OpenClaw’ın arka kapısı ardına kadar açık.
Bu filmi daha önce gördüm — Silikon Vadisi’nin parlak oyuncaklarını 20 yıldır kovalarken, cihaz eşleştirmeyi güvenli yapması gereken bir araçta bir yetki yükseltme gafı daha karşımıza çıkıyor. Geliştiricilerin vazgeçilmezi olan o açık kaynak cihaz bağlantı yönetim aracı OpenClaw’un 2026.3.28 öncesi sürümlerinde CVE-2026-33579 açığı var. Klasik numara: /pair approve komutu çağıranın kapsamlarını çekirdek kontrole iletmiyor. Bum. Sadece eşleştirme yetkisi olan biri, yönetici yetkileri isteyen bekleyen bir isteği onaylıyor. Kimse sesini çıkarmadan.
Üstelik hata extensions/device-pair/index.ts ve src/infra/device-pairing.ts dosyalarında gizli. Tembel doğrulama mı, acele kod mu? Fark etmez. Saldırganlar sömürüyor ve birden ağınızda yetkisiz efendiler türeyiveriyor.
OpenClaw Eşleştirme Kodunda Ne Bok Yemişler?
Bakın, cihaz eşleştirmek masum görünüyor — tak, onayla, bitti. Ama OpenClaw’ınki? Dağınık. Komut yolu kapsam kontrollerini atlıyor, eşleştirme yetkisi olan biri geniş istekleri damga basıyor. Valet’e Ferrari anahtarlarını verip kasanın şifresini de isteyip istemediğini kontrol etmemek gibi.
İşte kanıt, CVE detaylarından doğrudan:
OpenClaw 2026.3.28 öncesi sürümlerde /pair approve komut yolunda yetki yükseltme açığı var; çağıran kapsamları çekirdek onay kontrolüne iletmiyor. Eşleştirme yetkisi olan ama yönetici yetkisi olmayan biri, yönetici erişimi dahil daha geniş kapsamlar isteyen bekleyen cihaz isteklerini, extensions/device-pair/index.ts ve src/infra/device-pairing.ts’deki eksik kapsam doğrulaması sayesinde onaylayabiliyor.
Abartı yok. NVD düpedüz söylüyor. Şekerleme yok.
Derine inince aynı hikaye. 2014’te Heartbleed tamponların önemini öğretti; 2018’de Docker yetki yükseltmeleri her yerdeydi çünkü konteynerler sınırları bulanıklaştırdı. OpenClaw? 2026dayız ve hâlâ kapsam aktarımı eksik. Bence bu bir hata değil, satıcı kilitleme yorgunluğunun belirtisi. Geliştiriciler Apple’ın kapalı bahçelerinden veya Google’ın OAuth labirentlerinden kaçmak için açık kaynak eşleştirme araçlarına sarılıyor ama denetim için para yok. Kim kazanıyor? Bulut devleri, rakiplerinin araçlarını yama yaparken gülüyor.
Kısa paragraf: Hemen yamala.
Ama kendimizi kandırmayalım — bu IoT, kenar cihazlar veya uzak filoları bağlayan her ekip için vurucu. Tek sömürülmüş onay ve yönetici kapsamlarınız yanıp kül. CVSS puanları? NVD’ye göre yüksek bekleyin — yetki yükseltme etkisiyle 8+ diyelim.
Bu OpenClaw Yetki Açığından Kim Gerçekten Etkileniyor?
Önce küçük takımlar. Bootstrapping yapıyorsunuz, dev kit’ler, sensörler eşleştiriyorsunuz — bam, içeriden tehdit veya tedarik zinciri sızması eşleştirmeyi ele geçirmeye çeviriyor. Kurumsallar? Daha beter. Binlerce cihaza ölçekleyin, uyum kâbusu — SOC 2 denetimleri sertifikalarınızı lime lime ediyor.
İşte alaycı kısım: OpenClaw bakıcıları muhtemelen 2026.3.28’de çabucak düzeltti ama kaç fork sürünüyor? GitHub bayat repolarla dolu. NVD metrikleri? Kamu verileriyle zenginleşiyor ama gerçek dünya sömürüleri? Şimdilik sessiz. Güvende olduğunuz anlamına gelmez.
Bir saniye dolaşalım — Log4Shell’ı hatırlayın? Herkes yamala, varyantlar patladı. Bu da öyle kokuyor: şimdilik niş, ama eşleştirme araçları AI kenar çöplüğünde patlarsa salgın olur.
Orta düşünce: Bağımlılıklarınızı güncelleyin. CI’nızı kontrol edin.
OpenClaw Açığı Neden DevOps’ta Yankılanıyor?
Yama notları ötesinde neden umursayalım? Çünkü cihaz eşleştirmesi yeni sınır — 5G, kenar AI, o jazz — ve OpenClaw gibi araçlar tescilli cehennemden özgürlük vaat ediyor. Ama özgürlük bedava değil: Açık kaynak altyapıda TypeScript uzantılarını kim denetliyor?
Cesur tahminim: 2028’e kadar ‘PairingShell’ mega açığı göreceğiz, bunları zincirleyecek. Tarih kendini tekrarlıyor — erken Kubernetes RBAC atlamaları küme ele geçirmelerine yol açtı. OpenClaw sadece giriş. Para sorusu? Bulut sağlayıcıları ‘güvenli’ alternatiflerini satarken OSS gönüllüleri kan kayb
