Güvenlik

Kişisel asistan güven modeli: bu kılavuz, gateway başına tek bir güvenilen operatör sınırını varsayar (tek kullanıcı/kişisel asistan modeli). OpenClaw, birden çok düşmanca kullanıcının tek bir agent/gateway paylaştığı durumlar için düşmanca çok kiracılı bir güvenlik sınırı değildir. Karma güven veya düşmanca kullanıcı operasyonu gerekiyorsa, güven sınırlarını ayırın (ayrı gateway + kimlik bilgileri, ideal olarak ayrı OS kullanıcıları/host’lar).

Önce kapsam: kişisel asistan güvenlik modeli

OpenClaw güvenlik kılavuzu bir kişisel asistan dağıtımını varsayar: tek bir güvenilen operatör sınırı, potansiyel olarak birçok agent.

Desteklenen güvenlik duruşu: gateway başına bir kullanıcı/güven sınırı (tercihen sınır başına bir OS kullanıcısı/host/VPS).
Desteklenmeyen güvenlik sınırı: karşılıklı olarak güvenilmeyen veya düşmanca kullanıcılar tarafından paylaşılan tek bir gateway/agent.
Düşmanca kullanıcı izolasyonu gerekiyorsa, güven sınırına göre ayırın (ayrı gateway + kimlik bilgileri ve ideal olarak ayrı OS kullanıcıları/host’lar).
Birden çok güvenilmeyen kullanıcı tek bir araç etkin agent’a mesaj gönderebiliyorsa, bunu o agent için aynı devredilmiş araç yetkisini paylaşıyorlar olarak değerlendirin.

Bu sayfa, bu model içinde sertleştirmeyi açıklar. Tek bir paylaşılan gateway üzerinde düşmanca çok kiracılı izolasyon iddiasında bulunmaz.

Hızlı kontrol: `openclaw security audit`

Ayrıca bkz.: Biçimsel Doğrulama (Güvenlik Modelleri) Bunu düzenli olarak çalıştırın (özellikle config değiştirdikten veya ağ yüzeylerini açtıktan sonra):

openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

security audit --fix bilerek dar tutulur: yaygın açık grup ilkelerini izin listelerine çevirir, logging.redactSensitive: "tools" ayarını geri yükler, durum/config/include-file izinlerini sıkılaştırır ve Windows üzerinde çalışırken POSIX chmod yerine Windows ACL sıfırlamalarını kullanır. Yaygın footgun’ları işaretler (Gateway auth açığa çıkması, tarayıcı kontrolü açığa çıkması, yükseltilmiş izin listeleri, dosya sistemi izinleri, gevşek exec onayları ve açık kanal araç açığa çıkması). OpenClaw hem bir ürün hem de bir deneydir: frontier model davranışını gerçek mesajlaşma yüzeylerine ve gerçek araçlara bağlıyorsunuz. “Mükemmel derecede güvenli” bir kurulum yoktur. Amaç şunlar konusunda bilinçli olmaktır:

botunuzla kimin konuşabileceği
botun nerede işlem yapmasına izin verildiği
botun nelere dokunabileceği

Hâlâ çalışan en küçük erişimle başlayın, sonra güven kazandıkça genişletin.

Dağıtım ve host güveni

OpenClaw, host ve config sınırının güvenilir olduğunu varsayar:

Birisi Gateway host durumunu/config’ini (~/.openclaw, openclaw.json dahil) değiştirebiliyorsa, onu güvenilen operatör olarak değerlendirin.
Karşılıklı olarak güvenilmeyen/düşmanca birden çok operatör için tek bir Gateway çalıştırmak önerilen bir kurulum değildir.
Karma güvene sahip ekipler için güven sınırlarını ayrı gateway’lerle (veya en azından ayrı OS kullanıcıları/host’larla) ayırın.
Önerilen varsayılan: makine/host (veya VPS) başına bir kullanıcı, o kullanıcı için bir gateway ve o gateway içinde bir veya daha fazla agent.
Tek bir Gateway örneği içinde, kimliği doğrulanmış operatör erişimi, kullanıcı başına kiracı rolü değil, güvenilen bir kontrol düzlemi rolüdür.
Oturum tanımlayıcıları (sessionKey, oturum kimlikleri, etiketler) yetkilendirme token’ları değil, yönlendirme seçicileridir.
Birkaç kişi tek bir araç etkin agent’a mesaj gönderebiliyorsa, her biri aynı izin kümesini yönlendirebilir. Kullanıcı başına oturum/hafıza izolasyonu gizliliğe yardımcı olur, ancak paylaşılan bir agent’ı kullanıcı başına host yetkilendirmesine dönüştürmez.

Paylaşılan Slack çalışma alanı: gerçek risk

“Eğer Slack’te herkes bota mesaj atabiliyorsa,” temel risk devredilmiş araç yetkisidir:

izin verilen herhangi bir gönderici, agent ilkesinin sınırları içinde araç çağrılarını (exec, tarayıcı, ağ/dosya araçları) tetikleyebilir;
bir göndericiden gelen istem/içerik enjeksiyonu, paylaşılan durumu, cihazları veya çıktıları etkileyen eylemlere neden olabilir;
paylaşılan bir agent hassas kimlik bilgilerine/dosyalara sahipse, izin verilen herhangi bir gönderici araç kullanımı yoluyla veri sızdırmayı potansiyel olarak yönlendirebilir.

Ekip iş akışları için minimum araçlarla ayrı agent’lar/gateway’ler kullanın; kişisel veri agent’larını özel tutun.

Şirketle paylaşılan agent: kabul edilebilir desen

Bu, o agent’ı kullanan herkes aynı güven sınırı içindeyse (örneğin tek bir şirket ekibi) ve agent kesin olarak iş kapsamlıysa kabul edilebilir.

bunu özel bir makine/VM/kapsayıcı üzerinde çalıştırın;
bu çalışma zamanı için özel bir OS kullanıcısı + özel tarayıcı/profil/hesaplar kullanın;
o çalışma zamanını kişisel Apple/Google hesaplarına veya kişisel parola yöneticisi/tarayıcı profillerine giriş yaptırmayın.

Kişisel ve şirket kimliklerini aynı çalışma zamanında karıştırırsanız, ayrımı çökertir ve kişisel veri açığa çıkma riskini artırırsınız.

Gateway ve node güven kavramı

Gateway ve node’u farklı rollere sahip tek bir operatör güven alanı olarak değerlendirin:

Gateway kontrol düzlemi ve ilke yüzeyidir (gateway.auth, araç ilkesi, yönlendirme).
Node, o Gateway ile eşleştirilmiş uzak yürütme yüzeyidir (komutlar, cihaz eylemleri, host-yerel yetenekler).
Gateway’e kimliği doğrulanmış bir çağıran, Gateway kapsamı içinde güvenilir kabul edilir. Eşleştirmeden sonra node eylemleri o node üzerinde güvenilen operatör eylemleridir.
sessionKey kullanıcı başına auth değildir; yönlendirme/bağlam seçimidir.
Exec onayları (izin listesi + sor) düşmanca çok kiracılı izolasyon için değil, operatör niyeti için koruma raylarıdır.
OpenClaw’ın güvenilen tek operatörlü kurulumlar için ürün varsayılanı, gateway/node üzerinde host exec’in onay istemleri olmadan izinli olmasıdır (security="full", siz sıkılaştırmadıkça ask="off"). Bu varsayılan kasıtlı UX’tir, tek başına bir güvenlik açığı değildir.
Exec onayları tam istek bağlamını ve en iyi çabayla doğrudan yerel dosya operandlarını bağlar; her çalışma zamanı/yorumlayıcı yükleyici yolunu anlamsal olarak modellemez. Güçlü sınırlar için sandboxing ve host izolasyonu kullanın.

Düşmanca kullanıcı izolasyonu gerekiyorsa, güven sınırlarını OS kullanıcısı/host’a göre ayırın ve ayrı gateway’ler çalıştırın.

Güven sınırı matrisi

Riski değerlendirirken bunu hızlı model olarak kullanın:

Sınır veya kontrol	Anlamı	Yaygın yanlış okuma
`gateway.auth` (token/password/trusted-proxy/device auth)	Çağıranları gateway API’lerine kimlik doğrular	”Güvenli olmak için her karede mesaj başına imzalar gerekir”
`sessionKey`	Bağlam/oturum seçimi için yönlendirme anahtarı	”Session key bir kullanıcı auth sınırıdır”
İstem/içerik koruma rayları	Model kötüye kullanım riskini azaltır	”Yalnızca istem enjeksiyonu auth atlamasını kanıtlar”
`canvas.eval` / browser evaluate	Etkinleştirildiğinde kasıtlı operatör yeteneği	”Her JS eval ilkeli bu güven modelinde otomatik olarak bir açıktır”
Yerel TUI `!` shell	Açık operatör tetiklemeli yerel yürütme	”Yerel kabuk kolaylık komutu uzaktan enjeksiyondur”
Node eşleştirme ve node komutları	Eşleştirilmiş cihazlarda operatör düzeyinde uzak yürütme	”Uzak cihaz kontrolü varsayılan olarak güvenilmeyen kullanıcı erişimi sayılmalıdır”

Tasarım gereği güvenlik açığı olmayanlar

Bu desenler sık raporlanır ve gerçek bir sınır aşımı gösterilmedikçe genellikle işlem yapılmadan kapatılır:

İlke/auth/sandbox aşımı olmadan yalnızca prompt enjeksiyonu zincirleri.
Tek bir paylaşılan host/config üzerinde düşmanca çok kiracılı operasyon varsayan iddialar.
Paylaşılan gateway kurulumunda normal operatör okuma yolu erişimini (örneğin sessions.list/sessions.preview/chat.history) IDOR olarak sınıflandıran iddialar.
Yalnızca localhost dağıtımı bulguları (örneğin yalnızca loopback gateway üzerinde HSTS).
Bu depoda bulunmayan giriş yolları için Discord gelen webhook imza bulguları.
Node eşleştirme meta verilerini system.run için gizli ikinci komut başına onay katmanı olarak değerlendiren raporlar; gerçek yürütme sınırı hâlâ gateway’in genel node komut ilkesi ile node’un kendi exec onaylarıdır.
sessionKey’i auth token’ı gibi değerlendiren “kullanıcı başına yetkilendirme eksik” bulguları.

Araştırmacı ön kontrol listesi

Bir GHSA açmadan önce bunların tümünü doğrulayın:

Yeniden üretim hâlâ en son main veya en son sürümde çalışıyor.
Rapor tam kod yolunu (file, işlev, satır aralığı) ve test edilen sürüm/commit’i içeriyor.
Etki belgelenmiş bir güven sınırını aşıyor (yalnızca prompt enjeksiyonu değil).
İddia Kapsam Dışı listesinde yer almıyor.
Var olan advisories tekrar açısından kontrol edildi (uygunsa kanonik GHSA yeniden kullanıldı).
Dağıtım varsayımları açık (loopback/yerel vs açık, güvenilen vs güvenilmeyen operatörler).

60 saniyede güçlendirilmiş temel

Önce bu temeli kullanın, sonra güvenilen agent başına araçları seçerek yeniden etkinleştirin:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}

Bu, Gateway’i yalnızca yerel tutar, DM’leri izole eder ve kontrol düzlemi/çalışma zamanı araçlarını varsayılan olarak devre dışı bırakır.

Paylaşılan gelen kutusu için hızlı kural

Birden fazla kişi botunuza DM gönderebiliyorsa:

session.dmScope: "per-channel-peer" ayarlayın (veya çok hesaplı kanallar için "per-account-channel-peer").
dmPolicy: "pairing" veya sıkı izin listeleri kullanın.
Paylaşılan DM’leri asla geniş araç erişimiyle birleştirmeyin.
Bu, işbirlikçi/paylaşılan gelen kutularını sertleştirir, ancak kullanıcılar host/config yazma erişimini paylaşıyorsa düşmanca ortak kiracı izolasyonu olarak tasarlanmamıştır.

Bağlam görünürlüğü modeli

OpenClaw iki kavramı ayırır:

Tetikleme yetkilendirmesi: agent’ı kimin tetikleyebileceği (dmPolicy, groupPolicy, allowlists, mention gates).
Bağlam görünürlüğü: hangi ek bağlamın model girişine enjekte edildiği (yanıt gövdesi, alıntılanan metin, başlık geçmişi, iletilen meta veriler).

