Yapay zeka asistanı OpenClaw'da keşfedilen üç yüksek önem dereceli güvenlik açığı, saldırganların WhatsApp üzerinden gönderdikleri mesajlarla ana bilgisayarda keyfi kod çalıştırmasına olanak tanıyabiliyor. Güvenlik araştırmacısı Chinmohan Nayak tarafından bildirilen ve OpenClaw sürüm 2026.6.6 ile yamalanan bu açıklar, kimlik bilgisi hırsızlığı, ayrıcalık yükseltme ve uzaktan kod çalıştırma gibi ciddi tehditler oluşturuyor. Özellikle Mayıs ayında duyurulan Claw Chain açıklarından farklı olarak, bu yeni güvenlik zafiyetleri saldırganın önceden bir yer edinmesini gerektirmiyor; doğrudan dışarıdan gelen bir mesajla tetiklenebiliyor.
İlk güvenlik açığı (GHSA-hjr6-g723-hmfm, CVSS 8.8) ve ikincisi (GHSA-9969-8g9h-rxwm, CVSS 8.8), işletim sistemi komut enjeksiyonu ve izin verilmeyen girdilerin eksik listelenmesi nedeniyle ana bilgisayar yürütme ortamı filtreleme mekanizmasını atlayarak yetkisiz eylemlerin gerçekleştirilmesine yol açıyor. Üçüncü açık ise (GHSA-575v-8hfq-m3mc, CVSS 8.4) bir yol dolaşma ve bağlantı takip etme zafiyeti olup, sanal alan bağlama montajlarının üst dizin denetimlerini atlamasına izin veriyor. Bu sayede saldırgan, güvenlik politikalarını aşarak hassas dosyalara erişebiliyor.
Araştırmacı Nayak, özellikle üçüncü açığın (GHSA-575v-8hfq-m3mc) nasıl istismar edildiğini detaylandırdı: 'getBlockedReasonForSourcePath() fonksiyonu, kaynak yolun engellenen bir yol altında olup olmadığını kontrol ediyor ancak tersini – yani engellenen bir yolun kaynak altında olup olmadığını – denetlemiyor.' Bu, üst dizin atlatma olarak adlandırılıyor. OpenClaw, '~/.ssh', '~/.aws' ve '~/.gnupg' gibi hassas dizinleri engelliyorken, üst dizin olan '/home' veya '/var' gibi yolların montajına izin veriyor. Bu da '~/.ssh' altındaki SSH anahtarlarına, AWS kimlik bilgilerine ve GPG sırlarına erişimi mümkün kılıyor.
Detaylar ve Etkileri
Daha da kritiği, '/var' dizininin montajı Docker soketine erişim sağlıyor. Nayak, 'Docker soketini ele geçiren bir saldırgan, sanal alan içinden ana bilgisayara tamamen kaçış gerçekleştirebilir' diyor. Bu saldırı zinciri, WhatsApp üzerinden gelen bir mesajla tetiklenebiliyor. Örneğin, saldırgan bir kullanıcıya kötü amaçlı bir bağlantı veya komut içeren bir mesaj gönderiyor; OpenClaw'un bu mesajı işlemesi sırasında açıklar istismar edilerek ana bilgisayarda kod çalıştırılıyor. Bu, kullanıcının farkında olmadan sistemine sızılmasına yol açıyor.
OpenClaw geliştiricileri, güvenlik açıklarının pratik etkisinin operatörün yapılandırmasına ve düşük güvenilirlikteki girdilerin o yola ulaşıp ulaşamayacağına bağlı olduğunu belirtiyor. Ancak Nayak'ın gösterdiği gibi, varsayılan yapılandırmalarda bile bu açıklar ciddi riskler taşıyor. Kullanıcıların OpenClaw'u en son sürüme güncellemeleri, ana olmayan tüm oturumlar için sanal alan modunu etkinleştirmeleri, kanal yönelimli ajanlar için araç izin listesinden 'exec' komutunu kaldırmaları ve 'ext::' dış protokol yardımcısını içeren git clone komutlarını izlemeleri öneriliyor.
OpenClaw ekibi, 'Güncelleme yapana kadar, etkilenen özelliği yalnızca güvenilir operatörlere kısıtlayın veya ihtiyaç yoksa devre dışı bırakın' uyarısında bulunuyor. Ayrıca genel güvenlik önlemleri olarak kanal ve araç izin listelerinin dar tutulması, bir ağ geçidinin karşılıklı güvenilmeyen kullanıcılar arasında paylaşılmaması ve gereksiz özelliklerin kapatılması tavsiye ediliyor. Bu tür açıklar, yapay zeka asistanlarının giderek yaygınlaştığı günümüzde, güvenliğin ne kadar kritik olduğunu bir kez daha gösteriyor.
Kaynak: thehackernews.com