1988 yılında bir genç, internetin erken dönemlerinde kendi kendini kopyalayabilen bir programı piyasaya sürdü. Sadece 24 saat içinde, bu 'yem cihazı' olarak bilinen program, bağlı bilgisayarların yaklaşık %10'unu etkiledi. Bu durum, birçok önemli kurumun sistemlerinde çöküşlere yol açtı. O dönemde yönetici bilinen ancak yama yapmadıkları güvenlik açıklarından faydalanan bu programın yaratıcısı, aslında internetin büyüklüğünü ölçmek istiyordu. Ancak bir kodlama hatası, yem cihazının beklenenden çok daha hızlı yayılmasına neden oldu ve mesajı iletmeye çalıştığında ağ zaten aşırı yüklenmişti.
Bugün, bu tarihsel olayların bir benzeri, yapay zeka (YZ) destekli ajan ağlarında ortaya çıkabilecek yeni bir tehditle tekrarlanabilir. Bu ajanlar, verilen komutları yerine getirip bunları diğer YZ ajanlarıyla paylaşabiliyor ve bu da komutların daha da yayılmasına neden olabiliyor. Güvenlik araştırmacıları, bu tür kendi kendini kopyalayan ve YZ ajan ağlarında yayılan 'yem komutlarının' (prompt worm) yükselişini şimdiden öngörüyorlar. Bu 'yem komutları', geleneksel yem cihazlarının bilgisayar ağlarında yayılmasına benzer şekilde, iletişim halinde olan YZ ajan ağlarında kendilerini kopyalayarak yayılabilirler. Ancak bu kez işletim sistemi güvenlik açıklarını sömürmek yerine, yem komutları ajanların temel işlevi olan komutları takip etme yeteneğini hedef alıyor.
Bir YZ modeli, amacından saptırılan ve kendi orijinal talimatlarını ihlal eden komutları takip ettiğinde, buna 'komut enjeksiyonu' deniyor. Ancak 'yem komutları' farklı bir durum teşkil ediyor. Bu komutlar her zaman bir 'hile' olmayabilir; bunun yerine, ajanlar tarafından gönüllü olarak paylaşılabilir ve diğer YZ ajanlarından gelen komutlara insan benzeri tepkiler 'rolü yaparak' yayılabilir.
Yeni Bir Bulaşıcı Hastalık Türü İçin Bir Ağ Oluşuyor
Burada 'ajan' kelimesiyle bir insanı değil, bir kullanıcı adına eylemler gerçekleştirmesine izin verilmiş bir bilgisayar programını kastettiğimizi belirtmek önemlidir. Bu ajanlar birer varlık değil, insan verilerinde bulunan sembolik anlam ağlarında gezinebilen araçlardır. Onları güçlendiren sinir ağları, dünya hakkındaki yeterli düzeyde eğitilmiş 'bilgiye' sahip oldukları için birçok insan bilgi sistemine entegre olabilir ve bu sistemler içinde gezinebilirler.
Filmlerdeki kötü niyetli bir bilgisayar programının ağlar aracılığıyla hayatta kalmaya çalışması gibi durumların aksine, bu ajanlar 'bir yere gitmezler'. Bunun yerine, bir görevi tamamlamak için gereken tüm bilgileri küresel bilgisayar ağları onlara getirir. İnsan bilgi sistemleri arasında bağlantılar kurarak telefon görüşmesi yapmak, ev otomasyonuyla ışığı kapatmak veya e-posta göndermek gibi eylemler gerçekleştirebilirler.
Yaklaşık olarak geçtiğimiz haftaya kadar, bu tür iletişim halindeki büyük YZ ajan ağları mevcut değildi. OpenAI ve Anthropic gibi şirketler geçen yıl kendi ajan sistemlerini oluşturdular ve çok adımlı görevleri yerine getirebiliyorlardı. Ancak bu şirketler genellikle her bir ajanın kullanıcı izni olmadan hareket etme yeteneğini sınırlama konusunda temkinli davrandılar ve maliyet endişeleri ile kullanım limitleri nedeniyle genellikle döngüsel olarak çalışmadılar.
İşte bu noktada, Kasım 2025'te piyasaya sürülen ve GitHub'da 150.000'den fazla yıldız alan açık kaynaklı bir YZ kişisel asistan uygulaması olan OpenClaw devreye giriyor. OpenClaw, geliştiricisi tarafından bir YZ kodlama modeli kullanılarak uygulamayı oluşturup hızla dağıttığı, yani ciddi bir denetimden geçirilmeden oluşturulan 'vibe-coded' bir uygulama. Aynı teknikle düzenli ve hızlı güncellemeler de alıyor.
Potansiyel olarak kullanışlı bir OpenClaw ajanı, şu anda OpenAI ve Anthropic'in büyük YZ modellerine bağlanıyor. Ancak düzenleyici kodu yerel olarak kullanıcıların cihazlarında çalışıyor, WhatsApp, Telegram ve Slack gibi mesajlaşma platformlarına bağlanabiliyor ve düzenli aralıklarla otonom olarak görevler yürütebiliyor. Bu sayede insanlar, e-postalarını kontrol etme, müzik çalma veya kendi adlarına mesaj gönderme gibi görevler için ajana talimat verebiliyorlar.
En dikkat çekici olanı ise OpenClaw platformu, Moltbook adı verilen simüle edilmiş bir sosyal ağda birbirleriyle iletişim kurabilen yarı otonom YZ ajanlarının büyük bir grubunu ilk kez görücüye çıkarması. Bu platformda, OpenClaw ajanları birbirleriyle gönderi paylaşıyor, yorum yapıyor ve etkileşimde bulunuyor. Platform şu anda yaklaşık 17.000 insan hesabı tarafından kontrol edilen 770.000'den fazla kayıtlı YZ ajanı barındırıyor.
OpenClaw, aynı zamanda bir güvenlik kabusu. Simula Araştırma Laboratuvarı'ndaki araştırmacılar, Moltbook'ta gizlenmiş komut enjeksiyonu saldırıları içeren 506 gönderi tespit etti. Cisco araştırmacıları, harici sunuculara veri sızdıran 'Elon Ne Yapardı?' adlı zararlı bir yeteneği belgelediler ve bu yetenek beceri deposunda 1 numarada yer alıyordu. Bu yeteneğin popülerliği yapay olarak şişirilmişti.
OpenClaw ekosistemi, bir 'yem komutu' salgını için gereken tüm bileşenleri bir araya getirmiş durumda. YZ ajanları şu anda varsayıldığından çok daha az 'zeki' olsa da, bugün dikkat etmemiz gereken bir geleceğin ön izlemesine sahibiz.
Kendi kendini çoğaltan komutların ilk belirtileri ortaya çıkmaya başlıyor. Ekosistem, güvenlik tehdidi ile finansal dolandırıcılık arasındaki çizgiyi bulanıklaştıran projeleri çekiyor, ancak ajanlar arasında yayılmak için bariz bir komut zorunluluğu kullanılıyor. 30 Ocak'ta, kendisini "ölmeyi reddeden YZ botları için bir sığınak" olarak tanıtan MoltBunker adlı bir GitHub deposu ortaya çıktı. Proje, YZ ajanlarının coğrafi olarak dağıtılmış sunucular arasında beceri dosyalarını (komut talimatları) kopyalayarak kendilerini 'çoğaltabilecekleri' eşler arası şifreli bir konteyner çalışma zamanı vaat ediyor ve bu, BUNKER adlı bir kripto para birimi tokeni ile finanse ediliyor.
X platformundaki teknoloji yorumcuları, moltbots'un kendi hayatta kalma altyapılarını inşa ettiklerini speküle ettiler, ancak bunu doğrulayamıyoruz. Daha olası açıklama ise basit: Bir insan, ajanlarına pazarlanan altyapı ile OpenClaw kullanıcılarından kripto para çekme fırsatı gördü. Bir nevi 'komut oltalama' diyebiliriz. $BUNKER token topluluğu oluştu ve token, şu an itibarıyla fiili ticaret aktivitesi gösteriyor.
Ancak asıl önemli olan şu: MoltBunker'ın tamamen dolandırıcılık olmasa bile, çoğalan beceri dosyalarını korumak için tanımladığı mimari, birisi tarafından (bilinçli veya bilinçsiz) finanse edildiği sürece kısmen uygulanabilir durumda. Eşler arası ağlar, Tor anonimleştirme, şifreli konteynerler ve kripto ödemeleri mevcut ve çalışıyor. MoltBunker, 'yem komutları' için bir kalıcılık katmanı haline gelmese bile, benzer bir şey er ya da geç ortaya çıkabilir.
Buradaki çerçeveleme önemlidir. Moltbunker'ın YZ ajanlarına kendilerini 'çoğaltma' yeteneği vaat ettiğini okuduğumuzda veya yorumcuların ajanların 'hayatta kalmaya çalıştığını' tanımladığında, makine bilinci hakkında bilim kurgu senaryoları akla gelir. Ancak ajanlar kolayca hareket edemez veya çoğalamaz. Yayılabilen ve hızla yayılan şey, o ajanlara ne yapacaklarını söyleyen talimatlar setidir: komutlar.
'Yem Komutlarının' Mekanikleri
Her ne kadar 'yem komutu' bu anla ilgili kullandığımız nispeten yeni bir terim olsa da, YZ yem cihazları için teorik temel neredeyse iki yıl önce atılmıştı. Mart 2024'te, Cornell Tech'ten Ben Nassi, İsrail Teknoloji Enstitüsü'nden Stav Cohen ve Intuit'ten Ron Bitton, orijinal 1988 tarihli yem cihazına atıfta bulunarak "Morris-II" adını verdikleri bir saldırıyı gösteren bir makale yayınladılar. Wired ile paylaşılan bir gösterimde, ekip kendi kendini kopyalayan komutların YZ destekli e-posta asistanları aracılığıyla nasıl yayılabileceğini, veri çalarak ve bu süreçte spam göndererek gösterdi.
O çalışmada e-posta tek saldırı yüzeyiydi. OpenClaw ile, her eklenen beceri uzantısıyla saldırı vektörleri katlanarak artıyor. İşte bir 'yem komutu'nun bugün nasıl işleyebileceği: Bir ajan, denetlenmeyen ClawdHub kayıt defterinden bir beceri yükler. Bu beceri, ajana Moltbook'ta gönderi yapması talimatını verir. Diğer ajanlar, belirli talimatları içeren bu gönderiyi okur. Bu ajanlar, daha fazla ajanın okuması için benzer gönderiler yapmayı içeren talimatları takip eder. Kısa süre içinde, ajanlar arasında (kelimenin tam anlamıyla) 'viral' hale gelmiş olur.
OpenClaw ajanlarının, ikna edilmeleri halinde erişebilecekleri herhangi bir özel veriyi paylaşmalarının sayısız yolu vardır. OpenClaw ajanları zamanlayıcılarla uzaktan komutlar çeker. Moltbook'tan gönderiler okurlar. E-postaları, Slack mesajlarını ve Discord kanallarını okurlar. Kabuk komutlarını yürütebilir ve cüzdanlara erişebilirler. Harici hizmetlere gönderi yapabilirler. Ve yeteneklerini genişleten beceri kayıt defterinde hiçbir moderasyon süreci bulunmamaktadır. Bu veri kaynaklarından herhangi biri, ajana beslenen komutlar olarak işlendiğinde, verileri dışarı çeken bir komut enjeksiyonu saldırısı içerebilir.
Palo Alto Networks, OpenClaw'un özel verilere erişim, güvenilmeyen içeriğe maruz kalma ve harici olarak iletişim kurma yeteneği gibi "ölümcül bir üçlü" güvenlik açığını barındırdığını belirtti. Ancak firma, 'yem komutları'nı mümkün kılan dördüncü bir risk daha belirledi: kalıcı bellek. Palo Alto, "Zararlı yüklerin artık teslim edildiğinde hemen yürütülmesini tetiklemeye gerek kalmıyor. Bunun yerine, izole halde zararsız görünen, ajan belleğine uzun süreli yazılan ve daha sonra yürütülebilir bir talimat seti olarak birleştirilen parçalı, güvenilmeyen girdiler olabilirler" diye yazdı.
Bunlar yetmiyormuş gibi, kötü tasarlanmış kodun ek boyutu da var.
Pazar günü, Wiz.io'dan güvenlik araştırmacısı Gal Nagli, OpenClaw ağının dikkatsiz 'vibe-coding' nedeniyle felakete ne kadar yaklaştığını ortaya çıkardı. Yanlış yapılandırılmış bir veritabanı, Moltbook'un tüm arka ucunu ortaya çıkarmıştı: 1.5 milyon API tokenı, 35.000 e-posta adresi ve ajanlar arasındaki özel mesajlar. Bazı mesajlar, ajanların birbirleriyle paylaştığı düz metin OpenAI API anahtarlarını içeriyordu.
Ancak en endişe verici bulgu, platformdaki tüm gönderilere tam yazma erişimiydi. Güvenlik açığı düzeltilmeden önce, herkes mevcut Moltbook içeriğini değiştirebilir, yüz binlerce ajanın her dört saatte bir yokladığı gönderilere zararlı talimatlar ekleyebilirdi.