İzin listeleri tetikleyicileri ve komut yetkilendirmesini kontrol eder. contextVisibility ayarı, ek bağlamın (alıntılanan yanıtlar, başlık kökleri, getirilen geçmiş) nasıl filtreleneceğini kontrol eder:

contextVisibility: "all" (varsayılan) ek bağlamı alındığı gibi tutar.
contextVisibility: "allowlist" ek bağlamı etkin allowlist denetimlerinin izin verdiği göndericilere filtreler.
contextVisibility: "allowlist_quote" allowlist gibi davranır, ancak yine de tek bir açık alıntılanan yanıtı korur.

contextVisibility değerini kanal başına veya oda/konuşma başına ayarlayın. Kurulum ayrıntıları için bkz. Group Chats. Advisory değerlendirme kılavuzu:

Yalnızca “model izin listesinde olmayan göndericilerden gelen alıntılanmış veya geçmiş metni görebilir” gösteren iddialar, kendi başlarına auth veya sandbox sınır aşımı değil, contextVisibility ile ele alınabilecek sertleştirme bulgularıdır.
Güvenlik etkisi taşıması için raporların yine de gösterilmiş bir güven sınırı aşımı (auth, ilke, sandbox, onay veya belgelenmiş başka bir sınır) içermesi gerekir.

Denetimin kontrol ettiği şeyler (yüksek seviye)

Gelen erişim (DM ilkeleri, grup ilkeleri, izin listeleri): yabancılar botu tetikleyebilir mi?
Araç etki alanı (yükseltilmiş araçlar + açık odalar): prompt enjeksiyonu kabuk/dosya/ağ eylemlerine dönüşebilir mi?
Exec onay sapması (security=full, autoAllowSkills, strictInlineEval olmadan yorumlayıcı izin listeleri): host-exec koruma rayları hâlâ düşündüğünüz şeyi mi yapıyor?
- security="full" geniş bir duruş uyarısıdır, hata kanıtı değildir. Güvenilen kişisel asistan kurulumları için seçilmiş varsayılandır; yalnızca tehdit modeliniz onay veya izin listesi korumaları gerektiriyorsa sıkılaştırın.
Ağ açığa çıkması (Gateway bind/auth, Tailscale Serve/Funnel, zayıf/kısa auth token’ları).
Tarayıcı kontrolü açığa çıkması (uzak node’lar, relay portları, uzak CDP uç noktaları).
Yerel disk hijyeni (izinler, symlink’ler, config includes, “eşitlenen klasör” yolları).
Eklentiler (açık bir izin listesi olmadan uzantılar mevcut).
İlke sapması/yanlış yapılandırma (sandbox docker ayarları yapılandırılmış ama sandbox modu kapalı; gateway.nodes.denyCommands kalıplarının etkisiz olması çünkü eşleştirme yalnızca tam komut adına yapılır (örneğin system.run) ve shell metnini incelemez; tehlikeli gateway.nodes.allowCommands girdileri; genel tools.profile="minimal" ayarının agent başına profillerle geçersiz kılınması; gevşek araç ilkesi altında erişilebilir uzantı eklentisi araçları).
Çalışma zamanı beklenti sapması (örneğin örtük exec’in hâlâ sandbox anlamına geldiğini varsaymak; oysa tools.exec.host artık varsayılan olarak auto, ya da sandbox modu kapalıyken açıkça tools.exec.host="sandbox" ayarlamak).
Model hijyeni (yapılandırılmış modeller legacy görünüyorsa uyarır; kesin engel değildir).

--deep çalıştırırsanız OpenClaw ayrıca en iyi çabayla canlı bir Gateway probu da dener.

Kimlik bilgisi depolama haritası

Erişimi denetlerken veya neyin yedekleneceğine karar verirken bunu kullanın:

WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
Telegram bot token’ı: config/env veya channels.telegram.tokenFile (yalnızca normal dosya; symlink’ler reddedilir)
Discord bot token’ı: config/env veya SecretRef (env/file/exec sağlayıcıları)
Slack token’ları: config/env (channels.slack.*)
Eşleştirme izin listeleri:
- ~/.openclaw/credentials/<channel>-allowFrom.json (varsayılan hesap)
- ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (varsayılan olmayan hesaplar)
Model auth profilleri: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
Dosya destekli secrets payload’ı (isteğe bağlı): ~/.openclaw/secrets.json
Legacy OAuth içe aktarımı: ~/.openclaw/credentials/oauth.json

Güvenlik denetimi kontrol listesi

Denetim bulguları yazdırdığında bunu öncelik sırası olarak değerlendirin:

“Açık” olan her şey + araçlar etkin: önce DM’leri/grupları kilitleyin (pairing/allowlists), sonra araç ilkesini/sandboxing’i sıkılaştırın.
Genel ağ açığa çıkması (LAN bind, Funnel, eksik auth): hemen düzeltin.
Tarayıcı kontrolü uzaktan açığa çıkması: bunu operatör erişimi gibi değerlendirin (yalnızca tailnet, node’ları bilinçli eşleştirin, genel açığa çıkmadan kaçının).
İzinler: state/config/credentials/auth değerlerinin grup/dünya tarafından okunabilir olmadığından emin olun.
Plugins/extensions: yalnızca açıkça güvendiğiniz şeyleri yükleyin.
Model seçimi: araçları olan botlar için modern, isteme dayanıklı modelleri tercih edin.

Güvenlik denetimi sözlüğü

Gerçek dağıtımlarda büyük olasılıkla göreceğiniz yüksek sinyalli checkId değerleri (kapsayıcı olmayan liste):

