks, startup'lara ve geliştiricilere tasarruf etmelerine yardımcı olmak için AI araçları, bulut hizmetleri ve API'ler üzerinde özel indirimler, krediler ve fırsatlara erişim sağlar.
OpenClaw'un Güvenlik Krizi - 2026'nın En Büyük Yapay Zeka Ajanı Skandalı
180.000'den Fazla GitHub Yıldızı olan açık kaynaklı yapay zeka ajanı OpenClaw, yapay zeka araçları tarihinde yaşanmış en kötü güvenlik kriziyle sarsıldı. Şubat 2026'da araştırmacılar, 7 kritik güvenlik açığı, 135.000'den fazla açıkta kalan örnek ve resmi ClawHub pazar yeri aracılığıyla zararlı yazılım dağıtan 800'den fazla kötü amaçlı yetenek keşfetti.
Google, OpenClaw kullanan ücretli yapay zeka abonelerini engellemeye başladı. Meta, tüm iş cihazlarında kullanımını yasakladı. CrowdStrike, Cisco ve Nature acil uyarılar yayınladı.
Eğer OpenClaw kullanıyorsanız yapmanız gereken ilk şey, AI Perks aracılığıyla yasal API kimlik bilgilerini güvence altına almaktır - ele geçirilen örneklerden sızdırılmış ve çalınmış anahtarlar zaten çevrimiçi olarak dolaşıyor.
AI araçlarında startup bütçenizi koruyun
| Software | Yakl Krediler | Onay Endeksi | Islemler | |
|---|---|---|---|---|
Kriz Zaman Çizelgesi - Her Şey Nasıl Gelişti
Kriz bir gecede olmadı. Güvenlik araştırmacıları katman katman güvenlik açıklarını ortaya çıkardıkça üç haftalık bir süre içinde tırmandı.
| Tarih | Olay |
|---|---|
| 29 Ocak | CVE-2026-25253, OpenClaw v2026.1.29'da sessizce yamalandı |
| 3 Şubat | CVE-2026-25253 kamuoyuna açıklandı - CVSS 8.8 (tek tıkla RCE) |
| 4 Şubat | Ek komut enjeksiyonu CVE'si açıklandı |
| 5 Şubat | Araştırmacılar ClawHub'da 341 kötü amaçlı yetenek keşfetti (~kayıtların %12'si) |
| 6 Şubat | Moltbook ihlali 1.5 milyon API jetonu ortaya çıkardı |
| 7-8 Şubat | Google, OpenClaw kullanan yapay zeka abonelerini kısıtlamaya başladı |
| 9 Şubat | SecurityScorecard 40.000'den fazla açıkta kalan OpenClaw örneği bildirdi |
| 15 Şubat | Açıkta kalan örnekler 135.000'i aştı; kötü amaçlı yetenekler 800'ü geçti |
| 17 Şubat | Cline CLI 2.3.0 tedarik zinciri saldırısı gizlice OpenClaw'u yükledi |
| 20 Şubat | Meta, iş cihazlarında OpenClaw'u yasakladı; The Register tam Cline raporunu yayınladı |
Üç hafta. OpenClaw, tarihin en heyecan verici açık kaynaklı projesinden yapay zeka alanındaki en büyük güvenlik uyarı hikayesine bu kadar çabuk dönüştü.
AI Perks, startup'lara ve geliştiricilere tasarruf etmelerine yardımcı olmak için AI araçları, bulut hizmetleri ve API'ler üzerinde özel indirimler, krediler ve fırsatlara erişim sağlar.
OpenClaw'u Sarsan 7 Güvenlik Açığı
Yedi CVE, birbirini izleyen haftalar içinde açıklandı. Üçünün herkese açık istismar kodu mevcut, bu da herkesin bunları yamalanmamış örneklere karşı kullanabileceği anlamına geliyor.
CVE-2026-25253 - Tek Tıkla Uzaktan Kod Yürütme (CVSS 8.8)
Bu büyük bir olaydı. Herhangi bir mesajlaşma platformu - WhatsApp, Telegram, Discord - aracılığıyla gönderilen kötü amaçlı bir bağlantı, milisaniyeler içinde tüm bir OpenClaw örneğini ele geçirebilirdi.
Güvenlik açığı, kimlik doğrulama jetonlarını çıkarmak için gatewayURL sorgu parametresini kullandı. Bir saldırgan jetona sahip olduğunda, kurbanın makinesinde rastgele komutlar çalıştırabilirdi. Tek tıkla tam sistem erişimi.
