OpenClaw v2026.2 için geçerlidir | Bu makale tüm OpenClaw kullanıcıları, özellikle üretim dağıtımı veya ekip kullanımına hazırlanan kullanıcılar için uygundur.
TL;DR: DM eşleştirme yetkisiz erişimi önler: "dmPolicy": "pairing". Sandbox tehlikeli işlemleri izole eder: "sandbox": {"mode": "non-main"}. Hassas veri filtreleme: "security": {"sensitiveData": {"patterns": ["sk-*"]}}. Uzaktan erişim için genel ağ yerine Tailscale kullanın. Güvenlik durumunu kontrol etmek için openclaw doctor --security çalıştırın.
Güvenlik Risklerine Genel Bakış
Ana Risk Türleri
| Risk Türü | Açıklama | Olası Sonuçlar |
|---|---|---|
| Yetkisiz Erişim | Yabancılar Agent’ınızı kullanabilir | Kaynak kötüye kullanımı, gizlilik ihlali |
| Yetki Kötüye Kullanımı | Agent beklenenden fazla işlem yürütür | Veri bozulması, sistem hasarı |
| Veri Sızıntısı | Hassas bilgilerin uygunsuz işlenmesi | Gizlilik ihlali, uyumluluk sorunları |
| Ağ Saldırısı | Dış saldırganların açıkları kullanması | Sistem ele geçirilmesi, veri hırsızlığı |
| Prompt Enjeksiyonu | Kötü amaçlı komutların güvenlik sınırlamalarını atlaması | Yetkisiz işlemler |
Güvenlik Modeli
flowchart TB
subgraph DışKatman["Ağ Katmanı"]
FW[Güvenlik Duvarı]
TLS[HTTPS/TLS]
end
subgraph OrtaKatman["Erişim Kontrolü"]
DM[DM Eşleştirme]
WL[Beyaz Liste]
AUTH[Kimlik Doğrulama]
end
subgraph İçKatman["Yürütme Kontrolü"]
SBX[Sandbox]
PERM[Yetkiler]
AUDIT[Denetim]
end
subgraph Çekirdek["Agent"]
AG[Agent Çekirdeği]
end
DışKatman --> OrtaKatman --> İçKatman --> Çekirdek
DM Eşleştirme Mekanizması
DM Eşleştirme Nedir?
DM (Direct Message) eşleştirme, yeni kullanıcıların Agent ile konuşabilmesi için önce eşleştirme işlemini tamamlamasını gerektiren bir koruma mekanizmasıdır.
Eşleştirme Süreci
sequenceDiagram
participant S as Yabancı
participant B as Bot
participant G as Gateway
participant O as Sahip
S->>B: Mesaj gönderir "Merhaba"
B->>G: Mesaj ulaşır
G->>G: Eşleştirme durumu kontrol edilir
G-->>B: Eşleştirilmemiş, eşleştirme kodu oluşturulur
B-->>S: "Lütfen eşleştirin: Eşleştirme kodu ABC123"
S->>O: Sahibe eşleştirme kodunu iletir
O->>G: openclaw pairing approve telegram ABC123
G->>G: Beyaz listeye eklenir
G-->>S: Eşleştirme başarılı
S->>B: Mesaj gönderir "Merhaba"
B-->>S: Normal yanıt
DM Eşleştirme Yapılandırması
{
"channels": {
"telegram": {
"botToken": "your_token",
"dmPolicy": "pairing"
},
"whatsapp": {
"dmPolicy": "pairing"
},
"discord": {
"dmPolicy": "pairing"
}
}
}
Eşleştirme Modları
| Mod | Açıklama | Güvenlik Seviyesi | Kullanım Alanı |
|---|---|---|---|
pairing |
Eşleştirme kodu gerekli | ⭐⭐⭐⭐ | Kişisel kullanım (varsayılan) |
open |
Herkes kullanabilir | ⭐ | Herkese açık hizmet |
whitelist |
Yalnızca beyaz listedeki kullanıcılar | ⭐⭐⭐⭐⭐ | Yüksek güvenlik gereksinimleri |
Eşleştirme Yönetimi
# Bekleyen eşleştirme isteklerini görüntüle
openclaw pairing list
# Çıktı örneği:
# Channel Code User Created
# telegram ABC123 @stranger 2026-02-26 10:30:00
# discord XYZ789 user#1234 2026-02-26 10:35:00
# Eşleştirmeyi onayla
openclaw pairing approve telegram ABC123
# Eşleştirmeyi reddet
openclaw pairing reject telegram ABC123
# Eşleştirilmiş kullanıcıları görüntüle
openclaw pairing show telegram
Beyaz Liste Yapılandırması
{
"channels": {
"telegram": {
"dmPolicy": "open",
"allowFrom": [
123456789,
987654321
]
},
"whatsapp": {
"dmPolicy": "open",
"allowFrom": [
"+8613800138000",
"+8613800138001"
]
}
}
}
Kullanıcı ID’sini Alma
# Telegram: @userinfobot'a mesaj gönderin
# Discord: Kanalda /id komutunu kullanın veya kullanıcı profilini kontrol edin
# WhatsApp: Kişi bilgilerinden alın
Sandbox Modu
Sandbox Nedir?
