返回

11. OpenClaw Güvenlik Yapılandırması En İyi Uygulamalar

Güvenlik, OpenClaw dağıtımının kritik bir unsurudur. Bu makale DM eşleştirme mekanizması, sandbox modu, yetki kontrolü, hassas veri işleme, ağ güvenliği gibi güvenlik yapılandırmalarını ayrıntılı olarak tanıtarak güvenli ve güvenilir bir AI asistan sistemi oluşturmanıza yardımcı olur.

OpenClaw v2026.2 için geçerlidir | Bu makale tüm OpenClaw kullanıcıları, özellikle üretim dağıtımı veya ekip kullanımına hazırlanan kullanıcılar için uygundur.

TL;DR: DM eşleştirme yetkisiz erişimi önler: "dmPolicy": "pairing". Sandbox tehlikeli işlemleri izole eder: "sandbox": {"mode": "non-main"}. Hassas veri filtreleme: "security": {"sensitiveData": {"patterns": ["sk-*"]}}. Uzaktan erişim için genel ağ yerine Tailscale kullanın. Güvenlik durumunu kontrol etmek için openclaw doctor --security çalıştırın.

Güvenlik Risklerine Genel Bakış

Ana Risk Türleri

Risk Türü Açıklama Olası Sonuçlar
Yetkisiz Erişim Yabancılar Agent’ınızı kullanabilir Kaynak kötüye kullanımı, gizlilik ihlali
Yetki Kötüye Kullanımı Agent beklenenden fazla işlem yürütür Veri bozulması, sistem hasarı
Veri Sızıntısı Hassas bilgilerin uygunsuz işlenmesi Gizlilik ihlali, uyumluluk sorunları
Ağ Saldırısı Dış saldırganların açıkları kullanması Sistem ele geçirilmesi, veri hırsızlığı
Prompt Enjeksiyonu Kötü amaçlı komutların güvenlik sınırlamalarını atlaması Yetkisiz işlemler

Güvenlik Modeli

flowchart TB
    subgraph DışKatman["Ağ Katmanı"]
        FW[Güvenlik Duvarı]
        TLS[HTTPS/TLS]
    end
    
    subgraph OrtaKatman["Erişim Kontrolü"]
        DM[DM Eşleştirme]
        WL[Beyaz Liste]
        AUTH[Kimlik Doğrulama]
    end
    
    subgraph İçKatman["Yürütme Kontrolü"]
        SBX[Sandbox]
        PERM[Yetkiler]
        AUDIT[Denetim]
    end
    
    subgraph Çekirdek["Agent"]
        AG[Agent Çekirdeği]
    end
    
    DışKatman --> OrtaKatman --> İçKatman --> Çekirdek

DM Eşleştirme Mekanizması

DM Eşleştirme Nedir?

DM (Direct Message) eşleştirme, yeni kullanıcıların Agent ile konuşabilmesi için önce eşleştirme işlemini tamamlamasını gerektiren bir koruma mekanizmasıdır.

Eşleştirme Süreci

sequenceDiagram
    participant S as Yabancı
    participant B as Bot
    participant G as Gateway
    participant O as Sahip
    
    S->>B: Mesaj gönderir "Merhaba"
    B->>G: Mesaj ulaşır
    G->>G: Eşleştirme durumu kontrol edilir
    G-->>B: Eşleştirilmemiş, eşleştirme kodu oluşturulur
    B-->>S: "Lütfen eşleştirin: Eşleştirme kodu ABC123"
    S->>O: Sahibe eşleştirme kodunu iletir
    O->>G: openclaw pairing approve telegram ABC123
    G->>G: Beyaz listeye eklenir
    G-->>S: Eşleştirme başarılı
    S->>B: Mesaj gönderir "Merhaba"
    B-->>S: Normal yanıt