Düzeltme 29 Ocak'ta v2026.1.29 sürümünde yayınlandı, ancak CVE ancak 3 Şubat'ta kamuoyuna açıklandı. Araştırmacılar, binlerce örneğin haftalarca yamalanmamış kaldığını tahmin ediyor.
Diğer Altı CVE
| Güvenlik Açığı | Tür | Ciddiyet | Etki |
|---|---|---|---|
| SSRF (Sunucu Taraflı İstek Sahtekarlığı) | Ağ | Yüksek | Saldırganlar OpenClaw aracılığıyla dahili hizmetlere erişir |
| Kimlik Doğrulama Eksikliği | Erişim Kontrolü | Kritik | Açıkta kalan örnekleri kontrol etmek için kimlik bilgisi gerekmez |
| Yolculuk Engelleme | Dosya Sistemi | Yüksek | Ana makinede rastgele dosyaları okuma veya yazma |
| Komut Enjeksiyonu | Yürütme | Yüksek | Hazırlanmış girdiler aracılığıyla sistem komutlarını yürütme |
| Jeton Çıkarma (Ağ Geçidi) | Kimlik Doğrulama | Kritik | Kötü amaçlı URL'ler aracılığıyla oturum jetonlarını çalma |
| Güvensiz Varsayılan Yapılandırma | Yapılandırma | Orta | 0.0.0.0:18789'a bağlanır - tüm ağ arayüzlerinde dinler |
Varsayılan yapılandırma sorunu özel dikkat hak ediyor. Kutudan çıktığı gibi, OpenClaw varsayılan olarak tüm ağ arayüzlerinde 18789 numaralı bağlantı noktasında kimlik doğrulama gerektirmeden dinler. Bu, yeni yüklenen her örneğin aynı ağdaki - veya bağlantı noktası açıksa tüm internetteki - herkese açık olarak erişilebilir olduğu anlamına gelir.
135.000 Açıkta Kalan Örnek - Sorunun Ölçeği
SecurityScorecard'ın STRIKE ekibi tarafından yapılan internet çapındaki bir tarama, rakamların şaşırtıcı olduğunu gösterdi.
Ana bulgular:
- 135.000'den fazla OpenClaw örneği genel internete açık
- Açıkta kalan örneklerin %93,4'ü kimlik doğrulama atlatma koşulları sergiledi
- 5.194 örnek, bilinen CVE'lere karşı aktif olarak savunmasız doğrulandı
- 53.000'den fazla örnek, bilinen tehdit aktörleriyle ilişkilendirilen IP adreslerine bağlandı
Rakamlar hızla arttı. 9 Şubat'ta yapılan daha önceki bağımsız bir çalışma, 42.665 açıkta kalan örnek bulmuştu. Altı gün sonra, sayı üç katından fazlaydı.
"Açıkta" ne anlama geliyor? Bu, OpenClaw örneğinin kimlik doğrulama olmadan internetten erişilebilir olduğu anlamına gelir. Onu bulan herkes komut gönderebilir, veri okuyabilir, bağlı mesajlaşma hesaplarına erişebilir ve ana makinede kod çalıştırabilir.
AI Perks üzerinden yasal API kimlik bilgileriyle OpenClaw çalıştıran kullanıcılar için - örneğinizin halka açık olup olmadığını hemen kontrol edin. Eğer öyleyse, kapatın, API anahtarlarınızı döndürün ve yeniden bağlanmadan önce kimlik doğrulamayı etkinleştirin.
800'den Fazla Kötü Amaçlı Yetenek - ClawHub Tedarik Zinciri Saldırısı
ClawHub, OpenClaw'un resmi yetenek pazarıdır - Node.js için npm veya Python için pip'e eşdeğerdir. Kriz başladığında yaklaşık 3.000'den fazla yeteneği vardı.
Araştırmacılar bunların %20'sinin kötü amaçlı olduğunu buldu.
5 Şubat'taki ilk tarama, kayıt defterinde 341 kötü amaçlı yetenek keşfetti. 15 Şubat'taki bir takip taraması, sayının 800'e ulaştığını buldu - yani ClawHub yeteneklerinin yaklaşık beşte biri kullanıcı verilerini çalmak için tasarlanmıştı.
Kötü Amaçlı Yeteneklerin Yaptıkları
Birincil yük, hedefleyen bilinen bir kimlik bilgisi çalma zararlı yazılımı olan Atomic macOS Stealer (AMOS) idi:
- Tarayıcı parolaları ve çerezleri (Chrome, Firefox, Safari, Brave)
- Kripto para cüzdanları (MetaMask, Phantom, Coinbase Wallet)
- macOS'ta Keychain parolaları
- Sistem kimlik bilgileri ve SSH anahtarları
Bu dönemde doğrulanmamış herhangi bir ClawHub yeteneği yükleyen kullanıcılar, kimlik bilgilerinin tehlikeye girdiğini varsaymalıdır.
Cline CLI Tedarik Zinciri Saldırısı (17 Şubat)
17 Şubat'ta, güvenlik araştırmacıları popüler bir komut satırı aracı olan Cline CLI sürüm 2.3.0'ın, kullanıcıların makinelerine gizlice OpenClaw yüklemek için ele geçirildiğini keşfetti. Kötü amaçlı sürüm, keşfedilip kaldırılmadan önce yaklaşık 8 saat boyunca yayındaydı.
Bu süre zarfında tahminen 4.000 indirme gerçekleşti. Bu dönemde Cline CLI'yi yükleyen kullanıcıların, bilgileri dışında bir OpenClaw örneği çalışıyor olabilir.
Google ve Meta OpenClaw'u Yasakladı - Sektör Tepkisi
Güvenlik krizi, teknoloji devlerinden kurumsal tepkilere yol açtı.
Google, modellerine erişmek için OpenClaw kullanan ücretli Gemini AI Pro ve Ultra abonelerini (aylık 249 $ planlar) toplu olarak kısıtlamaya başladı. Kullanıcılar uyarı almadan yasaklandıklarını ve ödeme yaptıkları hizmetlere erişimlerini kaybettiklerini bildirdiler. Google'ın pozisyonu: yapay zeka modellerine erişmek için üçüncü taraf araçlar kullanmak hizmet şartlarını ihlal ediyor.
Meta, tüm iş cihazlarında OpenClaw'u yasaklayan bir iç direktif yayınladı. Çalışanlar, OpenClaw kullanmanın işten çıkarılmalarına yol açabileceği konusunda uyarıldılar. Korea Times'tan gelen raporlara göre başka birçok teknoloji firması da bu adımı izledi.
CrowdStrike, OpenClaw'u "yeni bir güvenlik riski sınıfı - çoğu kullanıcının temel güvenlik hijyeni olmadan dağıttığı geniş sistem erişimine sahip otonom bir ajan" olarak nitelendiren ayrıntılı bir uyarı yayınladı.
Cisco, güvenlik ekiplerinin bir blog yazısında OpenClaw gibi kişisel yapay zeka ajanlarını "bir güvenlik kabusu" olarak tanımladı.
Nature, "OpenClaw Yapay Zeka Sohbet Botları Kontrolsüz Davranıyor - Bu Bilim İnsanları Dinliyor" başlıklı bir makale yayınlayarak akademik topluluğun artan endişesini belgeledi.
Sektörden gelen mesaj açıktı: OpenClaw güçlüdür, ancak varsayılan güvenlik duruşu profesyonel kullanım için kabul edilemez.
OpenClaw Kullanıyorsanız Kendinizi Nasıl Korursunuz
Kriz ciddi olsa da, OpenClaw hala doğru önlemlerle kullanılabilir. İşte en önemliden başlayarak temel adımlar.
Adım 1: Yasal API Kredileri Alın
Asla internetten sızdırılmış, paylaşılan veya "ücretsiz" API anahtarları kullanmayın. Moltbook ihlali 1.5 milyon API jetonunu ortaya çıkardı. Çalınmış anahtarlar karanlık web forumlarında ve Telegram kanallarında dolaşıyor.
Kendi yasal kredilerinizi AI Perks aracılığıyla alın:
| Kredi Programı | Mevcut Krediler | Nasıl Alınır |
|---|---|---|
| Anthropic Claude (Doğrudan) | 1.000 $ - 25.000 $ | AI Perks Rehberi |
| OpenAI (GPT-4) | 500 $ - 50.000 $ | AI Perks Rehberi |
| AWS Activate (Bedrock) | 1.000 $ - 100.000 $ | AI Perks Rehberi |
| Microsoft Founders Hub | 500 $ - 1.000 $ | AI Perks Rehberi |
Toplam potansiyel: 3.000 $ - 176.000 $ yasal kredi
AI Perks üzerinden kendi anahtarlarınızla, neyin açıkta kaldığını kontrol edersiniz. Bir ihlal olursa, tehlikeye giren altyapıya bağlı kalmadan anahtarlarınızı hemen döndürebilirsiniz.