Sandbox, Agent’ın işlem kapsamını sınırlayan, kazara veya kötü amaçlı sistem değişikliklerini önleyen bir izolasyon mekanizmasıdır.
Sandbox Modları
| Mod | Açıklama | Kullanım Alanı |
|---|---|---|
off |
Sandbox yok, tam güven | Ana oturum, güvenilir ortam |
non-main |
Ana olmayan oturumlarda sandbox etkin | Çok kullanıcılı, ekip paylaşımlı |
always |
Her zaman sandbox etkin | Güvenilmeyen ortam, herkese açık hizmet |
Sandbox Yapılandırması
{
"agents": {
"defaults": {
"sandbox": {
"mode": "non-main",
"allowlist": ["read", "write", "edit", "bash"],
"denylist": ["browser", "canvas", "nodes"],
"container": {
"image": "openclaw/sandbox:latest",
"timeout": 30000,
"memory": "512m",
"cpu": "0.5"
}
}
}
}
}
Araç Yetki Kontrolü
{
"agents": {
"defaults": {
"sandbox": {
"mode": "non-main",
"allowlist": [
"read",
"write",
"edit",
"bash",
"web_search",
"sessions_list",
"sessions_history",
"sessions_send"
],
"denylist": [
"browser",
"canvas",
"nodes",
"cron",
"discord",
"gateway"
]
}
}
}
}
Dosya Sistemi Yetkileri
{
"agents": {
"defaults": {
"permissions": {
"filesystem": {
"read": ["~/workspace", "~/documents"],
"write": ["~/workspace/output"],
"deny": ["~/.ssh", "~/.gnupg", "~/.openclaw/credentials"]
}
}
}
}
}
Ağ Yetkileri
{
"agents": {
"defaults": {
"permissions": {
"network": {
"outbound": {
"allow": [
"api.anthropic.com",
"api.openai.com",
"github.com"
],
"deny": ["*"]
}
}
}
}
}
}
Elevated Yetkileri
Elevated Yetki Nedir?
Elevated yetki, daha yüksek yetki gerektiren işlemler için geçici olarak yetki yükseltme mekanizmasıdır.
Elevated Yetki Yapılandırması
{
"agents": {
"defaults": {
"elevatedAccess": {
"enabled": true,
"allowlist": [123456789, 987654321],
"requireConfirmation": true,
"timeout": 300000
}
}
}
}
Elevated Yetki Kullanımı
# Sohbette yetki yükseltme talebi
/elevated on
# Yükseltilmiş yetki gerektiren işlemleri yürüt
# ...
# Yükseltilmiş yetkiyi kapat
/elevated off
Hassas Veri İşleme
Hassas Bilgi Türleri
| Tür | Örnek | İşleme Yöntemi |
|---|---|---|
| API Keys | sk-ant-xxx, sk-xxx |
Kayıt edilmez, çıktı verilmez |
| Parolalar | Giriş parolaları, veritabanı parolaları | Depolanmaz, iletilmez |
| Token | OAuth token, Session token | Şifrelenmiş depolama |
| Kişisel Bilgiler | Kimlik numarası, banka kartı | Kayıt edilmez, anonimleştirilir |
Hassas Bilgi Filtreleme Yapılandırması
{
"security": {
"sensitiveData": {
"patterns": [
"sk-[a-zA-Z0-9]{20,}",
"xox[baprs]-[a-zA-Z0-9-]+",
"[0-9]{15,19}",
"[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\\.[a-zA-Z]{2,}"
],
"redact": true,
"log": false
}
}
}
Kimlik Bilgisi Depolama
# Kimlik bilgisi depolama konumu
~/.openclaw/credentials/
# Şifrelenmiş depolama
# OpenClaw hassas kimlik bilgilerini şifrelenmiş olarak saklamak için sistem anahtar zincirini kullanır
Kimlik Bilgisi Yönetimi
# Kayıtlı kimlik bilgilerini görüntüle
openclaw credentials list
# Çıktı örneği:
# Name Type Created
# telegram-bot api_key 2026-02-20
# gmail-oauth oauth 2026-02-21
# Kimlik bilgisini sil
openclaw credentials delete telegram-bot
# Kimlik bilgilerini dışa aktar (şifreli)
openclaw credentials export --output credentials.enc
# Kimlik bilgilerini içe aktar
openclaw credentials import --input credentials.enc
Ağ Güvenliği
Bağlama Yapılandırması
{
"gateway": {
"bind": "loopback", // Yalnızca yerel erişim
"port": 18789,
"tls": {
"enabled": false
}
}
}
| Bağlama Seçeneği | Açıklama | Güvenlik Seviyesi |
|---|---|---|
loopback |
Yalnızca yerel erişim | ⭐⭐⭐⭐⭐ |
private |
Özel ağ erişimi | ⭐⭐⭐⭐ |
all |