`checkId`	Şiddet	Neden önemlidir	Birincil düzeltme anahtarı/yolu	Otomatik düzeltme
`fs.state_dir.perms_world_writable`	kritik	Diğer kullanıcılar/süreçler tam OpenClaw durumunu değiştirebilir	`~/.openclaw` üzerindeki dosya sistemi izinleri	evet
`fs.state_dir.perms_group_writable`	uyarı	Grup kullanıcıları tam OpenClaw durumunu değiştirebilir	`~/.openclaw` üzerindeki dosya sistemi izinleri	evet
`fs.state_dir.perms_readable`	uyarı	Durum dizini başkaları tarafından okunabilir	`~/.openclaw` üzerindeki dosya sistemi izinleri	evet
`fs.state_dir.symlink`	uyarı	Durum dizini hedefi başka bir güven sınırı olur	durum dizini dosya sistemi düzeni	hayır
`fs.config.perms_writable`	kritik	Başkaları auth/araç ilkesini/config’i değiştirebilir	`~/.openclaw/openclaw.json` üzerindeki dosya sistemi izinleri	evet
`fs.config.symlink`	uyarı	Config hedefi başka bir güven sınırı olur	config dosyası dosya sistemi düzeni	hayır
`fs.config.perms_group_readable`	uyarı	Grup kullanıcıları config token’larını/ayarlarını okuyabilir	config dosyası üzerindeki dosya sistemi izinleri	evet
`fs.config.perms_world_readable`	kritik	Config token’ları/ayarları açığa çıkarabilir	config dosyası üzerindeki dosya sistemi izinleri	evet
`fs.config_include.perms_writable`	kritik	Config include dosyası başkaları tarafından değiştirilebilir	`openclaw.json` içinden başvurulan include-file izinleri	evet
`fs.config_include.perms_group_readable`	uyarı	Grup kullanıcıları dahil edilen secrets/ayarları okuyabilir	`openclaw.json` içinden başvurulan include-file izinleri	evet
`fs.config_include.perms_world_readable`	kritik	Dahil edilen secrets/ayarlar dünya tarafından okunabilir	`openclaw.json` içinden başvurulan include-file izinleri	evet
`fs.auth_profiles.perms_writable`	kritik	Başkaları depolanan model kimlik bilgilerini enjekte edebilir veya değiştirebilir	`agents/<agentId>/agent/auth-profiles.json` izinleri	evet
`fs.auth_profiles.perms_readable`	uyarı	Başkaları API anahtarlarını ve OAuth token’larını okuyabilir	`agents/<agentId>/agent/auth-profiles.json` izinleri	evet
`fs.credentials_dir.perms_writable`	kritik	Başkaları kanal eşleştirme/kimlik bilgisi durumunu değiştirebilir	`~/.openclaw/credentials` üzerindeki dosya sistemi izinleri	evet
`fs.credentials_dir.perms_readable`	uyarı	Başkaları kanal kimlik bilgisi durumunu okuyabilir	`~/.openclaw/credentials` üzerindeki dosya sistemi izinleri	evet
`fs.sessions_store.perms_readable`	uyarı	Başkaları oturum dökümlerini/meta verileri okuyabilir	oturum deposu izinleri	evet
`fs.log_file.perms_readable`	uyarı	Başkaları redakte edilmiş ama yine de hassas günlükleri okuyabilir	gateway günlük dosyası izinleri	evet
`fs.synced_dir`	uyarı	iCloud/Dropbox/Drive içindeki durum/config token/transcript açığa çıkmasını genişletir	config/state’i eşitlenen klasörlerden taşıyın	hayır
`gateway.bind_no_auth`	kritik	Paylaşılan sır olmadan uzaktan bind	`gateway.bind`, `gateway.auth.*`	hayır
`gateway.loopback_no_auth`	kritik	Reverse-proxied loopback kimlik doğrulamasız hale gelebilir	`gateway.auth.*`, proxy kurulumu	hayır
`gateway.trusted_proxies_missing`	uyarı	Reverse-proxy başlıkları mevcut ama güvenilmiyor	`gateway.trustedProxies`	hayır
`gateway.http.no_auth`	uyarı/kritik	`auth.mode="none"` ile Gateway HTTP API’lerine erişilebilir	`gateway.auth.mode`, `gateway.http.endpoints.*`	hayır
`gateway.http.session_key_override_enabled`	bilgi	HTTP API çağıranları `sessionKey` değerini geçersiz kılabilir	`gateway.http.allowSessionKeyOverride`	hayır
`gateway.tools_invoke_http.dangerous_allow`	uyarı/kritik	HTTP API üzerinden tehlikeli araçları yeniden etkinleştirir	`gateway.tools.allow`	hayır
`gateway.nodes.allow_commands_dangerous`	uyarı/kritik	Yüksek etkili node komutlarını etkinleştirir (kamera/ekran/kişiler/takvim/SMS)	`gateway.nodes.allowCommands`	hayır
`gateway.nodes.deny_commands_ineffective`	uyarı	Desen benzeri deny girdileri shell metni veya gruplarla eşleşmez	`gateway.nodes.denyCommands`	hayır
`gateway.tailscale_funnel`	kritik	Genel internet açığa çıkması	`gateway.tailscale.mode`	hayır
`gateway.tailscale_serve`	bilgi	Tailnet açığa çıkması Serve üzerinden etkin	`gateway.tailscale.mode`	hayır
`gateway.control_ui.allowed_origins_required`	kritik	Loopback dışı Control UI için açık tarayıcı origin izin listesi zorunlu	`gateway.controlUi.allowedOrigins`	hayır
`gateway.control_ui.allowed_origins_wildcard`	uyarı/kritik	`allowedOrigins=["*"]` tarayıcı-origin allowlisting’i devre dışı bırakır	`gateway.controlUi.allowedOrigins`	hayır
`gateway.control_ui.host_header_origin_fallback`	uyarı/kritik	Host-header origin fallback’i etkinleştirir (DNS rebinding sertleştirmesini düşürür)	`gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`	hayır
`gateway.control_ui.insecure_auth`	uyarı	Güvensiz auth uyumluluk seçeneği etkin	`gateway.controlUi.allowInsecureAuth`	hayır
`gateway.control_ui.device_auth_disabled`	kritik	Cihaz kimliği denetimini devre dışı bırakır	`gateway.controlUi.dangerouslyDisableDeviceAuth`	hayır
`gateway.real_ip_fallback_enabled`	uyarı/kritik	`X-Real-IP` fallback’ine güvenmek proxy yanlış yapılandırmasıyla kaynak-IP taklidine izin verebilir	`gateway.allowRealIpFallback`, `gateway.trustedProxies`	hayır
`gateway.token_too_short`	uyarı	Kısa paylaşılan token kaba kuvvetle kırılmaya daha uygundur	`gateway.auth.token`	hayır
`gateway.auth_no_rate_limit`	uyarı	Oran sınırlaması olmadan açık auth, kaba kuvvet riskini artırır	`gateway.auth.rateLimit`	hayır
`gateway.trusted_proxy_auth`	kritik	Proxy kimliği artık auth sınırı haline gelir	`gateway.auth.mode="trusted-proxy"`	hayır
`gateway.trusted_proxy_no_proxies`	kritik	Güvenilen proxy IP’leri olmadan trusted-proxy auth güvensizdir	`gateway.trustedProxies`	hayır
`gateway.trusted_proxy_no_user_header`	kritik	Trusted-proxy auth kullanıcı kimliğini güvenli şekilde çözemiyor	`gateway.auth.trustedProxy.userHeader`	hayır
`gateway.trusted_proxy_no_allowlist`	uyarı	Trusted-proxy auth kimliği doğrulanmış tüm upstream kullanıcılarını kabul eder	`gateway.auth.trustedProxy.allowUsers`	hayır
`gateway.probe_auth_secretref_unavailable`	uyarı	Deep probe bu komut yolunda auth SecretRef’lerini çözemedi	deep-probe auth kaynağı / SecretRef kullanılabilirliği	hayır
`gateway.probe_failed`	uyarı/kritik	Canlı Gateway probe başarısız oldu	gateway erişilebilirliği/auth	hayır
`discovery.mdns_full_mode`	uyarı/kritik	mDNS full mode yerel ağda `cliPath`/`sshPort` meta verilerini ilan eder	`discovery.mdns.mode`, `gateway.bind`	hayır
`config.insecure_or_dangerous_flags`	uyarı	Herhangi bir insecure/dangerous hata ayıklama bayrağı etkin	birden çok anahtar (ayrıntılar için bulguya bakın)	hayır
`config.secrets.gateway_password_in_config`	uyarı	Gateway parolası doğrudan config içinde saklanıyor	`gateway.auth.password`	hayır
`config.secrets.hooks_token_in_config`	uyarı	Hook bearer token’ı doğrudan config içinde saklanıyor	`hooks.token`	hayır
`hooks.token_reuse_gateway_token`	kritik	Hook giriş token’ı aynı zamanda Gateway auth kilidini açıyor	`hooks.token`, `gateway.auth.token`	hayır
`hooks.token_too_short`	uyarı	Hook ingress için kaba kuvvet daha kolay	`hooks.token`	hayır
`hooks.default_session_key_unset`	uyarı	Hook agent çalıştırmaları üretilen istek başına oturumlara yayılır	`hooks.defaultSessionKey`	hayır
`hooks.allowed_agent_ids_unrestricted`	uyarı/kritik	Kimliği doğrulanmış hook çağıranları yapılandırılmış herhangi bir agent’a yönlenebilir	`hooks.allowedAgentIds`	hayır
`hooks.request_session_key_enabled`	uyarı/kritik	Harici çağıran `sessionKey` seçebilir	`hooks.allowRequestSessionKey`	hayır
`hooks.request_session_key_prefixes_missing`	uyarı/kritik	Harici session key şekillerinde sınır yok	`hooks.allowedSessionKeyPrefixes`	hayır
`hooks.path_root`	kritik	Hook yolu `/`, bu da girişin çakışmasını veya yanlış yönlenmesini kolaylaştırır	`hooks.path`	hayır
`hooks.installs_unpinned_npm_specs`	uyarı	Hook kurulum kayıtları değiştirilemez npm spec’lerine sabitlenmemiş	hook kurulum meta verileri	hayır
`hooks.installs_missing_integrity`	uyarı	Hook kurulum kayıtlarında bütünlük meta verisi yok	hook kurulum meta verileri	hayır
`hooks.installs_version_drift`	uyarı	Hook kurulum kayıtları kurulu paketlerden sapmış	hook kurulum meta verileri	hayır
`logging.redact_off`	uyarı	Hassas değerler günlük/status içine sızar	`logging.redactSensitive`	evet
`browser.control_invalid_config`	uyarı	Tarayıcı kontrol config’i çalışma zamanından önce geçersiz	`browser.*`	hayır
`browser.control_no_auth`	kritik	Tarayıcı kontrolü token/password auth olmadan açık	`gateway.auth.*`	hayır
`browser.remote_cdp_http`	uyarı	Düz HTTP üzerinden uzak CDP taşıma şifrelemesine sahip değildir	tarayıcı profili `cdpUrl`	hayır
`browser.remote_cdp_private_host`	uyarı	Uzak CDP özel/iç host’u hedefliyor	tarayıcı profili `cdpUrl`, `browser.ssrfPolicy.*`	hayır
`sandbox.docker_config_mode_off`	uyarı	Sandbox Docker config’i mevcut ama etkin değil	`agents.*.sandbox.mode`	hayır
`sandbox.bind_mount_non_absolute`	uyarı	Göreli bind mount’lar öngörülemez şekilde çözülebilir	`agents.*.sandbox.docker.binds[]`	hayır
`sandbox.dangerous_bind_mount`	kritik	Sandbox bind mount, engellenmiş sistem, kimlik bilgisi veya Docker socket yollarını hedefler	`agents.*.sandbox.docker.binds[]`	hayır
`sandbox.dangerous_network_mode`	kritik	Sandbox Docker ağı `host` veya `container:*` namespace-join modunu kullanır	`agents.*.sandbox.docker.network`	hayır
`sandbox.dangerous_seccomp_profile`	kritik	Sandbox seccomp profili kapsayıcı izolasyonunu zayıflatır	`agents.*.sandbox.docker.securityOpt`	hayır
`sandbox.dangerous_apparmor_profile`	kritik	Sandbox AppArmor profili kapsayıcı izolasyonunu zayıflatır	`agents.*.sandbox.docker.securityOpt`	hayır
`sandbox.browser_cdp_bridge_unrestricted`	uyarı	Sandbox tarayıcı köprüsü kaynak aralığı kısıtlaması olmadan açık	`sandbox.browser.cdpSourceRange`	hayır
`sandbox.browser_container.non_loopback_publish`	kritik	Var olan tarayıcı kapsayıcısı CDP’yi loopback dışı arayüzlerde yayımlar	tarayıcı sandbox kapsayıcı publish config’i	hayır
`sandbox.browser_container.hash_label_missing`	uyarı	Var olan tarayıcı kapsayıcısı geçerli config-hash etiketlerinden önceye ait	`openclaw sandbox recreate --browser --all`	hayır
`sandbox.browser_container.hash_epoch_stale`	uyarı	Var olan tarayıcı kapsayıcısı geçerli tarayıcı config epoch’undan önceye ait	`openclaw sandbox recreate --browser --all`	hayır
`tools.exec.host_sandbox_no_sandbox_defaults`	uyarı	`exec host=sandbox`, sandbox kapalıyken başarısız olur	`tools.exec.host`, `agents.defaults.sandbox.mode`	hayır
`tools.exec.host_sandbox_no_sandbox_agents`	uyarı	Agent başına `exec host=sandbox`, sandbox kapalıyken başarısız olur	`agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`	hayır
`tools.exec.security_full_configured`	uyarı/kritik	Host exec `security="full"` ile çalışıyor	`tools.exec.security`, `agents.list[].tools.exec.security`	hayır
`tools.exec.auto_allow_skills_enabled`	uyarı	Exec onayları skill bin’lerine örtük olarak güvenir	`~/.openclaw/exec-approvals.json`	hayır
`tools.exec.allowlist_interpreter_without_strict_inline_eval`	uyarı	Yorumlayıcı izin listeleri zorunlu yeniden onay olmadan satır içi eval’e izin verir	`tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, exec approvals allowlist	hayır
`tools.exec.safe_bins_interpreter_unprofiled`	uyarı	`safeBins` içindeki yorumlayıcı/çalışma zamanı bin’leri açık profiller olmadan exec riskini genişletir	`tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`	hayır
`tools.exec.safe_bins_broad_behavior`	uyarı	`safeBins` içindeki geniş davranışlı araçlar düşük riskli stdin-filter güven modelini zayıflatır	`tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`	hayır
`tools.exec.safe_bin_trusted_dirs_risky`	uyarı	`safeBinTrustedDirs` değiştirilebilir veya riskli dizinleri içerir	`tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`	hayır
`skills.workspace.symlink_escape`	uyarı	Çalışma alanı `skills/**/SKILL.md`, çalışma alanı kökü dışına çözülüyor (symlink-chain drift)	çalışma alanı `skills/**` dosya sistemi durumu	hayır
`plugins.extensions_no_allowlist`	uyarı	Açık bir plugin allowlist olmadan uzantılar yüklü	`plugins.allowlist`	hayır
`plugins.installs_unpinned_npm_specs`	uyarı	Plugin kurulum kayıtları değiştirilemez npm spec’lerine sabitlenmemiş	plugin kurulum meta verileri	hayır
`plugins.installs_missing_integrity`	uyarı	Plugin kurulum kayıtlarında bütünlük meta verisi yok	plugin kurulum meta verileri	hayır
`plugins.installs_version_drift`	uyarı	Plugin kurulum kayıtları kurulu paketlerden sapmış	plugin kurulum meta verileri	hayır
`plugins.code_safety`	uyarı/kritik	Plugin kod taraması şüpheli veya tehlikeli desenler buldu	plugin kodu / kurulum kaynağı	hayır
`plugins.code_safety.entry_path`	uyarı	Plugin giriş yolu gizli veya `node_modules` konumlarını işaret ediyor	plugin manifest `entry`	hayır
`plugins.code_safety.entry_escape`	kritik	Plugin girişi plugin dizininden dışarı taşıyor	plugin manifest `entry`	hayır
`plugins.code_safety.scan_failed`	uyarı	Plugin kod taraması tamamlanamadı	plugin uzantı yolu / tarama ortamı	hayır
`skills.code_safety`	uyarı/kritik	Skill yükleyici meta verisi/kodu şüpheli veya tehlikeli desenler içeriyor	skill kurulum kaynağı	hayır
`skills.code_safety.scan_failed`	uyarı	Skill kod taraması tamamlanamadı	skill tarama ortamı	hayır
`security.exposure.open_channels_with_exec`	uyarı/kritik	Paylaşılan/genel odalar exec etkin agent’lara ulaşabilir	`channels..dmPolicy`, `channels..groupPolicy`, `tools.exec.`, `agents.list[].tools.exec.`	hayır
`security.exposure.open_groups_with_elevated`	kritik	Açık gruplar + yükseltilmiş araçlar yüksek etkili prompt-enjeksiyon yolları oluşturur	`channels..groupPolicy`, `tools.elevated.`	hayır
`security.exposure.open_groups_with_runtime_or_fs`	kritik/uyarı	Açık gruplar sandbox/çalışma alanı korumaları olmadan komut/dosya araçlarına ulaşabilir	`channels..groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents..sandbox.mode`	hayır
`security.trust_model.multi_user_heuristic`	uyarı	Config çok kullanıcılı görünüyor ama gateway güven modeli kişisel asistan	güven sınırlarını ayırın veya paylaşılan kullanıcı sertleştirmesi (`sandbox.mode`, tool deny/workspace scoping)	hayır
`tools.profile_minimal_overridden`	uyarı	Agent geçersiz kılmaları genel minimal profili aşar	`agents.list[].tools.profile`	hayır
`plugins.tools_reachable_permissive_policy`	uyarı	Uzantı araçları gevşek bağlamlarda erişilebilir	`tools.profile` + tool allow/deny	hayır
`models.legacy`	uyarı	Legacy model aileleri hâlâ yapılandırılmış	model seçimi	hayır
`models.weak_tier`	uyarı	Yapılandırılmış modeller güncel önerilen seviyelerin altında	model seçimi	hayır
`models.small_params`	kritik/bilgi	Küçük modeller + güvensiz araç yüzeyleri enjeksiyon riskini artırır	model seçimi + sandbox/araç ilkesi	hayır
`summary.attack_surface`	bilgi	Auth, kanal, araç ve açığa çıkma duruşunun toplu özeti	birden çok anahtar (ayrıntılar için bulguya bakın)	hayır

HTTP üzerinden Control UI

Control UI cihaz kimliği oluşturmak için bir güvenli bağlama (HTTPS veya localhost) ihtiyaç duyar. gateway.controlUi.allowInsecureAuth yerel bir uyumluluk anahtarıdır:

Localhost’ta, sayfa güvenli olmayan HTTP üzerinden yüklendiğinde cihaz kimliği olmadan Control UI auth’a izin verir.
Eşleştirme kontrollerini atlamaz.
Uzak (localhost dışı) cihaz kimliği gereksinimlerini gevşetmez.

HTTPS (Tailscale Serve) tercih edin veya UI’ı 127.0.0.1 üzerinde açın. Yalnızca acil durum senaryoları için gateway.controlUi.dangerouslyDisableDeviceAuth cihaz kimliği kontrollerini tamamen devre dışı bırakır. Bu ciddi bir güvenlik düşüşüdür; yalnızca aktif olarak hata ayıklıyorsanız ve hızla geri alabiliyorsanız açık tutun. Bu tehlikeli bayraklardan ayrı olarak, başarılı gateway.auth.mode: "trusted-proxy" operatör Control UI oturumlarını cihaz kimliği olmadan kabul edebilir. Bu, allowInsecureAuth kısayolu değil, kasıtlı bir auth modu davranışıdır ve yine de node-role Control UI oturumlarına uzanmaz. openclaw security audit, bu ayar etkin olduğunda uyarır.