DM Eşleştirme Yapılandırması

{
  "channels": {
    "telegram": {
      "botToken": "your_token",
      "dmPolicy": "pairing"
    },
    "whatsapp": {
      "dmPolicy": "pairing"
    },
    "discord": {
      "dmPolicy": "pairing"
    }
  }
}

Eşleştirme Modları

Mod Açıklama Güvenlik Seviyesi Kullanım Alanı
pairing Eşleştirme kodu gerekli ⭐⭐⭐⭐ Kişisel kullanım (varsayılan)
open Herkes kullanabilir Herkese açık hizmet
whitelist Yalnızca beyaz listedeki kullanıcılar ⭐⭐⭐⭐⭐ Yüksek güvenlik gereksinimleri

Eşleştirme Yönetimi

# Bekleyen eşleştirme isteklerini görüntüle
openclaw pairing list

# Çıktı örneği:
# Channel    Code     User        Created
# telegram   ABC123   @stranger   2026-02-26 10:30:00
# discord    XYZ789   user#1234   2026-02-26 10:35:00

# Eşleştirmeyi onayla
openclaw pairing approve telegram ABC123

# Eşleştirmeyi reddet
openclaw pairing reject telegram ABC123

# Eşleştirilmiş kullanıcıları görüntüle
openclaw pairing show telegram

Beyaz Liste Yapılandırması

{
  "channels": {
    "telegram": {
      "dmPolicy": "open",
      "allowFrom": [
        123456789,
        987654321
      ]
    },
    "whatsapp": {
      "dmPolicy": "open",
      "allowFrom": [
        "+8613800138000",
        "+8613800138001"
      ]
    }
  }
}

Kullanıcı ID’sini Alma

# Telegram: @userinfobot'a mesaj gönderin
# Discord: Kanalda /id komutunu kullanın veya kullanıcı profilini kontrol edin
# WhatsApp: Kişi bilgilerinden alın

Sandbox Modu

Sandbox Nedir?

Sandbox, Agent’ın işlem kapsamını sınırlayan, kazara veya kötü amaçlı sistem değişikliklerini önleyen bir izolasyon mekanizmasıdır.

Sandbox Modları

Mod Açıklama Kullanım Alanı
off Sandbox yok, tam güven Ana oturum, güvenilir ortam
non-main Ana olmayan oturumlarda sandbox etkin Çok kullanıcılı, ekip paylaşımlı
always Her zaman sandbox etkin Güvenilmeyen ortam, herkese açık hizmet

Sandbox Yapılandırması

{
  "agents": {
    "defaults": {
      "sandbox": {
        "mode": "non-main",
        "allowlist": ["read", "write", "edit", "bash"],
        "denylist": ["browser", "canvas", "nodes"],
        "container": {
          "image": "openclaw/sandbox:latest",
          "timeout": 30000,
          "memory": "512m",
          "cpu": "0.5"
        }
      }
    }
  }
}

Araç Yetki Kontrolü

{
  "agents": {
    "defaults": {
      "sandbox": {
        "mode": "non-main",
        "allowlist": [
          "read",
          "write",
          "edit",
          "bash",
          "web_search",
          "sessions_list",
          "sessions_history",
          "sessions_send"
        ],
        "denylist": [
          "browser",
          "canvas",
          "nodes",
          "cron",
          "discord",
          "gateway"
        ]
      }
    }
  }
}

Dosya Sistemi Yetkileri

{
  "agents": {
    "defaults": {
      "permissions": {
        "filesystem": {
          "read": ["~/workspace", "~/documents"],
          "write": ["~/workspace/output"],
          "deny": ["~/.ssh", "~/.gnupg", "~/.openclaw/credentials"]
        }
      }
    }
  }
}

Ağ Yetkileri

{
  "agents": {
    "defaults": {
      "permissions": {
        "network": {
          "outbound": {
            "allow": [
              "api.anthropic.com",
              "api.openai.com",
              "github.com"
            ],
            "deny": ["*"]
          }
        }
      }
    }
  }
}

Elevated Yetkileri

Elevated Yetki Nedir?