Tüm arayüzlerden erişim | ⭐ |
Tailscale Yapılandırması
{
"gateway": {
"tailscale": {
"mode": "serve", // serve veya funnel
"resetOnExit": true
},
"auth": {
"mode": "password",
"allowTailscale": true
}
}
}
Kimlik Doğrulama Yapılandırması
{
"gateway": {
"auth": {
"mode": "password",
"password": "your-secure-password",
"sessionTimeout": 3600000
}
}
}
Denetim ve Günlükler
İşlem Günlükleri
{
"logging": {
"level": "info",
"audit": {
"enabled": true,
"events": [
"tool.invoke",
"session.create",
"session.reset",
"pairing.approve",
"pairing.reject",
"elevated.enable",
"elevated.disable"
],
"retention": 30
}
}
}
Denetim Günlüklerini Görüntüleme
# Denetim günlüklerini görüntüle
openclaw logs --type audit
# Çıktı örneği:
# [2026-02-26 10:30:00] INFO tool.invoke session=main tool=bash command="ls -la"
# [2026-02-26 10:30:05] INFO pairing.approve channel=telegram code=ABC123 user=123456789
# [2026-02-26 10:31:00] INFO elevated.enable session=telegram:user:123456789
# Belirli olayları filtrele
openclaw logs --type audit --filter "tool.invoke"
# Zaman aralığına göre
openclaw logs --type audit --from 2026-02-01 --to 2026-02-28
Kullanım İzleme
# Kullanım durumunu görüntüle
openclaw usage --today
# Çıktı örneği:
# Date: 2026-02-26
# Requests: 128
# Tokens In: 125,000
# Tokens Out: 45,000
# Cost: $2.10
# Top Tools: bash(45), read(32), write(18)
# Anormallik tespiti
openclaw usage --alerts
# Çıktı örneği:
# ⚠️ Yüksek kullanım tespit edildi: 1 saatte 1000+ istek
# ⚠️ Olağandışı araç kullanım kalıbı: hassas dizinlere bash komutları
Güvenlik Kontrol Listesi
Temel Güvenlik
- DM eşleştirme veya beyaz listeyi etkinleştir
- Sandbox modunu yapılandır
- Uygun araç yetkilerini ayarla
- İşlem denetim günlüklerini etkinleştir
- Düzenli olarak API Key’leri değiştir
İleri Düzey Güvenlik
- Dosya sistemi yetki kısıtlamalarını yapılandır
- Ağ çıkış beyaz listesini ayarla
- Hassas bilgi filtrelemeyi etkinleştir
- Elevated yetki onayını yapılandır
- Eşleştirilmiş kullanıcıları düzenli olarak gözden geçir
Kurumsal Düzey Güvenlik
- Docker sandbox izolasyonu kullan
- Tailscale özel ağını yapılandır
- HTTPS/TLS’i etkinleştir
- Kullanım miktarı uyarılarını ayarla
- Düzenli güvenlik denetimi yap
Güvenlik Teşhisi
# Güvenlik teşhisini çalıştır
openclaw doctor --security
# Çıktı örneği:
# ✅ DM Pairing: Enabled
# ✅ Sandbox Mode: non-main
# ⚠️ File Permissions: Some directories not restricted
# ✅ Network Outbound: Restricted to allowlist
# ⚠️ Elevated Access: No confirmation required
# ✅ Audit Logging: Enabled
# ✅ Credentials: Encrypted
# Öneriler:
# - Dosya erişimini yalnızca ~/workspace ile sınırlayın
# - Elevated erişim onayını etkinleştirin
Özet
Güvenlik yapılandırması, OpenClaw dağıtımının önemli bir aşamasıdır:
- DM Eşleştirme: Yetkisiz erişimi önler
- Sandbox Modu: İşlem kapsamını sınırlar
- Yetki Kontrolü: Detaylı araç ve dosya yetkileri
- Hassas Veri: Hassas bilgileri filtreler ve korur
- Ağ Güvenliği: Bağlama ve kimlik doğrulama yapılandırması
- Denetim Günlükleri: İşlemleri izler ve denetler
Bu Bölümün Özeti:
- Ana güvenlik riskleri ve koruma mekanizmalarını anladınız
- DM eşleştirme ve beyaz liste yapılandırmasını öğrendiniz
- Sandbox modu ve yetki kontrolünü kavradınız
- Hassas veri işleme ve ağ yapılandırmasını öğrendiniz
- Denetim günlükleri ve güvenlik kontrol listesini kavradınız
Güncelleme Geçmişi:
- 2026-02-26: İlk sürüm yayınlandı, OpenClaw v2026.2 tabanlı
Seri Navigasyonu:
- ← Önceki: Çoklu Agent Yönlendirme ve Oturum İzolasyonu
- → Sonraki: Uzaktan Dağıtım Çözümleri