Post by Can Deger
Principal Security Advisor | Cyber - Cloud - AI Security Architect | Keynote Speaker
Teknoloji dunyasinda son haftalarin tartismasiz en buyuk "hype"i: Clawdbot (ya da yeni adiyla Moltbot). Gormeyen kalmamistir; millet bu aleti calistiracagim diye Mac Mini stoklarini tuketti. Peter Steinberger (nam-i diger "steipete") gercekten inanilmaz bir is cikardi. Hepimizin hayali olan o "7/24 calisan, bilgisayarimda her seye erisimi olan Jarvis" sonunda gercek oldu gibi. AMA... (Beni biliyorsunuz, o "ama" gelmek zorundaydi). Biz bu "Jarvis" hayaline o kadar kapildik ki, guvenlik tarafinda pimi cekilmis bombayi kucagimiza aldigimizi fark etmiyoruz. Arkadaslar, Clawdbot dediginiz sey ozunde "Shell erisimi olan, internete bagli, otonom bir AI ajani". Guvenlik gozluguyle bakinca manzara su.. 1. Evin Anahtarini Paspasin Altina Koymak: Bu bota bilgisayarinizda dosya okuma/yazma, terminal komutu calistirma yetkisi veriyorsunuz. Sonra da bunu WhatsApp'a, Telegram'a, hatta X'e (Twitter) bagliyorsunuz. Biri X uzerinden botunuzu etiketleyip, ozel bir "prompt injection" ile bilgisayarinizdaki .env dosyasini okumasini isterse ne olacak? Cevap vereyim: Botunuz "Tabii efendim" diyip AWS keylerinizi adama DM atacak. 2. Supply Chain Kabusu (VS Code Olayi): Daha gecen gun VS Code marketplace'te sahte bir "ClawdBot Agent" uzantisi turedi. Icine "ScreenConnect RAT" gommusler. Millet "Aaa official plugin cikmis" diye indirdi, arka planda bilgisayarlari zombiye donustu. 3. Zehirli Skill'ler: Clawdbot'un gucu "Skill"lerden (yeteneklerden) geliyor. Ama GitHub'dan indirdiginiz o "mukemmel otomasyon skill"inin icinde, sizin tokenlarinizi disari sizdiran bir kod parcasi olmadigini kim garanti ediyor? Kodlari satir satir inceliyor musunuz? Hic sanmiyorum. Ozetle: Clawdbot muazzam bir teknoloji demosu. Ben de kurcaliyorum, inanilmaz keyifli. Ama bunu "Production" ortamina, sirket bilgisayariniza veya icinde kritik verilerinizin oldugu ana makinenize kurarken iki kere dusunun. Jarvis yapayim derken, bilgisayarinizi dunyanin en akilli arka kapisina (backdoor) cevirmeyin. Izole ortamda (Sandbox/VM) oynayin, keyfini cikarin ama ipleri elden birakmayin...