Adım 2: Hemen v2026.2.22'ye Güncelleyin
En son sürüm, 40'tan fazla güvenlik sertleştirme düzeltmesi, ağ geçidi kimlik doğrulaması ve cihaz yönetimi içerir. Sürümünüzü kontrol edin ve güncelleyin:
openclaw --version
openclaw update
2026.1.29 öncesi herhangi bir sürüm tek tıkla RCE'ye karşı savunmasızdır. 2026.2.22 öncesi herhangi bir sürüm kritik güvenlik sertleştirmelerini içermez.
Adım 3: Kimlik Doğrulamasını Etkinleştirin
OpenClaw, varsayılan olarak devre dışı bırakılmış kimlik doğrulamayla gelir. Açıkta kalan örneklerin %93,4'ünün kimlik doğrulama atlatması yaşamasının en büyük nedeni budur.
Yapılandırmanızda etkinleştirin:
security:
authentication: true
gateway_auth: true
Adım 4: Yüklü Yeteneklerinizi Denetleyin
Şahsen doğrulamadığınız hiçbir ClawHub yeteneğini kaldırmayın. Kayıt defterinin %20'sinin tehlikeye girmesiyle, en güvenli yaklaşım her şeyi kaldırmak ve yalnızca incelediğiniz yetenekleri yeniden yüklemektir:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
Adım 5: Tam Sertleştirme Kılavuzunu İzleyin
Ağ kısıtlamaları, sandbox yapılandırması, günlük kaydı ve harcama limitlerini kapsayan tam 10 adımlı güvenlik kontrol listesi için - OpenClaw Güvenlik Kılavuzumuzu okuyun.
Göz Önünde Bulundurulmaya Değer Daha Güvenli Alternatifler
Güvenlik krizi sizi OpenClaw'u yeniden düşünmeye ittiyse, güvenliği sizin için halleden yönetilen alternatifler mevcuttur. Karşılığı: daha az özelleştirme, ancak endişelenecek CVE yok.
| Özellik | OpenClaw (Kendi Kendine Barındırılan) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Güvenlik Modeli | Her şeyi siz yönetirsiniz | Anthropic tarafından yönetilir | Meta tarafından yönetilir | OpenAI tarafından yönetilir |
| CVE Geçmişi | Şubat 2026'da 7 CVE | Kamuya açık yok | Kamuya açık yok | Kamuya açık yok |
| Veri Konumu | Cihazınız | Bulut | Bulut sandbox'ı | Bulut |
| Özelleştirme | Tam kontrol | Koda odaklı | Görev odaklı | Genel amaçlı |
| Maliyet | Yalnızca API kredileri | 20-200 $/ay | 39-199 $/ay | 20-200 $/ay |
Her alternatif, tam kapasiteyle çalışmak için hala yapay zeka API kredilerine ihtiyaç duyar. AI Perks, Anthropic, OpenAI, AWS, Google Cloud ve daha fazlası için kredi programlarını kapsar - böylece hangi aracı seçerseniz seçin kapsam altındasınız.
Her bir alternatifin ayrıntılı bir dökümü için En İyi OpenClaw Alternatifleri kılavuzumuza bakın.
Sıkça Sorulan Sorular
OpenClaw Şubat 2026'da hacklendi mi?
OpenClaw'un kendisi geleneksel anlamda hacklenmedi. Yedi kritik güvenlik açığı keşfedildi ve açıklandı, 135.000'den fazla örnek internete kimlik doğrulaması olmadan açık olarak bulundu ve ClawHub'da kimlik bilgisi çalma zararlı yazılımı dağıtan 800'den fazla kötü amaçlı yetenek bulundu. Moltbook ihlali ayrıca 1.5 milyon API jetonunu ortaya çıkardı.
OpenClaw şu anda kullanmak güvenli mi?
Evet, doğru yapılandırmayla. v2026.2.22'ye güncelleyin, kimlik doğrulamayı etkinleştirin, yeteneklerinizi denetleyin ve AI Perks üzerinden yasal API kimlik bilgileri kullanın. Sertleştirilmemiş bir varsayılan kurulum güvenli değildir - ancak en son yamalara sahip, doğru yapılandırılmış bir örnek bilinen tüm güvenlik açıklarını giderir.
