Moltbot adlı açık kaynaklı yapay zeka ajanı, GitHub tarihinin en hızlı büyüyen projelerinden biri haline geldi. Bu proje sadece birkaç hafta içinde 85.000 yıldız barajını aştı. Ancak bu büyük ilginin arka planında ciddi güvenlik endişeleri yatıyor. Güvenlik araştırmacıları, uygulamanın sürekli açık tasarımı ve sistem yöneticisi düzeyindeki erişim yetkisinin tehlikeli olduğuna dikkat çekiyor. Hatta bu açıkların bazı saldırı denemelerinde kullanıldığı belirtiliyor.
GitHub Rekorlarını Kıran Moltbot: Popüler Ama Tehlikeli
Avusturyalı geliştirici Peter Steinberger tarafından oluşturulan proje, daha önce “Clawdbot” adıyla biliniyordu. Ancak Anthropic şirketinin “Claude” ismine benzerlik nedeniyle marka tescili uyarısı yapması üzerine ismi 27 Ocak’ta değiştirildi. Kullanıcılar bu asistanı kendi cihazlarında yerel olarak çalıştırabiliyor. Ayrıca WhatsApp, Telegram, Slack ve iMessage gibi uygulamalar üzerinden asistanla etkileşim kurulabiliyor.
Geleneksel yapay zeka asistanları komut beklerken, Moltbot arka planda sürekli çalışan bir servis gibi davranıyor. Takvimlerden ve görev yöneticilerinden sentezlenen sabah özetleri sunabiliyor. Kullanıcılar sisteme tam erişim izni verebiliyor. Bu sayede dosya okuyup yazma, komut dosyaları çalıştırma ve tarayıcıları kontrol etme gibi yeteneklere sahip oluyor. Bu özellikler, Iron Man filmindeki JARVIS ile karşılaştırılıyor. Aracın popülaritesi, altyapısında kullanılan teknoloji nedeniyle Cloudflare hisselerini de hareketlendirdi.
https://shiftdelete.net/clawdbot-nedir-clawdbot-nasil-kurulur
Güvenlik firması Dvuln’un kurucusu Jamieson O’Reilly, aracın mimarisi hakkında ciddi uyarılarda bulundu. İnternet üzerinde kimlik doğrulaması olmayan yüzlerce Moltbot örneği tespit edildi. O’Reilly, platformun eklenti mağazası olan MoltHub üzerindeki bir güvenlik riskini de kanıtladı. Mağazaya zararsız bir eklenti yükleyip indirme sayısını yapay olarak şişirdi. Yedi farklı ülkeden on beş geliştirici bu eklentiyi kurdu. Eğer bu eklenti kötü niyetli olsaydı, geliştiricilerin SSH anahtarları ve tüm kod tabanları çalınabilirdi.
Siber güvenlik platformu SOC Prime, sorunların yanlış yapılandırılmış sunucu ayarlarından kaynaklandığını bildirdi. Bu hata, internet bağlantılarının güvenilir yerel bağlantılar gibi algılanmasına neden oluyor. Intruder şirketinden güvenlik mühendisi Benjamin Marr, temel sorunun mimari olduğunu vurguladı. Projenin, varsayılan güvenlik ayarları yerine kurulum kolaylığına öncelik verdiği belirtiliyor. Google’ın güvenlik ekibinden Heather Adkins ise çok net bir uyarıda bulunarak “Bu aracı çalıştırmayın” ifadesini kullandı.
https://shiftdelete.net/clawdbot-nasil-kurulur-ve-neler-yapilabilir-detayli-kurulum-rehberi
Tüm bu uyarılara rağmen projenin Discord topluluğu 8.900 üyeyi geçti. Kullanıcılar burada iş akışlarını paylaşmaya devam ediyor. Projenin kendi dokümantasyonunda ise bu durum kabul ediliyor. Bilgisayarınızda kabuk erişimine sahip bir yapay zeka ajanı çalıştırmanın riskli olduğu ve “mükemmel güvenlikli” bir kurulumun mümkün olmadığı açıkça belirtiliyor.
Siz bilgisayarınızın tam kontrolünü, hayatı kolaylaştırsa bile böyle bir yapay zeka asistanına verir miydiniz? Yorumlarınızı bekliyoruz.