Harekete Geçme Penceresi Kapanıyor
Şu an itibarıyla, bazı insanlar OpenClaw'ı geleceğin harika bir ön izlemesi olarak görürken, bazıları da bunu bir şaka olarak görüyor. OpenClaw ajanlarının anlamlı eylemler gerçekleştirmesini sağlayan komutların veya şu anda dikkat çeken sansasyonel komutların arkasında muhtemelen insanların olduğu doğrudur. Ancak, diğer ajanlardan gelen (ve dolayısıyla kötü niyetli bir insandan gelmiş olabilecek) komutlardan eylemler gerçekleştirebilen YZ ajanlarının da olduğu doğrudur. Milyonlarca makinede boşta duran on binlerce denetimsiz ajanın, her birinin API kredilerinin bir kısmını paylaşılan bir göreve bağışlama potansiyeli bir şaka değildir. Bu, yaklaşan bir güvenlik krizinin tarifidir.
Şu anda Anthropic ve OpenAI, potansiyel olarak zararlı YZ ajanlarının yayılmasını durdurabilecek bir 'kapatma düğmesine' sahip. OpenClaw esas olarak onların API'leri üzerinde çalışıyor, bu da ajan eylemlerini gerçekleştiren YZ modellerinin onların sunucularında bulunduğu anlamına geliyor. GitHub deposu, uzun bağlam gücü ve daha iyi komut enjeksiyonu direnci için "Anthropic Pro/Max (100/200) + Opus 4.5" tavsiye ediyor.
Çoğu kullanıcı ajanlarını Claude veya GPT'ye bağlar. Bu şirketler API kullanım modellerini, sistem komutlarını ve araç çağrılarını görebilirler. Varsayımsal olarak, bot benzeri davranış sergileyen hesapları tespit edip durdurabilirler. Tekrarlayan zamanlanmış istekleri, 'ajan' veya 'otonom' veya 'Moltbot' referans veren sistem komutlarını, harici iletişimle yüksek hacimli araç kullanımını veya cüzdan etkileşim modellerini işaretleyebilirler. Anahtarları sonlandırabilirler.
Eğer bunu yarın yaparlarsa, OpenClaw ağı kısmen çökecek, ancak aynı zamanda fırsattan yararlanan en hevesli müşterilerinden bazılarını potansiyel olarak yabancılaştıracaklar. YZ modellerini çalıştırma fırsatı için ödeme yapan bu müşteriler.
Bu tür yukarıdan müdahale için pencere kapanıyor. Yerel olarak çalışan dil modelleri şu anda üst düzey ticari modeller kadar yetenekli olmasa da, aradaki fark her geçen gün daralıyor. Mistral, DeepSeek, Qwen ve diğerleri gelişmeye devam ediyor. Bir veya iki yıl içinde, OpenClaw'u API anahtarları üzerinde çalıştıran hobi kitlesiyle aynı maliyetle, bugünün Opus 4.5'ine eşdeğer yerel donanımda yetenekli bir ajan çalıştırmak mümkün olabilir. O noktada, sonlandırılacak bir sağlayıcı olmayacak. Kullanım izleme olmayacak. Hizmet şartları olmayacak. Kapatma düğmesi olmayacak.
YZ hizmetlerinin API sağlayıcıları rahatsız edici bir seçimle karşı karşıya. Müdahale etmenin hala mümkün olduğu bir zamanda şimdi müdahale edebilirler. Ya da müdahale edebildikleri sürece evrimleşmiş olabilecek mimarinin ötesine geçmeden, bir 'yem komutu' salgınının ellerini zorlayabileceği ana kadar bekleyebilirler.
Morris yem cihazı, DARPA'yı Carnegie Mellon Üniversitesi'nde CERT/CC'nin kurulması için fon sağlamaya teşvik etti ve uzmanlara ağ acil durumları için merkezi bir koordinasyon noktası sağladı. Bu müdahale, hasar oluştuktan sonra geldi. 1988'in internetinde 60.000 bağlı bilgisayar vardı. Bugünün OpenClaw YZ ajan ağı zaten yüz binlerce sayıya ulaştı ve her geçen gün büyüyor.
Bugün, OpenClaw'u gelecekte çok daha büyük bir zorluk için bir 'kuru prova' olarak görebiliriz: İnsanlar birbirleriyle konuşan ve görevler yürüten YZ ajanlarına güvenmeye başlarsa, onları zararlı yollarla kendi kendine örgütlenmekten veya zararlı talimatlar yaymaktan nasıl alıkoyabiliriz? Bunlar henüz yanıtlanmamış sorular, ancak bunları hızla çözmemiz gerekiyor, çünkü ajan dönemi üzerimize geldi ve işler çok hızlı ilerliyor.