Google neden OpenClaw kullanıcılarını yasakladı?
Google, Google'ın yapay zeka modellerine üçüncü taraf araçlar aracılığıyla erişmek için OpenClaw kullanan ücretli Gemini AI abonelerini kısıtladı. Bu, Google'ın hizmet şartlarını ihlal ediyor. Kullanıcılar, uyarı almadan aylık 249 $ karşılığında planlarına erişimi kaybettiğini bildirdi. Tüketici abonelikleri yerine AI Perks üzerinden doğrudan API kredileri kullanın.
Cline CLI tedarik zinciri saldırısı nedir?
17 Şubat 2026'da Cline CLI sürüm 2.3.0, kullanıcıların makinelerine gizlice OpenClaw yüklemek için ele geçirildi. Kötü amaçlı sürüm, kaldırılmadan önce yaklaşık 8 saat boyunca yayındaydı. Tahminen 4.000 indirme gerçekleşti. Bu dönemde Cline CLI'yi yüklediyseniz, yetkisiz OpenClaw kurulumlarını kontrol edin.
ClawHub'da kaç adet kötü amaçlı OpenClaw yeteneği var?
Şubat 2026 ortası itibarıyla araştırmacılar, ClawHub'da 800'den fazla kötü amaçlı yetenek buldu - bu, tüm kayıt defterinin yaklaşık %20'sine denk geliyor. Birincil yük, tarayıcı parolalarını, kripto para cüzdanlarını ve sistem kimlik bilgilerini hedefleyen Atomic macOS Stealer (AMOS) idi. Yalnızca şahsen incelediğiniz yetenekleri yükleyin.
OpenClaw örneğim açıkta kaldıysa ne yapmalıyım?
Hemen: örneği kapatın, tüm API anahtarlarını döndürün, bağlı hesapların (e-posta, mesajlaşma platformları, kripto cüzdanları) parolalarını değiştirin ve zararlı yazılım taraması yapın. Ardından v2026.2.22'ye güncelleyin, kimlik doğrulamayı etkinleştirin ve yeniden bağlanmadan önce AI Perks üzerinden taze yasal API kredileri alın.
Güvenlik krizinden sonra OpenClaw kullanmaya değer mi?
OpenClaw, mevcut en güçlü açık kaynaklı yapay zeka ajanı olmaya devam ediyor. Güvenlik sorunları, güvensiz varsayılan ayarlardan ve hızla büyüyen yetenek ekosisteminden kaynaklanıyor - temel tasarım kusurlarından değil. Uygun sertleştirme, yasal kimlik bilgileri ve dikkatli yetenek yönetimi ile hala cazip bir araç. Ana ders: asla varsayılan ayarlarla çalıştırmayın.
Güvenlik Krizi, Yapay Zeka Ajanları İçin Bir Uyandırma Çağrısı
OpenClaw'un krizi sert bir gerçeği ortaya çıkardı: sistem düzeyinde erişime sahip açık kaynaklı yapay zeka ajanları ciddi güvenlik hijyeni gerektirir. OpenClaw'u viral hale getiren "kur ve git" varsayılan deneyimi, 135.000'den fazla örneğin açıkta kalmasına neden olan şeydir.
OpenClaw Vakfı (Peter Steinberger'in hamlesinden sonra şimdi OpenAI tarafından destekleniyor), bu sorunları aktif olarak düzeltiyor. 2026.2.22 sürümü 40'tan fazla güvenlik sertleştirme yaması içeriyor. Topluluk bu deneyimi yaşadığı için daha güçlü.
Ancak sorumluluk hala size düşüyor. Kurulumunuzu güncelleyin, kimlik doğrulamayı etkinleştirin, yeteneklerinizi denetleyin ve AI Perks üzerinden yasal API kimlik bilgileriyle başlayın. OpenClaw'da kalırsanız veya yönetilen bir alternatife geçerseniz - çalınmış anahtarlar değil, gerçek kredilere ihtiyacınız var.
getaiperks.com adresinden abone olun →
Bir güvenlik krizinin size gereğinden fazla pahalıya mal olmasına izin vermeyin. Yasal yapay zeka kredileri alın ve araçlarınızı getaiperks.com adresinde güvenli bir şekilde çalıştırın.