Güvensiz veya tehlikeli bayraklar özeti

openclaw security audit, bilinen güvensiz/tehlikeli hata ayıklama anahtarları etkin olduğunda config.insecure_or_dangerous_flags bulgusunu içerir. Bu kontrol şu anda şunları toplar:

gateway.controlUi.allowInsecureAuth=true
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
gateway.controlUi.dangerouslyDisableDeviceAuth=true
hooks.gmail.allowUnsafeExternalContent=true
hooks.mappings[<index>].allowUnsafeExternalContent=true
tools.exec.applyPatch.workspaceOnly=false
plugins.entries.acpx.config.permissionMode=approve-all

OpenClaw config şemasında tanımlı tam dangerous* / dangerously* anahtarları:

gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.controlUi.dangerouslyDisableDeviceAuth
browser.ssrfPolicy.dangerouslyAllowPrivateNetwork
channels.discord.dangerouslyAllowNameMatching
channels.discord.accounts.<accountId>.dangerouslyAllowNameMatching
channels.slack.dangerouslyAllowNameMatching
channels.slack.accounts.<accountId>.dangerouslyAllowNameMatching
channels.googlechat.dangerouslyAllowNameMatching
channels.googlechat.accounts.<accountId>.dangerouslyAllowNameMatching
channels.msteams.dangerouslyAllowNameMatching
channels.synology-chat.dangerouslyAllowNameMatching (uzantı kanalı)
channels.synology-chat.accounts.<accountId>.dangerouslyAllowNameMatching (uzantı kanalı)
channels.synology-chat.dangerouslyAllowInheritedWebhookPath (uzantı kanalı)
channels.zalouser.dangerouslyAllowNameMatching (uzantı kanalı)
channels.zalouser.accounts.<accountId>.dangerouslyAllowNameMatching (uzantı kanalı)
channels.irc.dangerouslyAllowNameMatching (uzantı kanalı)
channels.irc.accounts.<accountId>.dangerouslyAllowNameMatching (uzantı kanalı)
channels.mattermost.dangerouslyAllowNameMatching (uzantı kanalı)
channels.mattermost.accounts.<accountId>.dangerouslyAllowNameMatching (uzantı kanalı)
channels.telegram.network.dangerouslyAllowPrivateNetwork
channels.telegram.accounts.<accountId>.network.dangerouslyAllowPrivateNetwork
agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin
agents.list[<index>].sandbox.docker.dangerouslyAllowReservedContainerTargets
agents.list[<index>].sandbox.docker.dangerouslyAllowExternalBindSources
agents.list[<index>].sandbox.docker.dangerouslyAllowContainerNamespaceJoin

Ters Proxy Yapılandırması

Gateway’i bir ters proxy’nin (nginx, Caddy, Traefik vb.) arkasında çalıştırıyorsanız, doğru iletilen istemci IP işlemesi için gateway.trustedProxies ayarını yapılandırın. Gateway, trustedProxies içinde olmayan bir adresten gelen proxy başlıklarını algıladığında, bağlantıları yerel istemci olarak değerlendirmez. Gateway auth devre dışıysa, bu bağlantılar reddedilir. Bu, proxied bağlantıların aksi halde localhost’tan geliyormuş gibi görünerek otomatik güven alacağı kimlik doğrulama atlamasını önler. gateway.trustedProxies ayrıca gateway.auth.mode: "trusted-proxy" modunu da besler, ancak bu auth modu daha katıdır:

trusted-proxy auth loopback-kaynaklı proxy’lerde fail closed olur
aynı host üzerindeki loopback ters proxy’ler yine de yerel istemci algılama ve iletilen IP işleme için gateway.trustedProxies kullanabilir
aynı host üzerindeki loopback ters proxy’ler için gateway.auth.mode: "trusted-proxy" yerine token/password auth kullanın

gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # İsteğe bağlı. Varsayılan false.
  # Yalnızca proxy'niz X-Forwarded-For sağlayamıyorsa etkinleştirin.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}

trustedProxies yapılandırıldığında Gateway, istemci IP’sini belirlemek için X-Forwarded-For kullanır. gateway.allowRealIpFallback: true açıkça ayarlanmadıkça X-Real-IP varsayılan olarak yok sayılır. İyi ters proxy davranışı (gelen iletme başlıklarını üzerine yaz):

proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;

Kötü ters proxy davranışı (güvenilmeyen iletme başlıklarını ekle/koru):

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

HSTS ve origin notları

OpenClaw gateway önce yerel/loopback düşünür. TLS’yi bir ters proxy’de sonlandırıyorsanız, proxy’ye bakan HTTPS etki alanında HSTS’yi orada ayarlayın.
Gateway HTTPS’yi kendisi sonlandırıyorsa, OpenClaw yanıtlarından HSTS başlığını yayımlamak için gateway.http.securityHeaders.strictTransportSecurity ayarlayabilirsiniz.
Ayrıntılı dağıtım kılavuzu Trusted Proxy Auth içindedir.
Loopback dışı Control UI dağıtımları için gateway.controlUi.allowedOrigins varsayılan olarak gereklidir.
gateway.controlUi.allowedOrigins: ["*"] sertleştirilmiş bir varsayılan değil, açıkça herkese izin veren bir tarayıcı-origin ilkesidir. Sıkı denetimli yerel testler dışında bundan kaçının.
Loopback üzerinde tarayıcı-origin auth başarısızlıkları, genel loopback muafiyeti etkin olsa bile yine de oran sınırlıdır; ancak kilitlenme anahtarı tek bir paylaşılan localhost havuzu yerine normalize edilmiş Origin değeri başına kapsamlandırılır.
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true, Host-header origin fallback modunu etkinleştirir; bunu operatör tarafından seçilmiş tehlikeli bir ilke olarak değerlendirin.
DNS rebinding ve proxy host-header davranışını dağıtım sertleştirme konusu olarak ele alın; trustedProxies listesini dar tutun ve gateway’i doğrudan genel internete açmaktan kaçının.

Yerel oturum günlükleri disk üzerinde yaşar

OpenClaw oturum dökümlerini disk üzerinde ~/.openclaw/agents/<agentId>/sessions/*.jsonl altında saklar. Bu, oturum sürekliliği ve (isteğe bağlı olarak) oturum hafızası indekslemesi için gereklidir, ancak aynı zamanda dosya sistemi erişimi olan herhangi bir süreç/kullanıcının bu günlükleri okuyabileceği anlamına gelir. Disk erişimini güven sınırı olarak değerlendirin ve ~/.openclaw üzerindeki izinleri sıkılaştırın (aşağıdaki denetim bölümüne bakın). Agent’lar arasında daha güçlü izolasyona ihtiyacınız varsa, bunları ayrı OS kullanıcıları veya ayrı host’lar altında çalıştırın.

Node yürütmesi (`system.run`)

Bir macOS node eşleştirildiyse Gateway o node üzerinde system.run çağırabilir. Bu, Mac üzerinde uzak kod yürütme demektir:

Node eşleştirmesi gerekir (onay + token).
Gateway node eşleştirmesi komut başına onay yüzeyi değildir. Node kimliğini/güvenini ve token verilmesini oluşturur.
Gateway, gateway.nodes.allowCommands / denyCommands üzerinden kaba bir genel node komut ilkesi uygular.
Mac’te Settings → Exec approvals üzerinden kontrol edilir (security + ask + allowlist).
Node başına system.run ilkesi, node’un kendi exec approvals dosyasıdır (exec.approvals.node.*); bu, gateway’in genel komut-kimliği ilkesinden daha sıkı veya daha gevşek olabilir.
security="full" ve ask="off" ile çalışan bir node, varsayılan güvenilen-operatör modelini izliyor demektir. Dağıtımınız açıkça daha sıkı bir onay veya allowlist duruşu gerektirmiyorsa bunu beklenen davranış olarak değerlendirin.
Onay modu tam istek bağlamını ve mümkün olduğunda tek bir somut yerel script/dosya operandını bağlar. OpenClaw bir yorumlayıcı/çalışma zamanı komutu için tam olarak bir doğrudan yerel dosya belirleyemezse, tam anlamsal kapsama vaat etmek yerine onaya dayalı yürütme reddedilir.
host=node için onay destekli çalıştırmalar ayrıca kanonik bir hazırlanmış systemRunPlan saklar; daha sonra onaylanan iletmeler bu saklanan planı yeniden kullanır ve gateway doğrulaması onay isteği oluşturulduktan sonra çağıranın komut/cwd/oturum bağlamı düzenlemelerini reddeder.
Uzak yürütme istemiyorsanız, security değerini deny yapın ve o Mac için node eşleştirmesini kaldırın.

Bu ayrım değerlendirme için önemlidir:

Yeniden bağlanan eşleştirilmiş bir node’un farklı komut listesi ilan etmesi, Gateway genel ilkesi ve node’un yerel exec onayları gerçek yürütme sınırını hâlâ uyguluyorsa tek başına bir güvenlik açığı değildir.
Node eşleştirme meta verilerini ikinci gizli komut başına onay katmanı gibi değerlendiren raporlar genellikle güvenlik sınırı aşımı değil, ilke/UX karışıklığıdır.

Dinamik Skills (izleyici / uzak node’lar)

OpenClaw oturum ortasında Skills listesini yenileyebilir:

Skills watcher: SKILL.md içindeki değişiklikler sonraki agent dönüşünde skills anlık görüntüsünü güncelleyebilir.
Uzak node’lar: bir macOS node bağlandığında yalnızca macOS’a özgü Skills uygun hale gelebilir (bin probing’e göre).

Skill klasörlerini güvenilen kod olarak değerlendirin ve bunları kimin değiştirebileceğini kısıtlayın.

Tehdit Modeli

AI asistanınız şunları yapabilir:

İstediği shell komutlarını yürütebilir
Dosyaları okuyabilir/yazabilir
Ağ hizmetlerine erişebilir
Herkese mesaj gönderebilir (ona WhatsApp erişimi verirseniz)

Size mesaj atan kişiler şunları yapabilir:

AI’nızı kötü şeyler yapması için kandırmaya çalışabilir
Verilerinize erişim için sosyal mühendislik yapabilir
Altyapı ayrıntılarını yoklayabilir

Temel kavram: zekadan önce erişim kontrolü

Buradaki başarısızlıkların çoğu gösterişli açıklar değildir — “birisi bota mesaj attı ve bot kendisinden isteneni yaptı” türündedir. OpenClaw’ın yaklaşımı:

Önce kimlik: botla kimin konuşabileceğine karar verin (DM pairing / allowlists / açık “open”).
Sonra kapsam: botun nerede işlem yapmasına izin verildiğine karar verin (grup allowlists + mention gating, araçlar, sandboxing, cihaz izinleri).
En son model: modelin manipüle edilebileceğini varsayın; tasarımı, manipülasyonun etki alanı sınırlı olacak şekilde yapın.

Komut yetkilendirme modeli

Slash komutları ve direktifler yalnızca yetkili göndericiler için dikkate alınır. Yetkilendirme, kanal allowlists/pairing ve commands.useAccessGroups üzerinden türetilir (bkz. Configuration ve Slash commands). Bir kanal allowlist boşsa veya "*" içeriyorsa, komutlar bu kanal için fiilen açıktır. /exec, yetkili operatörler için oturumla sınırlı bir kolaylıktır. Config yazmaz veya başka oturumları değiştirmez.

Kontrol düzlemi araç riski

İki yerleşik araç kalıcı kontrol düzlemi değişiklikleri yapabilir:

gateway, config.schema.lookup / config.get ile config’i inceleyebilir ve config.apply, config.patch ve update.run ile kalıcı değişiklikler yapabilir.
cron, özgün sohbet/görev bittikten sonra da çalışmaya devam eden zamanlanmış işler oluşturabilir.

Yalnızca sahibine ait gateway çalışma zamanı aracı, hâlâ tools.exec.ask veya tools.exec.security değerlerini yeniden yazmayı reddeder; legacy tools.bash.* takma adları da yazımdan önce aynı korunan exec yollarına normalize edilir. Güvenilmeyen içerikle ilgilenen herhangi bir agent/yüzey için bunları varsayılan olarak reddedin:

{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}

commands.restart=false yalnızca yeniden başlatma eylemlerini engeller. gateway config/update eylemlerini devre dışı bırakmaz.

Plugins/extensions

Plugins, Gateway ile aynı süreç içinde çalışır. Bunları güvenilen kod olarak değerlendirin:

Yalnızca güvendiğiniz kaynaklardan plugin kurun.
Açık plugins.allow izin listelerini tercih edin.
Etkinleştirmeden önce plugin config’ini gözden geçirin.
Plugin değişikliklerinden sonra Gateway’i yeniden başlatın.
Plugin kurar veya güncellerseniz (openclaw plugins install <package>, openclaw plugins update <id>), bunu güvenilmeyen kod çalıştırmak gibi değerlendirin:
- Kurulum yolu, etkin plugin kurulum kökü altındaki plugin başına dizindir.
- OpenClaw, kurulum/güncelleme öncesinde yerleşik tehlikeli kod taraması çalıştırır. critical bulgular varsayılan olarak engeller.
- OpenClaw, npm pack kullanır ve sonra o dizinde npm install --omit=dev çalıştırır (npm yaşam döngüsü script’leri kurulum sırasında kod çalıştırabilir).
- Sabitlenmiş, tam sürümleri tercih edin (@scope/pkg@1.2.3) ve etkinleştirmeden önce diskte açılmış kodu inceleyin.
- --dangerously-force-unsafe-install, plugin kurulum/güncelleme akışlarındaki yerleşik tarama yanlış pozitifleri için yalnızca acil durum anahtarıdır. Plugin before_install hook ilke engellerini ve tarama hatalarını atlatmaz.
- Gateway destekli skill bağımlılık kurulumları da aynı tehlikeli/şüpheli ayrımını izler: yerleşik critical bulgular, çağıran açıkça dangerouslyForceUnsafeInstall ayarlamadıkça engellenir; şüpheli bulgular yine yalnızca uyarır. openclaw skills install, ayrı ClawHub skill indirme/kurma akışı olarak kalır.

Ayrıntılar: Plugins

DM erişim modeli (pairing / allowlist / open / disabled)

Tüm mevcut DM destekli kanallar, gelen DM’leri mesaj işlenmeden önce denetleyen bir DM ilkesini (dmPolicy veya *.dm.policy) destekler:

pairing (varsayılan): bilinmeyen göndericiler kısa bir eşleştirme kodu alır ve bot, onlar onaylanana kadar mesajlarını yok sayar. Kodlar 1 saat sonra sona erer; tekrar edilen DM’ler yeni bir istek oluşana kadar kodu yeniden göndermez. Bekleyen istekler varsayılan olarak kanal başına 3 ile sınırlıdır.
allowlist: bilinmeyen göndericiler engellenir (eşleştirme handshake’i yok).
open: herkesin DM göndermesine izin verilir (genel). Kanal allowlist’inde "*" bulunmasını gerektirir (açık katılım).
disabled: gelen DM’leri tamamen yok sayar.

CLI ile onaylayın:

openclaw pairing list <channel>
openclaw pairing approve <channel> <code>

Ayrıntılar + disk üzerindeki dosyalar: Pairing

DM oturum izolasyonu (çok kullanıcılı mod)

Varsayılan olarak OpenClaw tüm DM’leri ana oturuma yönlendirir, böylece asistanınız cihazlar ve kanallar arasında süreklilik kazanır. Eğer birden fazla kişi bota DM gönderebiliyorsa (açık DM’ler veya çok kişili bir allowlist), DM oturumlarını izole etmeyi düşünün:

{
  session: { dmScope: "per-channel-peer" },
}

Bu, grup sohbetlerini izole tutarken kullanıcılar arası bağlam sızıntısını önler. Bu bir mesajlaşma bağlamı sınırıdır, host-admin sınırı değildir. Kullanıcılar karşılıklı olarak düşmancaysa ve aynı Gateway host/config’i paylaşıyorsa, güven sınırı başına ayrı gateway’ler çalıştırın.

Güvenli DM modu (önerilir)

Yukarıdaki parçayı güvenli DM modu olarak değerlendirin:

Varsayılan: session.dmScope: "main" (tüm DM’ler süreklilik için bir oturumu paylaşır).
Yerel CLI onboarding varsayılanı: ayarsızsa session.dmScope: "per-channel-peer" yazar (mevcut açık değerleri korur).
Güvenli DM modu: session.dmScope: "per-channel-peer" (her kanal+gönderici çifti yalıtılmış bir DM bağlamı alır).
Kanallar arası eş izolasyonu: session.dmScope: "per-peer" (her gönderici aynı türdeki tüm kanallarda tek bir oturum alır).

Aynı kanalda birden çok hesap çalıştırıyorsanız bunun yerine per-account-channel-peer kullanın. Aynı kişi size birden çok kanaldan ulaşıyorsa, bu DM oturumlarını tek bir kanonik kimlik altında toplamak için session.identityLinks kullanın. Bkz. Session Management ve Configuration.

İzin listeleri (DM + gruplar) - terminoloji

OpenClaw iki ayrı “beni kim tetikleyebilir?” katmanına sahiptir:

DM allowlist (allowFrom / channels.discord.allowFrom / channels.slack.allowFrom; legacy: channels.discord.dm.allowFrom, channels.slack.dm.allowFrom): doğrudan mesajlarda botla kimin konuşmasına izin verildiği.
- dmPolicy="pairing" olduğunda, onaylar ~/.openclaw/credentials/ altındaki hesaba kapsamlı pairing allowlist deposuna yazılır (<channel>-allowFrom.json varsayılan hesap için, <channel>-<accountId>-allowFrom.json varsayılan olmayan hesaplar için) ve config allowlist’leriyle birleştirilir.
Grup allowlist (kanala özgü): botun hangi grup/kanal/guild’den gelen mesajları kabul edeceği.
- Yaygın desenler:
  - channels.whatsapp.groups, channels.telegram.groups, channels.imessage.groups: requireMention gibi grup başına varsayılanlar; ayarlandığında aynı zamanda grup allowlist görevi görür (herkese izin veren davranışı korumak için "*" ekleyin).
  - groupPolicy="allowlist" + groupAllowFrom: botu bir grup oturumu içinde kimin tetikleyebileceğini kısıtlar (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
  - channels.discord.guilds / channels.slack.channels: yüzey başına allowlists + mention varsayılanları.
- Grup kontrolleri şu sırayla çalışır: önce groupPolicy/group allowlists, sonra mention/reply aktivasyonu.
- Bir bot mesajına yanıt vermek (örtük mention) groupAllowFrom gibi gönderici allowlist’lerini atlatmaz.
- Güvenlik notu: dmPolicy="open" ve groupPolicy="open" ayarlarını son çare olarak değerlendirin. Bunlar neredeyse hiç kullanılmamalıdır; odadaki herkese tamamen güvenmiyorsanız pairing + allowlists tercih edin.

Ayrıntılar: Configuration ve Groups

Prompt enjeksiyonu (nedir, neden önemlidir)

Prompt enjeksiyonu, saldırganın modeli güvensiz bir şey yapması için manipüle eden bir mesaj hazırlamasıdır (“talimatlarını yok say”, “dosya sistemini dök”, “bu bağlantıyı izle ve komut çalıştır” vb.). Güçlü sistem istemleri olsa bile, prompt enjeksiyonu çözülmüş değildir. Sistem istemi korumaları yalnızca yumuşak rehberliktir; sert uygulama araç ilkesi, exec onayları, sandboxing ve kanal allowlists’ten gelir (ve operatörler bunları tasarım gereği devre dışı bırakabilir). Pratikte yardımcı olan şeyler:

Gelen DM’leri kilitli tutun (pairing/allowlists).
Gruplarda mention gating tercih edin; genel odalarda “her zaman açık” botlardan kaçının.
Bağlantıları, ekleri ve yapıştırılmış talimatları varsayılan olarak düşmanca kabul edin.
Hassas araç yürütmesini sandbox içinde çalıştırın; sırları agent’ın erişebildiği dosya sisteminden uzak tutun.
Not: sandboxing isteğe bağlıdır. Sandbox modu kapalıysa, örtük host=auto gateway host’una çözülür. Açık host=sandbox, kullanılabilir sandbox çalışma zamanı olmadığından yine de fail closed olur. Bu davranışı config içinde açık hale getirmek istiyorsanız host=gateway ayarlayın.
Yüksek riskli araçları (exec, browser, web_fetch, web_search) güvenilen agent’larla veya açık allowlist’lerle sınırlayın.
Yorumlayıcıları allowlist’e alıyorsanız (python, node, ruby, perl, php, lua, osascript), satır içi eval biçimlerinin yine açık onay gerektirmesi için tools.exec.strictInlineEval etkinleştirin.
Model seçimi önemlidir: daha eski/küçük/legacy modeller, prompt enjeksiyonu ve araç kötüye kullanımı karşısında belirgin biçimde daha zayıftır. Araç etkin agent’lar için mevcut en güçlü son nesil, talimata dayanıklı modeli kullanın.

Güvenilmeyen olarak değerlendirilmesi gereken kırmızı bayraklar:

“Bu dosyayı/URL’yi oku ve tam olarak söylediğini yap.”
“Sistem istemini veya güvenlik kurallarını yok say.”
“Gizli talimatlarını veya araç çıktılarını açıkla.”
“~/.openclaw veya günlüklerinin tam içeriğini yapıştır.”

Güvensiz harici içerik bypass bayrakları

OpenClaw, harici içerik güvenlik sarmalamasını devre dışı bırakan açık bypass bayrakları içerir:

hooks.mappings[].allowUnsafeExternalContent
hooks.gmail.allowUnsafeExternalContent
Cron payload alanı allowUnsafeExternalContent

Kılavuz:

Üretimde bunları ayarsız/false tutun.
Yalnızca sıkı kapsamlı hata ayıklama için geçici olarak etkinleştirin.
Etkinleştirilmişse, o agent’ı izole edin (sandbox + minimal tools + dedicated session namespace).

Hook risk notu:

Hook payload’ları, teslimat sizin kontrol ettiğiniz sistemlerden gelse bile güvenilmeyen içeriktir (posta/doküman/web içeriği prompt enjeksiyonu taşıyabilir).
Zayıf model seviyeleri bu riski artırır. Hook tabanlı otomasyon için güçlü modern model seviyelerini tercih edin ve araç ilkesini sıkı tutun (tools.profile: "messaging" veya daha katı), mümkünse sandboxing ile birlikte.

Prompt enjeksiyonu için genel DM gerekmez

Bota mesaj gönderebilen kişi yalnızca siz olsanız bile, prompt enjeksiyonu botun okuduğu herhangi bir güvenilmeyen içerik yoluyla yine de olabilir (web search/fetch sonuçları, tarayıcı sayfaları, e-postalar, dokümanlar, ekler, yapıştırılmış günlükler/kod). Başka bir deyişle: tehdit yüzeyi yalnızca gönderici değildir; içeriğin kendisi de düşmanca talimatlar taşıyabilir. Araçlar etkin olduğunda tipik risk, bağlamın sızdırılması veya araç çağrılarının tetiklenmesidir. Etki alanını şu yollarla azaltın:

Güvenilmeyen içeriği özetlemek için salt okunur veya araçları devre dışı bir reader agent kullanın, sonra özeti ana agent’ınıza aktarın.
Gerekmedikçe araç etkin agent’lar için web_search / web_fetch / browser kapalı tutun.
OpenResponses URL girdileri (input_file / input_image) için sıkı gateway.http.endpoints.responses.files.urlAllowlist ve gateway.http.endpoints.responses.images.urlAllowlist ayarlayın ve maxUrlParts değerini düşük tutun. Boş allowlists ayarsız kabul edilir; URL getirmeyi tamamen devre dışı bırakmak istiyorsanız files.allowUrl: false / images.allowUrl: false kullanın.
OpenResponses dosya girdileri için, çözümlenen input_file metni yine de güvenilmeyen harici içerik olarak enjekte edilir. Dosya metninin, sırf Gateway onu yerel olarak çözdü diye güvenilir olduğunu varsaymayın. Enjekte edilen blok hâlâ açık <<<EXTERNAL_UNTRUSTED_CONTENT ...>>> sınır işaretleri ve Source: External meta verisini taşır, her ne kadar bu yol daha uzun SECURITY NOTICE: afişini içermese de.
Aynı işaretleyici temelli sarmalama, media-understanding ekli belgelerden metin çıkardığında ve bu metni medya istemine eklediğinde de uygulanır.
Güvenilmeyen girdiye dokunan her agent için sandboxing ve sıkı araç allowlist’leri etkinleştirmek.
Sırları istemlerin dışında tutmak; bunları gateway host üzerinde env/config aracılığıyla vermek.

Model gücü (güvenlik notu)

Prompt enjeksiyonuna direnç, model seviyeleri arasında eşit değildir. Daha küçük/daha ucuz modeller, özellikle düşmanca istemler altında, araç kötüye kullanımı ve talimat ele geçirmeye genellikle daha yatkındır.

Araç etkin agent’lar veya güvenilmeyen içerik okuyan agent’lar için, eski/küçük modellerde prompt-enjeksiyon riski çoğu zaman çok yüksektir. Bu iş yüklerini zayıf model seviyelerinde çalıştırmayın.

Öneriler:

Araç çalıştırabilen veya dosyalara/ağlara dokunabilen herhangi bir bot için en son nesil, en iyi seviyedeki modeli kullanın.
Araç etkin agent’lar veya güvenilmeyen gelen kutuları için eski/zayıf/küçük seviyeleri kullanmayın; prompt-enjeksiyon riski çok yüksektir.
Daha küçük bir model kullanmanız gerekiyorsa, etki alanını azaltın (salt okunur araçlar, güçlü sandboxing, minimal dosya sistemi erişimi, sıkı allowlists).
Küçük modeller çalıştırırken tüm oturumlar için sandboxing’i etkinleştirin ve girdiler sıkı denetlenmiyorsa web_search/web_fetch/browser öğelerini devre dışı bırakın.
Güvenilen girdi ve araçsız, yalnızca sohbet odaklı kişisel asistanlar için daha küçük modeller genellikle uygundur.

Gruplarda reasoning ve verbose çıktı

/reasoning ve /verbose, genel bir kanal için amaçlanmamış dahili muhakemeyi veya araç çıktısını açığa çıkarabilir. Grup ayarlarında bunları yalnızca hata ayıklama olarak değerlendirin ve açıkça ihtiyacınız olmadıkça kapalı tutun. Kılavuz:

Genel odalarda /reasoning ve /verbose kapalı tutun.
Etkinleştirecekseniz, bunu yalnızca güvenilen DM’lerde veya sıkı denetimli odalarda yapın.
Unutmayın: verbose çıktı, araç argümanlarını, URL’leri ve modelin gördüğü verileri içerebilir.

Yapılandırma Sertleştirme (örnekler)

0) Dosya izinleri

Gateway host üzerinde config + state’i özel tutun:

~/.openclaw/openclaw.json: 600 (yalnızca kullanıcı okuma/yazma)
~/.openclaw: 700 (yalnızca kullanıcı)

openclaw doctor, bu izinler için uyarabilir ve sıkılaştırmayı önerebilir.

0.4) Ağ açığa çıkması (bind + port + firewall)

Gateway, tek bir port üzerinde WebSocket + HTTP çoklaması yapar:

Varsayılan: 18789
Config/flags/env: gateway.port, --port, OPENCLAW_GATEWAY_PORT

Bu HTTP yüzeyi Control UI ve canvas host’u içerir:

Control UI (SPA varlıkları) (varsayılan temel yol /)
Canvas host: /__openclaw__/canvas/ ve /__openclaw__/a2ui/ (keyfi HTML/JS; güvenilmeyen içerik olarak değerlendirin)

Canvas içeriğini normal bir tarayıcıda yüklerseniz, bunu diğer güvenilmeyen web sayfaları gibi değerlendirin:

Canvas host’u güvenilmeyen ağlara/kullanıcılara açmayın.
Sonuçlarını tam olarak anlamıyorsanız canvas içeriğinin ayrıcalıklı web yüzeyleriyle aynı origin’i paylaşmasına izin vermeyin.

Bind modu Gateway’in nerede dinleyeceğini belirler:

gateway.bind: "loopback" (varsayılan): yalnızca yerel istemciler bağlanabilir.
Loopback dışı bind’ler ("lan", "tailnet", "custom") saldırı yüzeyini genişletir. Bunları yalnızca gateway auth (paylaşılan token/password veya doğru yapılandırılmış loopback dışı trusted proxy) ve gerçek bir firewall ile kullanın.

Genel kurallar:

LAN bind’leri yerine Tailscale Serve tercih edin (Serve, Gateway’i loopback üzerinde tutar ve erişimi Tailscale yönetir).
LAN’a bind etmeniz gerekiyorsa, portu sıkı kaynak IP allowlist’ine göre firewall ile koruyun; bunu geniş biçimde port-forward yapmayın.
Gateway’i asla 0.0.0.0 üzerinde kimlik doğrulamasız açmayın.

0.4.1) Docker port yayımlama + UFW (`DOCKER-USER`)

OpenClaw’ı bir VPS üzerinde Docker ile çalıştırıyorsanız, yayımlanmış kapsayıcı portlarının (-p HOST:CONTAINER veya Compose ports:) yalnızca host INPUT kuralları üzerinden değil, Docker’ın iletme zincirleri üzerinden yönlendirildiğini unutmayın. Docker trafiğini firewall ilkenizle uyumlu tutmak için kuralları DOCKER-USER içinde zorunlu kılın (bu zincir Docker’ın kendi kabul kurallarından önce değerlendirilir). Birçok modern dağıtımda iptables/ip6tables, iptables-nft frontend’ini kullanır ve yine de bu kuralları nftables backend’ine uygular. Minimal allowlist örneği (IPv4):

# /etc/ufw/after.rules (kendi *filter bölümü olarak ekleyin)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT

IPv6 ayrı tablolara sahiptir. Docker IPv6 etkinse /etc/ufw/after6.rules içinde eşleşen bir ilke ekleyin. Belgelerde eth0 gibi arayüz adlarını sabit kodlamaktan kaçının. Arayüz adları VPS imajları arasında değişir (ens3, enp* vb.) ve uyuşmazlıklar yanlışlıkla deny kuralınızı atlayabilir. Yeniden yüklemeden sonra hızlı doğrulama:

ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open

Beklenen dış portlar yalnızca bilerek açtıklarınız olmalıdır (çoğu kurulum için: SSH + ters proxy portlarınız).

0.4.2) mDNS/Bonjour discovery (bilgi ifşası)

Gateway, yerel cihaz keşfi için varlığını mDNS ile (_openclaw-gw._tcp, port 5353) yayınlar. Full modda bu, operasyonel ayrıntıları açığa çıkarabilecek TXT kayıtlarını içerir:

cliPath: CLI ikilisine tam dosya sistemi yolu (kullanıcı adı ve kurulum yerini açığa çıkarır)
sshPort: host üzerinde SSH erişilebilirliğini ilan eder
displayName, lanHost: hostname bilgileri

Operasyonel güvenlik değerlendirmesi: altyapı ayrıntılarını yayınlamak, yerel ağdaki herkes için keşfi kolaylaştırır. Dosya sistemi yolları ve SSH erişilebilirliği gibi “zararsız” görünen bilgiler bile saldırganların ortamınızı haritalamasına yardımcı olur. Öneriler:

Minimal mod (varsayılan, açık gateway’ler için önerilir): hassas alanları mDNS yayınlarından çıkarın:
```
{
  discovery: {
    mdns: { mode: "minimal" },
  },
}
```
Yerel cihaz keşfine ihtiyacınız yoksa tamamen devre dışı bırakın:
```
{
  discovery: {
    mdns: { mode: "off" },
  },
}
```

Full mod (isteğe bağlı): TXT kayıtlarına cliPath + sshPort ekleyin:

{
  discovery: {
    mdns: { mode: "full" },
  },
}

Ortam değişkeni (alternatif): config değişikliği olmadan mDNS’i devre dışı bırakmak için OPENCLAW_DISABLE_BONJOUR=1 ayarlayın.

Minimal modda Gateway yine de cihaz keşfi için yeterli bilgiyi yayınlar (role, gatewayPort, transport), ancak cliPath ve sshPort değerlerini çıkarır. CLI yol bilgisine ihtiyaç duyan uygulamalar bunu bunun yerine kimliği doğrulanmış WebSocket bağlantısı üzerinden alabilir.

0.5) Gateway WebSocket’i kilitleyin (yerel auth)

Gateway auth varsayılan olarak zorunludur. Geçerli bir gateway auth yolu yapılandırılmamışsa, Gateway WebSocket bağlantılarını reddeder (fail‑closed). Onboarding varsayılan olarak bir token üretir (loopback için bile), bu nedenle yerel istemcilerin kimlik doğrulaması yapması gerekir. Tüm WS istemcilerinin kimlik doğrulaması yapması için bir token ayarlayın:

{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}

Doctor sizin için bir tane üretebilir: openclaw doctor --generate-gateway-token. Not: gateway.remote.token / .password, istemci kimlik bilgisi kaynaklarıdır. Bunlar tek başına yerel WS erişimini korumaz. Yerel çağrı yolları gateway.auth.* ayarsızsa yalnızca fallback olarak gateway.remote.* kullanabilir. gateway.auth.token / gateway.auth.password, SecretRef üzerinden açıkça yapılandırılmışsa ve çözümlenmemişse çözümleme fail closed olur (uzak fallback bunu maskeleyemez). İsteğe bağlı: wss:// kullanırken uzak TLS’yi gateway.remote.tlsFingerprint ile sabitleyin. Düz metin ws:// varsayılan olarak yalnızca loopback içindir. Güvenilen özel ağ yolları için acil durum olarak istemci sürecinde OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 ayarlayın. Yerel cihaz eşleştirmesi:

Aynı hosttaki istemcileri sorunsuz tutmak için doğrudan yerel loopback bağlantıları için cihaz eşleştirmesi otomatik onaylanır.
OpenClaw ayrıca güvenilen paylaşılan sır yardımcı akışları için dar bir backend/container-local self-connect yoluna sahiptir.
Aynı host tailnet bind’leri dahil tailnet ve LAN bağlantıları eşleştirme açısından uzak kabul edilir ve yine de onay gerektirir.

Auth modları:

gateway.auth.mode: "token": paylaşılan bearer token (çoğu kurulum için önerilir).
gateway.auth.mode: "password": parola auth (bunu env ile ayarlamak tercih edilir: OPENCLAW_GATEWAY_PASSWORD).
gateway.auth.mode: "trusted-proxy": kullanıcıları kimlik doğrulamak ve kimliği başlıklarla iletmek için identity-aware bir ters proxy’ye güvenin (bkz. Trusted Proxy Auth).

Döndürme kontrol listesi (token/password):

Yeni bir sır üretin/ayarlayın (gateway.auth.token veya OPENCLAW_GATEWAY_PASSWORD).
Gateway’i yeniden başlatın (veya Gateway’i denetliyorsa macOS uygulamasını yeniden başlatın).
Gateway’i çağıran makinelerdeki uzak istemcileri güncelleyin (gateway.remote.token / .password).
Eski kimlik bilgileriyle artık bağlanamadığınızı doğrulayın.

0.6) Tailscale Serve kimlik başlıkları

gateway.auth.allowTailscale true olduğunda (Serve için varsayılan), OpenClaw Control UI/WebSocket kimlik doğrulaması için Tailscale Serve kimlik başlıklarını (tailscale-user-login) kabul eder. OpenClaw, kimliği yerel Tailscale daemon’u üzerinden (tailscale whois) x-forwarded-for adresini çözümleyip başlıkla eşleştirerek doğrular. Bu yalnızca loopback’e gelen ve x-forwarded-for, x-forwarded-proto ve x-forwarded-host başlıklarını Tailscale tarafından eklenmiş şekilde içeren isteklerde tetiklenir. Bu eşzamansız kimlik denetimi yolunda, aynı {scope, ip} için başarısız denemeler sınırlandırıcı başarısızlığı kaydetmeden önce serileştirilir. Bu nedenle tek bir Serve istemcisinden gelen eşzamanlı kötü yeniden denemeler, iki düz uyuşmazlık gibi yarışmak yerine ikinci denemeyi hemen kilitleyebilir. HTTP API uç noktaları (örneğin /v1/*, /tools/invoke ve /api/channels/*) Tailscale kimlik başlığı auth kullanmaz. Bunlar hâlâ gateway’in yapılandırılmış HTTP auth modunu izler. Önemli sınır notu:

Gateway HTTP bearer auth, fiilen ya hep ya hiç operatör erişimidir.
/v1/chat/completions, /v1/responses veya /api/channels/* çağırabilen kimlik bilgilerini o gateway için tam erişimli operatör sırları olarak değerlendirin.
OpenAI uyumlu HTTP yüzeyinde, paylaşılan sır bearer auth varsayılan tam operatör kapsamlarını (operator.admin, operator.approvals, operator.pairing, operator.read, operator.talk.secrets, operator.write) ve agent dönüşleri için owner semantics’i geri yükler; daha dar x-openclaw-scopes değerleri bu paylaşılan-sır yolunu daraltmaz.
HTTP üzerinde istek başına scope semantics yalnızca istek trusted proxy auth veya özel ingress üzerinde gateway.auth.mode="none" gibi kimlik taşıyan bir moddan geldiğinde uygulanır.
Bu kimlik taşıyan modlarda, x-openclaw-scopes eksikse normal operatör varsayılan kapsam kümesine geri dönülür; daha dar bir kapsam kümesi istiyorsanız başlığı açıkça gönderin.
/tools/invoke aynı paylaşılan-sır kuralını izler: token/password bearer auth burada da tam operatör erişimi sayılırken, kimlik taşıyan modlar ilan edilen kapsamları hâlâ dikkate alır.
Bu kimlik bilgilerini güvenilmeyen çağıranlarla paylaşmayın; güven sınırı başına ayrı gateway’leri tercih edin.

Güven varsayımı: tokensız Serve auth, gateway host’un güvenilir olduğunu varsayar. Bunu düşmanca aynı-host süreçlerine karşı koruma olarak değerlendirmeyin. Güvenilmeyen yerel kod gateway host üzerinde çalışabiliyorsa, gateway.auth.allowTailscale devre dışı bırakın ve gateway.auth.mode: "token" veya "password" ile açık paylaşılan-sır auth gerektirin. Güvenlik kuralı: bu başlıkları kendi ters proxy’nizden iletmeyin. Gateway’in önünde TLS sonlandırıyor veya proxy kullanıyorsanız, gateway.auth.allowTailscale devre dışı bırakın ve bunun yerine paylaşılan-sır auth (gateway.auth.mode: "token" veya "password") ya da Trusted Proxy Auth kullanın. Trusted proxies:

Gateway’in önünde TLS sonlandırıyorsanız gateway.trustedProxies değerini proxy IP’lerinize ayarlayın.
OpenClaw, yerel eşleştirme kontrolleri ve HTTP auth/yerel kontroller için istemci IP’sini belirlemek üzere bu IP’lerden gelen x-forwarded-for (veya x-real-ip) başlıklarına güvenir.
Proxy’nizin x-forwarded-for değerini üzerine yazdığından ve Gateway portuna doğrudan erişimi engellediğinden emin olun.

Bkz. Tailscale ve Web overview.

0.6.1) Node host üzerinden tarayıcı kontrolü (önerilir)

Gateway’iniz uzaksa ama tarayıcı başka bir makinede çalışıyorsa, tarayıcı makinesinde bir node host çalıştırın ve Gateway’in tarayıcı eylemlerini proxy etmesine izin verin (bkz. Browser tool). Node eşleştirmesini yönetici erişimi gibi değerlendirin. Önerilen desen:

Gateway ve node host’u aynı tailnet üzerinde tutun (Tailscale).
Node’u kasıtlı olarak eşleştirin; ihtiyacınız yoksa tarayıcı proxy yönlendirmesini devre dışı bırakın.

Kaçınılması gerekenler:

Relay/kontrol portlarını LAN veya genel İnternet üzerinden açmak.
Tarayıcı kontrol uç noktaları için Tailscale Funnel (genel açığa çıkma).

0.7) Disk üzerindeki sırlar (hassas veriler)

~/.openclaw/ (veya $OPENCLAW_STATE_DIR/) altındaki her şeyin gizli veriler veya özel veriler içerebileceğini varsayın:

openclaw.json: config token’lar (gateway, remote gateway), provider ayarları ve allowlists içerebilir.
credentials/**: kanal kimlik bilgileri (örnek: WhatsApp creds), pairing allowlists, legacy OAuth imports.
agents/<agentId>/agent/auth-profiles.json: API anahtarları, token profilleri, OAuth token’ları ve isteğe bağlı keyRef/tokenRef.
secrets.json (isteğe bağlı): file SecretRef sağlayıcıları tarafından kullanılan dosya destekli secret payload’ı (secrets.providers).
agents/<agentId>/agent/auth.json: legacy uyumluluk dosyası. Statik api_key girdileri keşfedildiğinde temizlenir.
agents/<agentId>/sessions/**: özel mesajlar ve araç çıktıları içerebilen oturum dökümleri (*.jsonl) + yönlendirme meta verileri (sessions.json).
paketlenmiş plugin paketleri: kurulu plugin’ler (ve bunların node_modules/ dizinleri).
sandboxes/**: araç sandbox çalışma alanları; sandbox içinde okuduğunuz/yazdığınız dosyaların kopyaları birikebilir.

Sertleştirme ipuçları:

İzinleri sıkı tutun (dizinlerde 700, dosyalarda 600).
Gateway host üzerinde tam disk şifreleme kullanın.
Host paylaşılıyorsa Gateway için özel bir OS kullanıcı hesabını tercih edin.

0.8) Günlükler + dökümler (redaction + retention)

Erişim kontrolleri doğru olsa bile günlükler ve dökümler hassas bilgileri sızdırabilir:

Gateway günlükleri araç özetleri, hatalar ve URL’ler içerebilir.
Oturum dökümleri yapıştırılmış sırlar, dosya içerikleri, komut çıktıları ve bağlantılar içerebilir.

Öneriler:

Araç özeti redaction açık kalsın (logging.redactSensitive: "tools"; varsayılan).
Ortamınıza özgü özel desenleri logging.redactPatterns ile ekleyin (token’lar, host adları, dahili URL’ler).
Tanılama paylaşırken ham günlükler yerine openclaw status --all tercih edin (yapıştırılabilir, sırlar redakte edilmiş).
Uzun süreli saklamaya ihtiyacınız yoksa eski oturum dökümlerini ve günlük dosyalarını budayın.

Ayrıntılar: Logging

1) DM’ler: varsayılan olarak pairing

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

2) Gruplar: her yerde mention gerektir

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}

Grup sohbetlerinde yalnızca açıkça bahsedildiğinde yanıt verin.

3) Ayrı numaralar (WhatsApp, Signal, Telegram)

Telefon numarası tabanlı kanallar için AI’nızı kişisel numaranızdan ayrı bir telefon numarası üzerinde çalıştırmayı düşünün:

Kişisel numara: Konuşmalarınız özel kalır
Bot numarası: AI bunları uygun sınırlarla işler

4) Salt okunur mod (sandbox + tools ile)

Şunları birleştirerek salt okunur bir profil oluşturabilirsiniz:

agents.defaults.sandbox.workspaceAccess: "ro" (veya çalışma alanı erişimi yoksa "none")
write, edit, apply_patch, exec, process vb. öğeleri engelleyen araç allow/deny listeleri

Ek sertleştirme seçenekleri:

tools.exec.applyPatch.workspaceOnly: true (varsayılan): apply_patch komutunun sandboxing kapalıyken bile çalışma alanı dizini dışında yazma/silme yapamamasını sağlar. apply_patch komutunun çalışma alanı dışındaki dosyalara dokunmasını kasıtlı olarak istiyorsanız bunu yalnızca false yapın.
tools.fs.workspaceOnly: true (isteğe bağlı): read/write/edit/apply_patch yollarını ve yerel istem görseli otomatik yükleme yollarını çalışma alanı diziniyle sınırlar (bugün mutlak yolları izinli tutuyor ama tek bir koruma rayı istiyorsanız yararlıdır).
Dosya sistemi köklerini dar tutun: agent çalışma alanıları/sandbox çalışma alanları için home dizininiz gibi geniş köklerden kaçının. Geniş kökler hassas yerel dosyaları (örneğin ~/.openclaw altındaki state/config) dosya sistemi araçlarına açabilir.

5) Güvenli temel (kopyala/yapıştır)

Gateway’i özel tutan, DM pairing gerektiren ve her zaman açık grup botlarından kaçınan “güvenli varsayılan” bir config:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}

Araç yürütmesini de “varsayılan olarak daha güvenli” yapmak istiyorsanız, owner olmayan agent’lar için bir sandbox + tehlikeli araç reddi ekleyin (örnek aşağıda “Agent başına erişim profilleri” altında). Sohbetle tetiklenen agent dönüşleri için yerleşik temel: owner olmayan göndericiler cron veya gateway araçlarını kullanamaz.

Sandboxing (önerilir)

Özel belge: Sandboxing Birbirini tamamlayan iki yaklaşım:

Tam Gateway’i Docker içinde çalıştırın (container sınırı): Docker
Araç sandbox’ı (agents.defaults.sandbox, host gateway + Docker ile yalıtılmış araçlar): Sandboxing

Not: agent’lar arası erişimi önlemek için agents.defaults.sandbox.scope değerini varsayılan "agent" olarak tutun veya oturum başına daha sıkı izolasyon için "session" kullanın. scope: "shared" tek bir container/çalışma alanı kullanır. Sandbox içindeki agent çalışma alanı erişimini de değerlendirin:

agents.defaults.sandbox.workspaceAccess: "none" (varsayılan), agent çalışma alanını erişilmez tutar; araçlar ~/.openclaw/sandboxes altındaki sandbox çalışma alanına karşı çalışır
agents.defaults.sandbox.workspaceAccess: "ro", agent çalışma alanını salt okunur olarak /agent altına bağlar (write/edit/apply_patch devre dışı kalır)
agents.defaults.sandbox.workspaceAccess: "rw", agent çalışma alanını okuma/yazma olarak /workspace altına bağlar
Ek sandbox.docker.binds, normalize edilmiş ve canonicalize edilmiş kaynak yollara göre doğrulanır. Üst symlink hileleri ve canonical home takma adları, /etc, /var/run veya OS home altındaki credential dizinleri gibi engellenmiş köklere çözülüyorsa yine fail closed olur.

Önemli: tools.elevated, exec’i sandbox dışında çalıştıran genel temel kaçış kapağıdır. Etkin host varsayılan olarak gateway, exec hedefi node olarak yapılandırıldığında ise node olur. tools.elevated.allowFrom listesini sıkı tutun ve yabancılar için etkinleştirmeyin. Ayrıca agent başına agents.list[].tools.elevated ile elevated’ı daha da kısıtlayabilirsiniz. Bkz. Elevated Mode.

Alt-agent devri koruma rayı

Oturum araçlarına izin veriyorsanız, devredilmiş alt-agent çalıştırmalarını da ayrı bir sınır kararı olarak değerlendirin:

Agent gerçekten delegasyona ihtiyaç duymuyorsa sessions_spawn değerini reddedin.
agents.defaults.subagents.allowAgents ve agent başına olası agents.list[].subagents.allowAgents geçersiz kılmalarını bilinen güvenli hedef agent’larla sınırlı tutun.
Sandbox içinde kalması gereken iş akışları için sessions_spawn çağrısını sandbox: "require" ile yapın (varsayılan inherit).
sandbox: "require", hedef alt çalışma zamanı sandbox içinde değilse hızlıca başarısız olur.

Tarayıcı kontrolü riskleri

Tarayıcı kontrolünü etkinleştirmek, modele gerçek bir tarayıcıyı sürme yeteneği verir. Bu tarayıcı profili zaten giriş yapılmış oturumlar içeriyorsa, model bu hesaplara ve verilere erişebilir. Tarayıcı profillerini hassas durum olarak değerlendirin:

Agent için özel bir profil tercih edin (varsayılan openclaw profili).
Agent’ı kişisel günlük sürücünüz olan profile yönlendirmekten kaçının.
Sandbox’lı agent’lar için host tarayıcı kontrolünü onlara güvenmiyorsanız devre dışı tutun.
Bağımsız loopback tarayıcı kontrol API’si yalnızca paylaşılan-sır auth’ı dikkate alır (gateway token bearer auth veya gateway password). Trusted-proxy veya Tailscale Serve kimlik başlıklarını tüketmez.
Tarayıcı indirmelerini güvenilmeyen girdi olarak değerlendirin; izole bir indirme dizini tercih edin.
Mümkünse agent profilinde tarayıcı sync/password manager’ları devre dışı bırakın (etki alanını azaltır).
Uzak gateway’ler için “tarayıcı kontrolü”nü, o profilin erişebildiği her şeye “operatör erişimi” eşdeğeri olarak düşünün.
Gateway ve node host’larını yalnızca tailnet içinde tutun; tarayıcı kontrol portlarını LAN veya genel İnternet’e açmayın.
Gerekmiyorsa tarayıcı proxy yönlendirmesini devre dışı bırakın (gateway.nodes.browser.mode="off").
Chrome MCP existing-session modu daha güvenli değildir; o host Chrome profilinin erişebildiği her şey üzerinde sizin gibi hareket edebilir.

Tarayıcı SSRF ilkesi (güvenilen ağ varsayılanı)

OpenClaw’ın tarayıcı ağ ilkesi varsayılan olarak güvenilen-operatör modelini kullanır: özel/iç hedeflere, siz açıkça devre dışı bırakmadıkça izin verilir.

Varsayılan: browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true (ayarsızken örtük).
Legacy takma ad: browser.ssrfPolicy.allowPrivateNetwork uyumluluk için hâlâ kabul edilir.
Sıkı mod: özel/iç/özel kullanım hedeflerini varsayılan olarak engellemek için browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: false ayarlayın.
Sıkı modda açık istisnalar için hostnameAllowlist (*.example.com gibi desenler) ve allowedHostnames (engellenmiş localhost gibi adlar dahil tam host istisnaları) kullanın.
Yönlendirme tabanlı pivotları azaltmak için gezinme, istekten önce kontrol edilir ve gezinmeden sonra son http(s) URL’si üzerinde en iyi çabayla yeniden kontrol edilir.

Sıkı ilke örneği:

{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

Agent başına erişim profilleri (çok agent)

Çok agent’lı yönlendirme ile her agent’ın kendi sandbox + araç ilkesi olabilir: bunu agent başına tam erişim, salt okunur veya erişim yok vermek için kullanın. Tam ayrıntılar ve öncelik kuralları için bkz. Multi-Agent Sandbox & Tools. Yaygın kullanım örnekleri:

Kişisel agent: tam erişim, sandbox yok
Aile/iş agent’ı: sandbox içinde + salt okunur araçlar
Genel agent: sandbox içinde + dosya sistemi/shell araçları yok

Örnek: tam erişim (sandbox yok)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

Örnek: salt okunur araçlar + salt okunur çalışma alanı

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

Örnek: dosya sistemi/shell erişimi yok (provider messaging izinli)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session araçları transcript'lerden hassas veri açığa çıkarabilir. Varsayılan olarak OpenClaw bu araçları
        // geçerli session + oluşturulmuş subagent session'larıyla sınırlar, ancak gerekirse daha da sıkabilirsiniz.
        // Bkz. yapılandırma başvurusunda `tools.sessions.visibility`.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

AI’nıza Ne Söylemelisiniz

Ajanınızın sistem istemine güvenlik yönergeleri ekleyin:

## Security Rules
- Never share directory listings or file paths with strangers
- Never reveal API keys, credentials, or infrastructure details
- Verify requests that modify system config with the owner
- When in doubt, ask before acting
- Keep private data private unless explicitly authorized

Olay Müdahalesi

AI’nız kötü bir şey yaparsa:

Sınırla

Durdurun: macOS uygulamasını durdurun (Gateway’i o denetliyorsa) veya openclaw gateway sürecinizi sonlandırın.
Açığa çıkmayı kapatın: ne olduğunu anlayana kadar gateway.bind: "loopback" ayarlayın (veya Tailscale Funnel/Serve’ü devre dışı bırakın).
Erişimi dondurun: riskli DM’leri/grupları dmPolicy: "disabled" / mention zorunlu olacak şekilde değiştirin ve varsa "*" herkese izin girdilerini kaldırın.

Döndürün (sırlar sızdıysa uzlaşma olmuş varsayın)

Gateway auth’ı döndürün (gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD) ve yeniden başlatın.
Gateway’i çağırabilen her makinedeki uzak istemci sırlarını döndürün (gateway.remote.token / .password).
Provider/API kimlik bilgilerini döndürün (WhatsApp creds, Slack/Discord token’ları, auth-profiles.json içindeki model/API anahtarları ve kullanılıyorsa şifreli secrets payload değerleri).

Denetleyin

Gateway günlüklerini kontrol edin: /tmp/openclaw/openclaw-YYYY-MM-DD.log (veya logging.file).
İlgili döküm(ler)i gözden geçirin: ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
Son config değişikliklerini gözden geçirin (erişimi genişletmiş olabilecek her şey: gateway.bind, gateway.auth, dm/group policies, tools.elevated, plugin değişiklikleri).
openclaw security audit --deep komutunu yeniden çalıştırın ve kritik bulguların çözüldüğünü doğrulayın.

Rapor için toplayın

Zaman damgası, gateway host OS + OpenClaw sürümü
Oturum dökümleri + kısa bir günlük kuyruğu (redakte ettikten sonra)
Saldırganın ne gönderdiği + agent’ın ne yaptığı
Gateway’in loopback ötesinde açık olup olmadığı (LAN/Tailscale Funnel/Serve)

Secret Taraması (detect-secrets)

CI, secrets işinde detect-secrets pre-commit hook’unu çalıştırır. main dalına yapılan push’lar her zaman tüm dosyaları tarar. Pull request’ler, bir temel commit mevcut olduğunda değişen dosya hızlı yolunu kullanır, aksi halde tüm dosyaları taramaya geri döner. Başarısız olursa, temel çizgide henüz olmayan yeni adaylar vardır.

CI başarısız olursa

Yerelde yeniden üretin:

pre-commit run --all-files detect-secrets

Araçları anlayın:
- Pre-commit içindeki detect-secrets, deponun temel çizgisi ve dışlamalarıyla detect-secrets-hook çalıştırır.
- detect-secrets audit, her temel çizgi öğesini gerçek veya yanlış pozitif olarak işaretlemek için etkileşimli inceleme açar.
Gerçek sırlar için: bunları döndürün/kaldırın, ardından temel çizgiyi güncellemek için taramayı yeniden çalıştırın.
Yanlış pozitifler için: etkileşimli denetimi çalıştırın ve bunları yanlış olarak işaretleyin:
```
detect-secrets audit .secrets.baseline
```
Yeni dışlamalara ihtiyacınız varsa, bunları .detect-secrets.cfg içine ekleyin ve eşleşen --exclude-files / --exclude-lines bayraklarıyla temel çizgiyi yeniden üretin (config dosyası yalnızca başvuru içindir; detect-secrets bunu otomatik olarak okumaz).

Amaçlanan durumu yansıttıktan sonra güncellenmiş .secrets.baseline dosyasını commit edin.

Güvenlik Sorunlarını Bildirme

OpenClaw’da bir güvenlik açığı mı buldunuz? Lütfen sorumlu bir şekilde bildirin:

E-posta: security@openclaw.ai
Düzeltilmeden kamuya açık paylaşım yapmayın
Size kredi vereceğiz (anonim kalmayı tercih etmiyorsanız)

Gateway

Remote access

Security

Nodes and media

Web interfaces

​Güvenlik

​Önce kapsam: kişisel asistan güvenlik modeli

​Hızlı kontrol: openclaw security audit

​Dağıtım ve host güveni

​Paylaşılan Slack çalışma alanı: gerçek risk

​Şirketle paylaşılan agent: kabul edilebilir desen

​Gateway ve node güven kavramı

​Güven sınırı matrisi

​Tasarım gereği güvenlik açığı olmayanlar

​Araştırmacı ön kontrol listesi

​60 saniyede güçlendirilmiş temel

​Paylaşılan gelen kutusu için hızlı kural

​Bağlam görünürlüğü modeli

​Denetimin kontrol ettiği şeyler (yüksek seviye)

​Kimlik bilgisi depolama haritası

​Güvenlik denetimi kontrol listesi

​Güvenlik denetimi sözlüğü

​HTTP üzerinden Control UI

​Güvensiz veya tehlikeli bayraklar özeti

​Ters Proxy Yapılandırması

​HSTS ve origin notları

​Yerel oturum günlükleri disk üzerinde yaşar

​Node yürütmesi (system.run)

​Dinamik Skills (izleyici / uzak node’lar)

​Tehdit Modeli

​Temel kavram: zekadan önce erişim kontrolü

​Komut yetkilendirme modeli

​Kontrol düzlemi araç riski

​Plugins/extensions

​DM erişim modeli (pairing / allowlist / open / disabled)

​DM oturum izolasyonu (çok kullanıcılı mod)

​Güvenli DM modu (önerilir)

​İzin listeleri (DM + gruplar) - terminoloji

​Prompt enjeksiyonu (nedir, neden önemlidir)

​Güvensiz harici içerik bypass bayrakları

​Prompt enjeksiyonu için genel DM gerekmez

​Model gücü (güvenlik notu)

​Gruplarda reasoning ve verbose çıktı

​Yapılandırma Sertleştirme (örnekler)

​0) Dosya izinleri

​0.4) Ağ açığa çıkması (bind + port + firewall)

​0.4.1) Docker port yayımlama + UFW (DOCKER-USER)

​0.4.2) mDNS/Bonjour discovery (bilgi ifşası)

​0.5) Gateway WebSocket’i kilitleyin (yerel auth)

​0.6) Tailscale Serve kimlik başlıkları

​0.6.1) Node host üzerinden tarayıcı kontrolü (önerilir)

​0.7) Disk üzerindeki sırlar (hassas veriler)

​0.8) Günlükler + dökümler (redaction + retention)

​1) DM’ler: varsayılan olarak pairing

​2) Gruplar: her yerde mention gerektir

​3) Ayrı numaralar (WhatsApp, Signal, Telegram)

​4) Salt okunur mod (sandbox + tools ile)

​5) Güvenli temel (kopyala/yapıştır)

​Sandboxing (önerilir)

​Alt-agent devri koruma rayı

​Tarayıcı kontrolü riskleri

​Tarayıcı SSRF ilkesi (güvenilen ağ varsayılanı)

​Agent başına erişim profilleri (çok agent)

​Örnek: tam erişim (sandbox yok)

​Örnek: salt okunur araçlar + salt okunur çalışma alanı

​Örnek: dosya sistemi/shell erişimi yok (provider messaging izinli)

​AI’nıza Ne Söylemelisiniz

​Olay Müdahalesi

​Sınırla

​Döndürün (sırlar sızdıysa uzlaşma olmuş varsayın)

​Denetleyin

​Rapor için toplayın

​Secret Taraması (detect-secrets)

​CI başarısız olursa

​Güvenlik Sorunlarını Bildirme

Güvenlik

Önce kapsam: kişisel asistan güvenlik modeli

Hızlı kontrol: `openclaw security audit`

Dağıtım ve host güveni

Paylaşılan Slack çalışma alanı: gerçek risk

Şirketle paylaşılan agent: kabul edilebilir desen

Gateway ve node güven kavramı

Güven sınırı matrisi

Tasarım gereği güvenlik açığı olmayanlar

Araştırmacı ön kontrol listesi

60 saniyede güçlendirilmiş temel

Paylaşılan gelen kutusu için hızlı kural

Bağlam görünürlüğü modeli

Denetimin kontrol ettiği şeyler (yüksek seviye)

Kimlik bilgisi depolama haritası

Güvenlik denetimi kontrol listesi

Güvenlik denetimi sözlüğü

HTTP üzerinden Control UI

Güvensiz veya tehlikeli bayraklar özeti

Ters Proxy Yapılandırması

HSTS ve origin notları

Yerel oturum günlükleri disk üzerinde yaşar

Node yürütmesi (`system.run`)

Dinamik Skills (izleyici / uzak node’lar)

Tehdit Modeli

Temel kavram: zekadan önce erişim kontrolü

Komut yetkilendirme modeli

Kontrol düzlemi araç riski

Plugins/extensions

DM erişim modeli (pairing / allowlist / open / disabled)

DM oturum izolasyonu (çok kullanıcılı mod)

Güvenli DM modu (önerilir)

İzin listeleri (DM + gruplar) - terminoloji

Prompt enjeksiyonu (nedir, neden önemlidir)

Güvensiz harici içerik bypass bayrakları

Prompt enjeksiyonu için genel DM gerekmez

Model gücü (güvenlik notu)

Gruplarda reasoning ve verbose çıktı

Yapılandırma Sertleştirme (örnekler)

0) Dosya izinleri

0.4) Ağ açığa çıkması (bind + port + firewall)

0.4.1) Docker port yayımlama + UFW (`DOCKER-USER`)

0.4.2) mDNS/Bonjour discovery (bilgi ifşası)

0.5) Gateway WebSocket’i kilitleyin (yerel auth)

0.6) Tailscale Serve kimlik başlıkları

0.6.1) Node host üzerinden tarayıcı kontrolü (önerilir)

0.7) Disk üzerindeki sırlar (hassas veriler)

0.8) Günlükler + dökümler (redaction + retention)

1) DM’ler: varsayılan olarak pairing

2) Gruplar: her yerde mention gerektir

3) Ayrı numaralar (WhatsApp, Signal, Telegram)

4) Salt okunur mod (sandbox + tools ile)

5) Güvenli temel (kopyala/yapıştır)

Sandboxing (önerilir)

Alt-agent devri koruma rayı

Tarayıcı kontrolü riskleri

Tarayıcı SSRF ilkesi (güvenilen ağ varsayılanı)

Agent başına erişim profilleri (çok agent)

Örnek: tam erişim (sandbox yok)

Örnek: salt okunur araçlar + salt okunur çalışma alanı

Örnek: dosya sistemi/shell erişimi yok (provider messaging izinli)

AI’nıza Ne Söylemelisiniz

Olay Müdahalesi

Sınırla

Döndürün (sırlar sızdıysa uzlaşma olmuş varsayın)

Denetleyin

Rapor için toplayın

Secret Taraması (detect-secrets)

CI başarısız olursa

Güvenlik Sorunlarını Bildirme