Elevated yetki, daha yüksek yetki gerektiren işlemler için geçici olarak yetki yükseltme mekanizmasıdır.

Elevated Yetki Yapılandırması

{
  "agents": {
    "defaults": {
      "elevatedAccess": {
        "enabled": true,
        "allowlist": [123456789, 987654321],
        "requireConfirmation": true,
        "timeout": 300000
      }
    }
  }
}

Elevated Yetki Kullanımı

# Sohbette yetki yükseltme talebi
/elevated on

# Yükseltilmiş yetki gerektiren işlemleri yürüt
# ...

# Yükseltilmiş yetkiyi kapat
/elevated off

Hassas Veri İşleme

Hassas Bilgi Türleri

Tür Örnek İşleme Yöntemi
API Keys sk-ant-xxx, sk-xxx Kayıt edilmez, çıktı verilmez
Parolalar Giriş parolaları, veritabanı parolaları Depolanmaz, iletilmez
Token OAuth token, Session token Şifrelenmiş depolama
Kişisel Bilgiler Kimlik numarası, banka kartı Kayıt edilmez, anonimleştirilir

Hassas Bilgi Filtreleme Yapılandırması

{
  "security": {
    "sensitiveData": {
      "patterns": [
        "sk-[a-zA-Z0-9]{20,}",
        "xox[baprs]-[a-zA-Z0-9-]+",
        "[0-9]{15,19}",
        "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\\.[a-zA-Z]{2,}"
      ],
      "redact": true,
      "log": false
    }
  }
}

Kimlik Bilgisi Depolama

# Kimlik bilgisi depolama konumu
~/.openclaw/credentials/

# Şifrelenmiş depolama
# OpenClaw hassas kimlik bilgilerini şifrelenmiş olarak saklamak için sistem anahtar zincirini kullanır

Kimlik Bilgisi Yönetimi

# Kayıtlı kimlik bilgilerini görüntüle
openclaw credentials list

# Çıktı örneği:
# Name           Type        Created
# telegram-bot   api_key     2026-02-20
# gmail-oauth    oauth       2026-02-21

# Kimlik bilgisini sil
openclaw credentials delete telegram-bot

# Kimlik bilgilerini dışa aktar (şifreli)
openclaw credentials export --output credentials.enc

# Kimlik bilgilerini içe aktar
openclaw credentials import --input credentials.enc

Ağ Güvenliği

Bağlama Yapılandırması

{
  "gateway": {
    "bind": "loopback",  // Yalnızca yerel erişim
    "port": 18789,
    "tls": {
      "enabled": false
    }
  }
}
Bağlama Seçeneği Açıklama Güvenlik Seviyesi
loopback Yalnızca yerel erişim ⭐⭐⭐⭐⭐
private Özel ağ erişimi ⭐⭐⭐⭐
all Tüm arayüzlerden erişim

Tailscale Yapılandırması

{
  "gateway": {
    "tailscale": {
      "mode": "serve",  // serve veya funnel
      "resetOnExit": true
    },
    "auth": {
      "mode": "password",
      "allowTailscale": true
    }
  }
}

Kimlik Doğrulama Yapılandırması

{
  "gateway": {
    "auth": {
      "mode": "password",
      "password": "your-secure-password",
      "sessionTimeout": 3600000
    }
  }
}

Denetim ve Günlükler

İşlem Günlükleri

{
  "logging": {
    "level": "info",
    "audit": {
      "enabled": true,
      "events": [
        "tool.invoke",
        "session.create",
        "session.reset",
        "pairing.approve",
        "pairing.reject",
        "elevated.enable",
        "elevated.disable"
      ],
      "retention": 30
    }
  }
}

