Yapay zeka ajanlarına güvenmeyin

28 Şubat 2026 · Gavriel Cohen

Yapay zeka ajanlarıyla çalışırken, onları güvenilmez ve potansiyel olarak kötü niyetli olarak değerlendirmelisiniz. Prompt injection’dan mı endişeleniyorsunuz, bir modelin sandbox’ından kaçmaya çalışmasından mı, yoksa henüz kimsenin düşünmediği bir şeyden mi — tehdit modeliniz ne olursa olsun, ajana güvenmemelisiniz. Doğru yaklaşım daha iyi izin kontrolleri ya da daha akıllı allowlist’ler değildir. Doğru yaklaşım, ajanların kötü davranacağını varsayan ve bunu yaptıklarında hasarı sınırlayan bir mimaridir.

NanoClaw bu ilke üzerine inşa edildi.

Sürece güvenmeyin

OpenClaw varsayılan olarak doğrudan ana makinede çalışır. Opsiyonel bir Docker sandbox modu vardır, ancak kutudan çıktığında kapalıdır ve çoğu kullanıcı bunu hiçbir zaman açmaz. Bu olmadan güvenlik tamamen uygulama düzeyindeki kontrollere dayanır: allowlist’ler, onay istemleri, “güvenli” komutlar kümesi. Bu kontroller, ajanın yanlış bir şey yapmaya çalışmayacağına dair örtük bir güvenden doğar. Ajanın potansiyel olarak kötü niyetli olduğu zihniyetini benimsediğinizde, uygulama düzeyindeki engellemelerin yeterli olmadığı açıkça ortaya çıkar. Hermetik güvenlik sağlamazlar. Kararlı veya ele geçirilmiş bir ajan bunları aşmanın yollarını bulabilir.

NanoClaw’da konteyner izolasyonu mimarinin temel bir parçasıdır. Her ajan kendi konteynerinde çalışır; Docker’da veya macOS’ta Apple Container üzerinde. Konteynerler geçicidir: her çağrıda yeniden oluşturulur ve sonrasında yok edilir. Ajan ayrıcalıksız bir kullanıcı olarak çalışır ve yalnızca açıkça bağlanmış dizinleri görebilir. Konteyner sınırı işletim sistemi tarafından zorunlu kılınır.

Diğer ajanlara güvenmeyin

OpenClaw’ın sandbox’ı etkin olsa bile, tüm ajanlar aynı konteyneri paylaşır. Bir ajanınız kişisel asistan, diğeri iş için olabilir — farklı WhatsApp gruplarında veya Telegram kanallarında. Hepsi aynı ortamda çalışır, bu da farklı verilere erişmesi gereken ajanlar arasında bilgi sızıntısı olabileceği anlamına gelir.

Ajanlar birbirlerine, sizin onlara güvendiğinizden fazla güvenmemelidir. NanoClaw’da her ajan kendi konteynerine, dosya sistemine ve Claude oturum geçmişine sahiptir. Kişisel asistanınız iş ajanınızın verisini göremez çünkü tamamen ayrı sandbox’larda çalışırlar.

PAYLAŞIMLI KONTEYNER Kişisel Asistan İş Ajanı Aile Grubu Ajanı Paylaşımlı dosya sistemi Tüm kimlik bilgileri erişilebilir Tüm oturum geçmişleri görünür Tüm bağlı veriler paylaşımlı Tüm ajanlar her şeyi görür AJAN BAŞINA KONTEYNER Kişisel Asistan /data/personal kendi oturumu ro × İş Ajanı /data/work kendi oturumu rw × Aile Grubu Ajanı /data/family kendi oturumu ro Ajanlar birbirinden izole

Konteyner sınırı katı güvenlik katmanıdır — ajan yapılandırma ne olursa olsun bundan kaçamaz. Bunun üstüne, ~/.config/nanoclaw/mount-allowlist.json konumundaki bağlama allowlist’i ek bir derinlemesine savunma katmanı olarak işlev görür: ajanın dışarı çıkmasını engellemek için değil, kullanıcının yanlışlıkla açığa çıkmaması gereken bir şeyi bağlamasını önlemek için vardır. Hassas yollar (.ssh, .gnupg, .aws, .env, private_key, credentials) varsayılan olarak engellenmiştir. Allowlist proje dizininin dışında bulunur, bu nedenle ele geçirilmiş bir ajan kendi izinlerini değiştiremez. Ana uygulama kodu salt okunur olarak bağlanır, dolayısıyla ajanın yaptığı hiçbir şey konteyner yok edildikten sonra kalıcı olmaz.

Gruplarınızdaki kişilere de güvenilmemelidir. Ana olmayan gruplar varsayılan olarak güvenilmezdir. Diğer gruplar ve içlerindeki kişiler başka sohbetlere mesaj gönderemez, diğer gruplar için görev zamanlayamaz veya diğer grupların verilerini görüntüleyemez. Bir gruptaki herhangi biri prompt injection gönderebilir ve güvenlik modeli bunu hesaba katar.

Okuyamadığınıza güvenmeyin

OpenClaw yaklaşık yarım milyon satır koda, 53 yapılandırma dosyasına ve 70’ten fazla bağımlılığa sahiptir. Bu, açık kaynak güvenliğinin temel varsayımını bozar. Chromium’un 35 milyondan fazla satırı var, ama siz Google’ın inceleme süreçlerine güvenirsiniz. Çoğu açık kaynak projesi tam tersini yapar: birçok gözün gerçekten inceleyebileceği kadar küçük kalırlar. OpenClaw’ın 400.000 satırını kimse incelemedi. Uygun bir inceleme süreci olmadan haftalar içinde yazıldı. Karmaşıklık, güvenlik açıklarının gizlendiği yerdir ve Microsoft’un analizi bunu doğruladı: OpenClaw’ın riskleri normal API çağrıları aracılığıyla ortaya çıkabilir çünkü tek bir kişi resmin tamamını göremezdi.

Kod satırı karşılaştırması: OpenClaw ~400.000 satır, NanoClaw ~3.000 satır

NanoClaw tek bir süreç ve bir avuç dosyadır. Tekerleği yeniden icat etmek yerine oturum yönetimi, bellek sıkıştırma ve çok daha fazlası için Anthropic’in Agent SDK’sına — Claude Code üzerindeki sarmalayıcıya — yoğun şekilde güveniyoruz. Yetkin bir geliştirici tüm kod tabanını bir öğleden sonrada inceleyebilir. Bu bilinçli bir kısıtlamadır, bir eksiklik değil. Katkı kılavuzlarımız yalnızca hata düzeltmelerini, güvenlik düzeltmelerini ve sadeleştirmeleri kabul eder.

Yeni işlevsellik skill’ler aracılığıyla gelir: bir kodlama ajanının kod tabanınıza birleştirdiği, tam çalışan referans uygulaması olan talimatlar. Kod eklenmeden önce tam olarak hangi kodun ekleneceğini incelersiniz. Ve yalnızca gerçekten ihtiyaç duyduğunuz entegrasyonları eklersiniz. Her kurulum, sahibinin tam gereksinimlerine göre uyarlanmış birkaç bin satır kodla sonuçlanır.

Asıl fark budur. 400.000 satırlık monolitik bir kod tabanında, yalnızca iki entegrasyonu etkinleştirseniz bile kodun geri kalanı hâlâ oradadır. Hâlâ yüklüdür, hâlâ saldırı yüzeyinizin bir parçasıdır, hâlâ prompt injection’lar ve kötü niyetli ajanlar tarafından erişilebilir durumdadır. Neyin aktif neyin pasif olduğunu ayırt edemezsiniz. Denetleyemezsiniz çünkü “sizin kodunuz”un sınırını bile tanımlayamazsınız. Skill’lerle sınır açıktır: birkaç bin satırdır, hepsi sizin eklemeyi seçtiğiniz koddur ve her satırını okuyabilirsiniz. Çekirdek aslında zamanla küçülmektedir: örneğin WhatsApp desteği çıkarılıp bir skill olarak paketlenmektedir.

Güvensizlik için tasarlayın

Eğer bir halüsinasyon ya da kötü davranan bir ajan güvenlik sorunu yaratabiliyorsa, güvenlik modeli bozuktur. Güvenlik, ajanın doğru davranmasına bağlı olmak yerine ajantik yüzeyin dışında uygulanmalıdır. Konteynerler, bağlama kısıtlamaları ve dosya sistemi izolasyonu — hepsi bir ajan beklenmedik bir şey yaptığında patlama yarıçapının sınırlı kalması için vardır.

Bunların hiçbiri riski ortadan kaldırmaz. Verilerinize erişimi olan bir yapay zeka ajanı doğası gereği yüksek riskli bir düzenlemedir. Ama doğru yanıt, bu güveni olabildiğince dar ve olabildiğince doğrulanabilir kılmaktır. Ajana güvenmeyin. Etrafına duvarlar örün.

NanoClaw’ın kaynak kodunu ve tam güvenlik modelini okuyabilirsiniz; bir öğleden sonrada okunacak kadar kısadırlar.