Denetim Günlüklerini Görüntüleme

# Denetim günlüklerini görüntüle
openclaw logs --type audit

# Çıktı örneği:
# [2026-02-26 10:30:00] INFO  tool.invoke session=main tool=bash command="ls -la"
# [2026-02-26 10:30:05] INFO  pairing.approve channel=telegram code=ABC123 user=123456789
# [2026-02-26 10:31:00] INFO  elevated.enable session=telegram:user:123456789

# Belirli olayları filtrele
openclaw logs --type audit --filter "tool.invoke"

# Zaman aralığına göre
openclaw logs --type audit --from 2026-02-01 --to 2026-02-28

Kullanım İzleme

# Kullanım durumunu görüntüle
openclaw usage --today

# Çıktı örneği:
# Date: 2026-02-26
# Requests: 128
# Tokens In: 125,000
# Tokens Out: 45,000
# Cost: $2.10
# Top Tools: bash(45), read(32), write(18)

# Anormallik tespiti
openclaw usage --alerts

# Çıktı örneği:
# ⚠️  Yüksek kullanım tespit edildi: 1 saatte 1000+ istek
# ⚠️  Olağandışı araç kullanım kalıbı: hassas dizinlere bash komutları

Güvenlik Kontrol Listesi

Temel Güvenlik

  • DM eşleştirme veya beyaz listeyi etkinleştir
  • Sandbox modunu yapılandır
  • Uygun araç yetkilerini ayarla
  • İşlem denetim günlüklerini etkinleştir
  • Düzenli olarak API Key’leri değiştir

İleri Düzey Güvenlik

  • Dosya sistemi yetki kısıtlamalarını yapılandır
  • Ağ çıkış beyaz listesini ayarla
  • Hassas bilgi filtrelemeyi etkinleştir
  • Elevated yetki onayını yapılandır
  • Eşleştirilmiş kullanıcıları düzenli olarak gözden geçir

Kurumsal Düzey Güvenlik

  • Docker sandbox izolasyonu kullan
  • Tailscale özel ağını yapılandır
  • HTTPS/TLS’i etkinleştir
  • Kullanım miktarı uyarılarını ayarla
  • Düzenli güvenlik denetimi yap

Güvenlik Teşhisi

# Güvenlik teşhisini çalıştır
openclaw doctor --security

# Çıktı örneği:
# ✅ DM Pairing: Enabled
# ✅ Sandbox Mode: non-main
# ⚠️  File Permissions: Some directories not restricted
# ✅ Network Outbound: Restricted to allowlist
# ⚠️  Elevated Access: No confirmation required
# ✅ Audit Logging: Enabled
# ✅ Credentials: Encrypted

# Öneriler:
# - Dosya erişimini yalnızca ~/workspace ile sınırlayın
# - Elevated erişim onayını etkinleştirin

Özet

Güvenlik yapılandırması, OpenClaw dağıtımının önemli bir aşamasıdır:

  • DM Eşleştirme: Yetkisiz erişimi önler
  • Sandbox Modu: İşlem kapsamını sınırlar
  • Yetki Kontrolü: Detaylı araç ve dosya yetkileri
  • Hassas Veri: Hassas bilgileri filtreler ve korur
  • Ağ Güvenliği: Bağlama ve kimlik doğrulama yapılandırması
  • Denetim Günlükleri: İşlemleri izler ve denetler

Bu Bölümün Özeti:

  • Ana güvenlik riskleri ve koruma mekanizmalarını anladınız
  • DM eşleştirme ve beyaz liste yapılandırmasını öğrendiniz
  • Sandbox modu ve yetki kontrolünü kavradınız
  • Hassas veri işleme ve ağ yapılandırmasını öğrendiniz
  • Denetim günlükleri ve güvenlik kontrol listesini kavradınız

Güncelleme Geçmişi:

  • 2026-02-26: İlk sürüm yayınlandı, OpenClaw v2026.2 tabanlı

Seri Navigasyonu: