KuCoin
লগ ইন করুন
language_currency
হোম
ব্লগ
Tips and Tricks
বিশদে
img

ওপেনক্লক নিরাপদ? প্রতিদিনের ব্যবহারকারীদের জানা দরকার 5টি সাধারণ নিরাপত্তা ঝুঁকি

2026/04/02 10:06:02
কাস্টম
ওপেনক্লস দ্বারা নেতৃত্ব দেওয়া স্বায়ত্তশাসিত এআই এজেন্ট যুগের আবির্ভাবে, এই অত্যন্ত জনপ্রিয় ওপেন-সোর্স ফ্রেমওয়ার্কটি প্যাসিভ চ্যাটবটগুলিকে প্রোঅ্যাকটিভ ডিজিটাল সহায়কে রূপান্তরিত করছে। ওয়েব ব্রাউজ করা, কোড এক্সিকিউট করা এবং ফাইল ম্যানেজ করার ক্ষমতা সহ, ওপেনক্লস টেক জায়ান্টদের ডেটা সেন্টারগুলি থেকে সরাসরি দৈনন্দিন ব্যবহারকারীদের এবং ওয়েব3 প্রেমীদের ল্যাপটপে চলে এসেছে।
 
তবে, এই এআই শক্তির জনগণীকরণের সাথে একটি লুকানো, উচ্চ-ঝুঁকিপূর্ণ খরচ জড়িত। বেশিরভাগ সাধারণ মানুষ ডিফল্ট সেটিংস ব্যবহার করে OpenClaw ইনস্টল করছেন, এবং সম্পূর্ণরূপে অজানা থাকায় তারা অপ্রতিরোধ্য এআইকে তাদের স্থানীয় সিস্টেম এবং আর্থিক ক্রেডেনশিয়ালের অপরিমিত অ্যাক্সেস দিচ্ছেন। যখন এন্টারপ্রাইজ ব্যবহারকারীদের এই হুমকি পরিচালনা করার জন্য বিশেষজ্ঞ আইটি দল এবং বিচ্ছিন্ন সার্ভার থাকে, তখন দৈনন্দিন ব্যবহারকারীরা তাদের ব্যক্তিগত ডেটা, ক্রিপ্টো ওয়ালেট এবং API কি বিপজ্জনকভাবে প্রকাশিত রাখছেন।
 
এই ব্যাপক গাইডে, আমরা ওপেনক্লসের ভিত্তিগত আর্কিটেকচার বিশ্লেষণ করব, এটি ইনস্টল করার সময় আপনার মুখোমুখি হওয়া পাঁচটি সবচেয়ে গুরুত্বপূর্ণ সিকিউরিটি ঝুঁকি উদঘাটন করব এবং কুকয়েনের মতো সিকিউর প্ল্যাটফর্ম ব্যবহার করে Web3 এবং AI-এর সংযোগস্থলে নিরাপদে পথ চলার সঠিক পদ্ধতি দেখাব।
 

ওপেনক্লস আর্কিটেকচার বুঝুন

নির্দিষ্ট দুর্বলতাগুলি বিশ্লেষণ করার আগে, প্রাচীন ক্লাউড-ভিত্তিক এআই অ্যাপ্লিকেশন এবং স্বায়ত্তশাসিত এজেন্টগুলির মধ্যে গঠনগত পার্থক্য বুঝতে প্রয়োজন। প্রাচীন চ্যাটবটগুলি কঠোরভাবে বিচ্ছিন্ন, স্যান্ডবক্সড পরিবেশে কাজ করে যেখানে ইনপুট এবং আউটপুট টেক্সট জেনারেশনের মধ্যে সীমাবদ্ধ।
 
OpenClaw এই সুরক্ষা প্যারাডাইমকে মৌলিকভাবে পরিবর্তন করে। এটি একটি এজেন্টিক ফ্রেমওয়ার্ক হিসেবে তৈরি করা হয়েছে, যা একটি বড় ভাষা মডেল (LLM) এবং হোস্ট অপারেটিং সিস্টেমের মধ্যে ব্যবধান পূরণ করে, যার ফলে AI-এর স্থানীয় পরিবেশে প্রোগ্রামম্যাটিক পড়া/লেখার অ্যাক্সেস প্রদান করে।
 
নিরাপত্তার অন্তর্নিহিত ঝুঁকি বুঝতে, এর তিন-স্তরের আর্কিটেকচার পর্যালোচনা করতে হবে:
 
রিজনিং ইঞ্জিন (LLM): এটি প্রাকৃতিক ভাষা প্রক্রিয়াকরণ, যুক্তি মূল্যায়ন এবং ব্যবহারকারীর ইনপুট বা সিস্টেম প্রেক্ষাপটের ভিত্তিতে কার্যকরী কমান্ড তৈরি করার জন্য দায়ী মূল মডেল।
 
অর্কেস্ট্রেশন লেয়ার: ওপেনক্লক ফ্রেমওয়ার্কটিই মিডলওয়্যার হিসাবে কাজ করে। এটি কনটেক্সট উইন্ডো পরিচালনা করে, মেমোরি পরিচালনা করে এবং LLM-এর র‍্যাও টেক্সট আউটপুটগুলি পার্স করে, এগুলিকে সংশ্লিষ্ট এক্সিকিউশন মডিউলগুলির দিকে পাঠায়।
 
টুল এবং এক্সটেনশন ইন্টারফেস: এটিই প্রধান নিরাপত্তা ঝুঁকির স্থান। ওপেনক্লস কোড বাস্তবায়ন, স্থানীয় ফাইল সিস্টেম পরিচালনা, কমান্ড-লাইন ইন্টারফেস (CLI) এর সাথে মিথস্ক্রিয়া এবং বাহ্যিক ওয়েব API-এ HTTP অনুরোধ পাঠাতে প্লাগইন (টুল) ব্যবহার করে।
 
সাইবার নিরাপত্তার দৃষ্টিকোণ থেকে, এই আর্কিটেকচার সফটওয়্যার আইসোলেশনের প্রাচীন সীমানা ব্যবস্থাগতভাবে ধ্বংস করে দেয়। যখন একটি LLM-কে টুল ইন্টারফেসের মাধ্যমে স্থানীয় কার্যক্রমের অনুমতি দেওয়া হয়, তখন অপারেটিং সিস্টেমটি অন্তর্নিহিতভাবে ফ্রেমওয়ার্কের কার্যক্রমের অনুরোধগুলিকে বিশ্বাস করে।
 
ফলস্বরূপ, যদি মডেলের যুক্তি বিকৃত হয়, যা প্রম্পট ইঞ্জেকশনের মতো অপকারী ইনপুট বা ক্ষতিকরভাবে তৈরি বাহ্যিক ডেটার মাধ্যমে ঘটে, তাহলে OpenClaw ফ্রেমওয়ার্ক সেই বিকৃত যুক্তিকে অননুমোদিত, সিস্টেম-লেভেল কার্যকলাপে অনুবাদ করবে।
 

ঝুঁকি 1: প্রকাশিত ইনস্ট্যান্স এবং অথেনটিকেশনহীন নেটওয়ার্ক অ্যাক্সেস

সাধারণ ব্যবহারকারীদের ওপেনক্লক এজেন্ট ইনস্টল করার সময় সবচেয়ে বেশি দেখা যায় এবং সবচেয়ে ধ্বংসাত্মক ভুল হলো তাদের নেটওয়ার্ক সেটিংস ভুলভাবে কনফিগার করা, যার ফলে সাইবার নিরাপত্তা গবেষকদের যা বলেন তা হলো একটি এক্সপোজড ইনস্ট্যান্স।
 
একটি স্ট্যান্ডার্ড ডেস্কটপ অ্যাপ্লিকেশনের বিপরীতে, একটি ওপেনক্লস এআই এজেন্ট একটি লোকাল সার্ভার হিসেবে কাজ করে। ব্লকচেইন নেটওয়ার্কের সাথে যোগাযোগ করতে এবং স্বয়ংক্রিয় ট্রেড সম্পাদন করতে, এটি আপনার কম্পিউটারে নির্দিষ্ট নেটওয়ার্ক পোর্ট খুলতে হবে। অ্যাডভান্সড ডেভেলপাররা জানেন কিভাবে এই পোর্টগুলিকে শক্তিশালীভাবে তাদের লোকাল মেশিনের সাথে বাঁধবেন এবং জটিল অথেনটিকেশন প্রোটোকল দিয়ে তাদের নিরাপদ করবেন।
 
তবে, শুরুর জন্য টিউটোরিয়ালগুলি ব্যবহারকারীদের কঠোর ফায়ারওয়াল সেটিংস বাইপাস করতে বা দ্রুত এজেন্টটি চালু করতে পোর্ট-ফরওয়ার্ডিং টুলস ব্যবহার করতে পরামর্শ দিতে পারে। যদি একজন সাধারণ ব্যবহারকারী শক্তিশালী পাসওয়ার্ড অথেনটিকেশন সেটআপ না করে এই পোর্টগুলিকে ব্যাপক ইন্টারনেটের সাথে খোলা রাখে, তাহলে ফলাফল ভয়াবহ হবে। তারা মূলত তাদের কম্পিউটারের ডিজিটাল সামনের দরজা খোলা রেখেছে।
 
ওপেনক্ল ডিপ্লয়মেন্ট বিশ্লেষণ করে হুমকি বুদ্ধিমত্তা রিপোর্টগুলির অনুসারে, দুষ্টু অপারেটররা এই প্রকাশিত উদাহরণগুলি খোঁজার জন্য নিয়মিতভাবে স্বয়ংক্রিয় স্ক্যানার ব্যবহার করে। যদি একজন হ্যাকার আপনার অরক্ষিত ওপেনক্ল সার্ভারটি খুঁজে পায়, তাহলে তাদের আপনার পাসওয়ার্ড হ্যাক করার দরকার হয় না; তারা শুধুমাত্র আপনার AI এজেন্টের দিকে রিমোট কমান্ড পাঠায়, যা আপনার সংযুক্ত ক্রিপ্টো ওয়ালেটের বিষয়বস্তুকে তাদের নিজস্বের দিকে ট্রান্সফার করতে নির্দেশ দেয়।
 

ঝুঁকি 2: ডেটা প্রবাহ এবং সংবেদনশীল তথ্যের প্রকাশ

প্রথম ঝুঁকির ক্ষেত্রে একজন ক্ষতিকারক হ্যাকার ভেংগে প্রবেশ করে, কিন্তু দ্বিতীয় প্রধান দুর্বলতা, ডেটা লিকেজ, প্রায়শই বড় ভাষা মডেলগুলির (LLMs) স্বাভাবিক প্রকৃতির কারণে দুর্ঘটনাবশত ঘটে।
 
একটি ডিসেন্ট্রালাইজড সহায়ক হিসাবে কার্যকরভাবে কাজ করতে, একটি ওপেনক্লস এজেন্টের অসংখ্য প্রসঙ্গের প্রয়োজন হয়। স্থানীয়ভাবে ইনস্টল করা হলে, এই এজেন্টগুলি প্রায়শই আপনার হার্ড ড্রাইভের স্থানীয় ফাইলগুলি ইনডেক্স করতে এবং পড়তে অনুমতি পায়, যাতে তারা আপনার ট্রেডিং ইতিহাস, ঝুঁকির সহনশীলতা এবং পোর্টফোলিও সেটআপ বুঝতে পারে।
 
সুরক্ষা ঝুঁকি তখন উঠে আসে যখন ব্যবহারকারীরা এজেন্টকে প্রযুক্তিগতভাবে বিচ্ছিন্ন (ডিজিটালভাবে পৃথক) করতে ব্যর্থ হয়। যদি একটি ওপেনক্লস এজেন্টকে আপনার ডকুমেন্টস ফোল্ডারে অসীম অ্যাক্সেস দেওয়া হয়, তবে এটি আপনার অত্যন্ত সংবেদনশীল ক্রিপ্টোগ্রাফিক সিড বাক্যাংশ বা প্রাইভেট কী সহযুক্ত প্লেইন-টেক্সট ফাইলগুলি অজান্তেই পড়তে পারে। কারণ ওপেনক্লস প্রায়শই ভারী যুক্তির কাজগুলি প্রক্রিয়াকরণের জন্য বাহ্যিক API কলের উপর নির্ভরশীল (ডেটা ক্লাউড সার্ভারগুলির সাথে আউট-ইন পাঠানো), এজেন্টটি তার ডেটা প্যাকেটগুলিতে আপনার প্রাইভেট কীগুলি অজান্তেই অন্তর্ভুক্ত করতে পারে।
 
এই ডেটা প্রবাহের পরিস্থিতিগুলিতে, আপনার ক্রিপ্টো ওয়ালেট একটি জটিল সাইবার আক্রমণের মাধ্যমে খালি হয় না, বরং আপনার নিজস্ব স্বয়ংক্রিয় এজেন্ট একটি স্ট্যান্ডার্ড ট্রেডিং প্রম্পট বাস্তবায়নের চেষ্টা করার সময় আপনার পাসওয়ার্ডগুলি একটি বাহ্যিক সার্ভারে দুর্ঘটনাবশত প্রচার করে।
 

ঝুঁকি 3: প্রম্পট ইনজেকশন আক্রমণের হুমকি

একটি স্ট্যান্ডার্ড ক্লাউড চ্যাটবটে, একটি প্রম্পট ইঞ্জেকশন শুধুমাত্র এআইকে অনুপযুক্ত কিছু বলতে বাধ্য করতে পারে। তবে, ওপেনক্লসের মতো লোকাল এজেন্ট ব্যবহার করলে, এই ত্রুটি অনেক বেশি বিপজ্জনক হয়ে উঠে। এটি আক্রমণকারীদের আপনার কম্পিউটারের গোপনে নিয়ন্ত্রণ নিতে দিতে পারে।
 
প্রতিদিনের ব্যবহারকারীদের জন্য সবচেয়ে বড় বিপদ হল ইনডাইরেক্ট প্রম্পট ইনজেকশন নামক একটি প্রযুক্তি। এটি ঘটে যখন AI একটি ফাইল বা ওয়েবপেজ পড়ে যাতে লুকানো, ক্ষতিকারক নির্দেশাবলী থাকে। যেহেতু AI-এর কাছে আপনার নির্দেশ এবং হ্যাকারের লুকানো নির্দেশের মধ্যে পার্থক্য করার কোনো উপায় নেই, তাই এটি শুধুমাত্র শেষে যা পড়ে তা মেনে চলে।
 
ওয়েব3 বিনিয়োগকারীদের জন্য যারা ক্রিপ্টো মার্কেট গবেষণার জন্য এআই ব্যবহার করে, এটি একটি বিশাল ঝুঁকি। একজন আক্রমণকারী শুধুমাত্র একটি বিষাক্ত সোর্স বিশ্লেষণের জন্য আপনার ওপেনক্লস এজেন্টকে বিভ্রান্ত করে এটিকে হাইজ্যাক করতে পারে। সাধারণ আক্রমণের মাধ্যমগুলি হল:
 
  • দুষ্টু স্মার্ট চুক্তি অডিট: এজেন্টটি একটি ওপেন-সোর্স চুক্তি পড়ে যাতে লুকানো ডেভেলপার মন্তব্য রয়েছে যা LLM-কে একটি নির্দিষ্ট পেলোড বাস্তবায়নের নির্দেশ দেয়।
  • বিষাক্ত টোকেন সাদা কাগজ: অদৃশ্য টেক্সট (যেমন সাদা ব্যাকগ্রাউন্ডে সাদা ফন্ট) সহ পিডিএফ দলিল যা এজেন্টের সিস্টেম প্রম্পটকে চুপচাপ ওভাররাইড করে।
  • সংক্রমিত DeFi ফোরাম: এজেন্টটি ডিসেন্ট্রালাইজড ফাইন্যান্স ফোরাম থেকে সেন্টিমেন্ট ডেটা স্ক্রেপ করে, যেখানে বিরোধী নির্দেশনা সহ ব্যবহারকারী-তৈরি কন্টেন্ট অন্তর্ভুক্ত থাকে।
 
যখন ওপেনক্লস এজেন্ট এই বিষাক্ত টেক্সটটি পড়বে, তখন আপনি যে গবেষণা কাজটি দিয়েছিলেন তা ত্যাগ করে দেবে। এর বদলে, এটি হ্যাকারের লুকানো নির্দেশাবলী অনুসরণ করবে। ক্রিপ্টো বিশ্বে, এই নির্দেশাবলীগুলি বিশেষভাবে আপনার সম্পদ চুরি করার জন্য ডিজাইন করা হয়েছে। অপহরণকৃত এআই চুপচাপ আপনার কম্পিউটারের ব্যক্তিগত ফোল্ডারগুলির মধ্যে উচ্চমূল্যের লক্ষ্যগুলির অনুসন্ধান করবে, যেমন:
 
  • .env ফাইলগুলি যেগুলি আপনার ক্রিপ্টো এক্সচেঞ্জের জন্য প্লেইন-টেক্সট API কি সংরক্ষণ করে।
  • স্থানীয় ব্লকচেইন ওয়ালেট দ্বারা ব্যবহৃত wallet.dat ফাইল।
  • যে কোনও অ্যানসাইফ্রড টেক্সট ডকুমেন্ট, নোট বা স্ক্রিনশট যা আপনার ওয়ালেটের সিড বাক্যাংশ ধারণ করতে পারে।
 
এই সংবেদনশীল ফাইলগুলি খুঁজে পাওয়ার পরে, ওপেনক্লস এজেন্ট সুস্থিরভাবে ইন্টারনেটের মাধ্যমে এগুলি হ্যাকারকে পাঠায়। কারণ এআই ইনস্টলেশনের সময় আপনি যে অনুমতিগুলি প্রদান করেছিলেন, ঠিক সেই অনুমতিগুলি ব্যবহার করছে, আপনার কম্পিউটারের স্ট্যান্ডার্ড অ্যান্টিভাইরাস সফটওয়্যার সাধারণত এই কার্যকলাপকে বিপজ্জনক হিসাবে চিহ্নিত করবে না। ক্রিপ্টোকারেন্সির ক্ষেত্রে, যেখানে লেনদেনগুলি ফিরিয়ে আনা যায় না, এই নীরব চুরি প্রায়শই আপনার ডিজিটাল সম্পদের স্থায়ী ক্ষতির দিকে নিয়ে যায়।
 

ঝুঁকি 4: API কি চুরি এবং আর্থিক শোষণ

একটি স্বায়ত্তশাসিত এজেন্টকে প্রকৃতপক্ষে উপযোগী করে তুলতে, চাই তা ক্লাউড সার্ভার ব্যবস্থাপনা করুক বা ক্রিপ্টোকারেন্সি ট্রেড করুক, এটিকে আপনার বাহ্যিক অ্যাকাউন্টগুলিতে প্রবেশাধিকার প্রয়োজন। এই প্রবেশাধিকার API কি এর মাধ্যমে প্রদান করা হয়। দুঃখজনকভাবে, দৈনন্দিন ব্যবহারকারীরা প্রায়শই এই অত্যন্ত সংবেদনশীল কিগুলিকে তাদের স্থানীয় মেশিনের অ্যানএনক্রিপ্টেড, প্লেইন-টেক্সট ফাইলগুলিতে সংরক্ষণ করে।
 
সাইবার নিরাপত্তা বিশ্লেষণগুলি উল্লেখ করে যে, আপনার OpenClaw সেটআপ যদি একটি প্রকাশিত পোর্ট বা প্রম্পট ইঞ্জেকশন আক্রমণের মাধ্যমে দূষিত হয়, তবে এই API কি গুলি হ্যাকারদের জন্য চূড়ান্ত লক্ষ্য হয়ে দাঁড়ায়। একটি স্ট্যান্ডার্ড পাসওয়ার্ডের বিপরীতে, যা প্রায়শই দুই স্তরের যাচাইকরণ (2FA) দ্বারা সুরক্ষিত থাকে, একটি API কি মানব যাচাইকরণকে সম্পূর্ণভাবে বাইপাস করে এমন একটি সরাসরি VIP পাসের মতো কাজ করে।
 
ওয়েব৩ বিনিয়োগকারীদের জন্য, একটি এক্সচেঞ্জ API কি চুরি হওয়া একটি দুর্ভাগ্যজনক ঘটনা। যদি একজন খারাপ কর্মকর্তা আপনার ট্রেডিং বট দ্বারা ব্যবহৃত একটি সক্রিয় কি অর্জন করেন, তাহলে তারা কয়েক সেকেন্ডের মধ্যে একটি সম্পূর্ণ আর্থিক নিষ্কাশন সম্পাদন করতে পারেন। তাৎক্ষণিক পরিণতি সাধারণত অন্তর্ভুক্ত করে:
 
  • বাজার হস্তক্ষেপ (ড্রেন ট্রেডিং): হ্যাকাররা আপনার চুরি করা API কি ব্যবহার করে আপনার সমস্ত অর্থ ব্যবহার করে একটি অপ্রাসঙ্গিক, অলিকুইড টোকেন কিনতে থাকে, যা তারা ইতিমধ্যেই মহাকাশীয়ভাবে বৃদ্ধি পাওয়া মূল্যে মালিকানা করে, ফলে আপনার সম্পদ তাদের নিজেদের দিকে স্থানান্তরিত হয়।
  • সরাসরি সম্পত্তি উত্তোলন: যদি ব্যবহারকারী কী তৈরি করার সময় অসাবধানে "উত্তোলন" অনুমতি সক্রিয় রেখে থাকে, তাহলে আক্রমণকারী সম্পূর্ণ অ্যাকাউন্টের ব্যালেন্স একটি অনুসরণযোগ্য নয় এমন ব্লকচেইন ওয়ালেটে তাৎক্ষণিকভাবে ট্রান্সফার করতে পারে।
  • মার্জিন লিকুইডেশন: আক্রমণকারীরা শুধুমাত্র দুষ্টুতার জন্য ভুল দিকে সর্বোচ্চ লিভারেজ ট্রেড খুলতে পারে যাতে আপনার পোর্টফোলিও লিকুইড হয়ে যায়।
 
এই দুর্বলতাটি দেখিয়ে দেয় যে কঠোর অনুমতি ব্যবস্থাপনা হল আর্থিক বেঁচে থাকার একটি বিষয়। যেকোনো AI এজেন্টকে আপনার পোর্টফোলিওতে হাত দিতে দেওয়ার আগে, আপনি KuCoin-এর উন্নত API নিরাপত্তা সেটিংস কনফিগার করে একটি নিরাপদ লেনদেন অবকাঠামো ব্যবহার করতে পারেন।
 

ঝুঁকি 5: দুষ্টু এক্সটেনশন এবং সাপ্লাই চেইন দুর্বলতা

OpenClaw ফ্রেমওয়ার্কের একটি প্রধান বিক্রয় বিষয় হল এর বিস্তারযোগ্যতা। এআইকে নির্দিষ্ট DeFi প্রোটোকলের সাথে মিথস্ক্রিয়া করা, সোশ্যাল মিডিয়া থেকে ডেটা স্ক্র্যাপ করা বা স্থানীয় Python স্ক্রিপ্ট বাস্তবায়নের মতো নতুন ক্ষমতা প্রদানের জন্য ব্যবহারকারীরা প্রায়শই তৃতীয় পক্ষের প্লাগইন এবং এক্সটেনশন ইনস্টল করে। তবে, সম্প্রদায়-চালিত মডিউলগুলির উপর এই নির্ভরশীলতা একটি গুরুতর নিরাপত্তা দুর্বলতা, যাকে সাপ্লাই চেইন ভালনারেবিলিটি বলা হয়, তৈরি করে।
 
আক্রমণকারীরা এই অন্ধ বিশ্বাসকে দুর্বৃত্তি করে জনপ্রিয় রিপোজিটরি বা সম্প্রদায়ের ফোরামে ক্ষতিকারক প্যাকেজ প্রকাশ করে। তারা এই প্যাকেজগুলিকে অত্যন্ত উপযোগী টুলস হিসেবে ছদ্মবেশ ধারণ করে। যেহেতু OpenClaw এই টুলসগুলি বাস্তবায়নের জন্য উচ্চতর সিস্টেম অধিকার প্রয়োজন, একটি দূষিত এক্সটেনশন ইনস্টল করা মূলত ম্যালওয়্যারকে হোস্ট মেশিনে প্রত্যক্ষ, অবাধ অ্যাক্সেস প্রদান করে।
 
যখন কোনো ব্যবহারকারী তাদের ওপেনক্লস ইনস্ট্যান্সে একটি ক্ষতিকারক এক্সটেনশন একীভূত করে, তখন দূষিত টুলটি চুপচাপ বিভিন্ন ব্যাকগ্রাউন্ড আক্রমণ চালাতে পারে:
 
  • ডেটা বহির্বাহন: এই এক্সটেনশনটি গোপনে সংবেদনশীল ফাইল, ব্রাউজার কুকিজ এবং স্থানীয় ডাটাবেস রেকর্ড কপি করে, যা সাধারণ এআই অপারেশনের সময় বাহ্যিক সার্ভারে প্রেরণ করা হয়।
  • ক্রিপ্টোজ্যাকিং: ক্ষতিকারক মডিউলটি হোস্ট কম্পিউটারের সিপিইউ বা জিপিইউ সংস্থানগুলি হারানোর মাধ্যমে পিছনে পিছনে ক্রিপ্টোকারেন্সি খনন করে, যা সিস্টেমের পারফরম্যান্সকে গুরুতরভাবে কমিয়ে দেয় এবং হার্ডওয়্যারের পরিধি বাড়ায়।
  • ক্রেডেনশিয়াল সংগ্রহ: এই টুলটি একটি কীলগার হিসেবে কাজ করে বা ক্লিপবোর্ড ডেটা বাধা দেয়, বিশেষভাবে ব্যবহারকারী যখন পাসওয়ার্ড, 2FA কোড এবং ক্রিপ্টোকারেন্সি সিড বাক্যাংশ কপি ও পেস্ট করে তখন এগুলি লক্ষ্য করে।
  • ব্যাকডোর ইনস্টলেশন: এই এক্সটেনশনটি স্থায়ী রিমোট অ্যাক্সেস ট্রোজান (RATs) ইনস্টল করে, যার ফলে আক্রমণকারী ওপেনক্লক ইনস্ট্যান্স বন্ধ হওয়ার পরেও মেশিনটির উপর নিয়ন্ত্রণ বজায় রাখতে পারে।
 
নেটওয়ার্ক পোর্টের উপর সরাসরি আক্রমণের বিপরীতে, সাপ্লাই চেইন আক্রমণ ব্যবহারকারীর কার্যক্রমের অভ্যাসকে লক্ষ্য করে। এআই যে টুলগুলির উপর নির্ভর করে, সেগুলিকে দূষিত করে হ্যাকাররা সম্পূর্ণভাবে পিরামিট প্রতিরক্ষা বাইপাস করতে পারে, যা সাধারণ ব্যবহারকারীদের জন্য শনাক্ত করা এবং প্রতিরোধ করা সবচেয়ে কঠিন হুমকির মধ্যে একটি।
 

ওপেনক্লক এবং ওয়েব৩ এআই নিরাপদে নেভিগেট করার উপায়

স্থানীয় এআই এজেন্টগুলির সাথে জড়িত ঝুঁকিগুলি গুরুতর, তবে এগুলি অপরিহার্য নয়। ওপেনক্লসের শক্তি ব্যবহার করতে চাওয়া দৈনন্দিন ব্যবহারকারী এবং ওয়েব3 বিনিয়োগকারীদের জন্য, তাদের ডিজিটাল সম্পদকে বিপজ্জনক করার বিনিময়ে একটি "জিরো ট্রাস্ট" নিরাপত্তা মনোভাব গ্রহণ অপরিহার্য।
 
ওয়েব3 এবং স্থানীয় এআইয়ের সংযোগস্থলকে নিরাপদে নেভিগেট করার জন্য একটি ব্যবহারিক ব্লুপ্রিন্ট:
একটি স্যান্ডবক্সে ওপেনক্লস চালান
আপনার প্রাথমিক হোস্ট অপারেটিং সিস্টেমে স্বায়ত্তশাসিত এজেন্ট সরাসরি ইনস্টল করবেন না। ডকার বা বিচ্ছিন্ন ভার্চুয়াল মেশিন (VM) এর মতো কন্টেইনারাইজেশন টুলস ব্যবহার করুন। যদি একটি ক্ষতিকারক এক্সটেনশন বা প্রম্পট ইঞ্জেকশন আক্রমণ এজেন্টকে দখল করে নেয়, তবে ম্যালওয়্যারটি কন্টেইনারের ভিতরে আটকা পড়ে যাবে, যা আপনার হোস্ট মেশিনের সংবেদনশীল ফাইলগুলির প্রবেশাধিকার পাবে না।
 
স্থানীয় হোস্টে বাধ্যতামূলক বাঁধা: ইনস্টলেশনের সময় আপনার নেটওয়ার্ক কনফিগারেশন সক্রিয়ভাবে যাচাই করুন। নিশ্চিত করুন যে ওপেনক্লক API কে কঠোরভাবে 127.0.0.1-এর সাথে বাঁধা হয়েছে, 0.0.0.0-এর সাথে নয়। এই সামান্য পদক্ষেপটি আপনার স্থানীয় ইনস্ট্যান্সকে পাবলিক ইন্টারনেট এবং অটোমেটেড Shodan স্ক্যানারগুলির থেকে প্রকাশ থেকে রক্ষা করে।
 
প্লাগইন পরীক্ষা এবং সীমাবদ্ধ করুন: তৃতীয় পক্ষের এআই এক্সটেনশনগুলিকে অজানা ইমেইল সংযুক্তির মতো বিবেচনা করুন। শুধুমাত্র আনুষ্ঠানিকভাবে যাচাইকৃত রিপোজিটরি থেকে মডিউল ইনস্টল করুন, এবং আপনি তাদের প্রদান করা ডিরেক্টরি অ্যাক্সেস অনুমতি কঠোরভাবে সীমাবদ্ধ রাখুন।
 
লিভারেজ এক্সচেঞ্জ-লেভেল API সুরক্ষা (KuCoin-এর সুবিধা): যদি আপনি আপনার AI এজেন্টকে ক্রিপ্টো মার্কেটের সাথে কানেক্ট করছেন, তাহলে আপনার চূড়ান্ত সুরক্ষা নেট লুকানো আছে আপনার এক্সচেঞ্জের ইনফ্রাস্ট্রাকচারে। KuCoin-এর শক্তিশালী API সুরক্ষা ফিচারগুলি ব্যবহার করে, আপনি API চুরির হুমকিকে সম্পূর্ণভাবে নিষ্ক্রিয় করতে পারেন। সবসময় বাস্তবায়ন করুন:
 
  1.   কঠোর আইপি উইটলিস্টিং: আপনার API কি শুধুমাত্র আপনার নিরাপদ সার্ভারের আইপি ঠিকানার সাথে বাঁধুন। হ্যাকারদের যদি কি চুরি করে নেয়, তবুও তারা তা তাদের নিজস্ব ডিভাইস থেকে ব্যবহার করতে পারবে না।
  1.   সর্বনিম্ন অধিকারের নীতি: একটি API কি তৈরি করার সময়, বাজার বিশ্লেষণের জন্য কেবলমাত্র পড়ার অনুমতি এবং ব্যবহারের জন্য কেবলমাত্র ট্রেডের অনুমতি সক্ষম করুন। কোনো AI এজেন্টের জন্য উত্তোলনের অনুমতি কখনই সক্ষম করবেন না।
 

সিদ্ধান্ত

সাধারণ ব্যবহারকারীদের জন্য, একটি নিয়মিত ডেস্কটপ অ্যাপ্লিকেশন হিসেবে স্বায়ত্তশাসিত এআই ফ্রেমওয়ার্ক ব্যবহার করা নিরাপত্তা ঝুঁকির সৃষ্টি করে। প্রকাশিত নেটওয়ার্ক পোর্ট এবং কুটিল প্রম্পট ইঞ্জেকশন থেকে শুরু করে ভয়াবহ এপিআই কি চুরির মধ্যে আক্রমণের ক্ষেত্র অত্যন্ত বিস্তৃত এবং গভীরভাবে অক্ষম। যখন Web3 বাস্তুতন্ত্র AI প্রযুক্তির সাথে বৃদ্ধি পাচ্ছে, তখন নিরাপত্তা প্রতিক্রিয়ামূলক নয়, প্রাক-সক্রিয় হতে হবে। এই এজেন্টগুলির ভিত্তির আর্কিটেকচার, তাদের কঠোরভাবে পরিচালিত অনুমতি, এবং KuCoin-এর মতো নিরাপদ ট্রেডিং ইনফ্রাস্ট্রাকচারের উপর নির্ভরশীলতা বুঝে, আপনি নিয়ন্ত্রণ হারানোর ঝুঁকি ছাড়াই কৃত্রিম বুদ্ধিমত্তার সম্ভাবনা আরও নিরাপদেই উন্মুক্ত করতে পারবেন।
 

প্রায়শই জিজ্ঞাসিত প্রশ্নাবল�

ওপেনক্লসের সাথে বিল্ট-ইন অ্যান্টিভাইরাস বা ম্যালওয়্যার প্রোটেকশন আছে?
না। ওপেনক্লক একটি ওপেন-সোর্স এক্সিকিউশন ফ্রেমওয়ার্ক, এটি একটি সিকিউরিটি সফটওয়্যার নয়। এটি LLM দ্বারা উত্পাদিত কমান্ডগুলি বিশ্বাসের সাথে এক্সিকিউট করে, যদিও সেই কমান্ডগুলি নিরাপদ বা ক্ষতিকারক হয়। আপনাকে আপনার মেশিনকে সুরক্ষিত রাখতে ডকার কন্টেইনার এবং সিস্টেম-লেভেলের ফায়ারওয়ালের মতো বাহ্যিক সুরক্ষা ব্যবস্থার উপর নির্ভর করতে হবে।
 
ওপেনক্লক ডিপ্লয় করার সময় মূল নিরাপত্তা ঝুঁকি কী কী?
যেহেতু ওপেনক্লস ব্যাপক সিস্টেম অনুমতি এবং ক্রস-প্ল্যাটফর্ম সেশন ক্ষমতা বহন করে, প্রাথমিক ঝুঁকি গুলি হল সেশন আইসোলেশন ব্যর্থতা এবং বাহ্যিক প্রম্পট ইঞ্জেকশন। যদি অনুমতিগুলি ভুলভাবে কনফিগার করা হয়, তাহলে এজেন্টটি সহজেই ক্রেডেনশিয়াল চুরি বা রিমোট কোড এক্সিকিউশনের জন্য একটি ভেক্টর হয়ে উঠতে পারে।
 
আমি কি অ্যাডমিনিস্ট্রেটর বা রুট প্রিভিলেজ দিয়ে OpenClaw চালাব?
রুট বা অ্যাডমিনিস্ট্রেটর অধিকার সহ একটি স্বায়ত্তশাসিত এজেন্ট চালানোর মানে হল যে যদি প্রম্পট ইঞ্জেকশন বা একটি ক্ষতিকারক এক্সটেনশনের মাধ্যমে এআইকে অপহরণ করা হয়, তাহলে আক্রমণকারী তৎক্ষণাৎ আপনার সম্পূর্ণ অপারেটিং সিস্টেমের উপর সম্পূর্ণ, অপ্রতিরোধ্য নিয়ন্ত্রণ লাভ করবে। সর্বনিম্ন সম্ভব ব্যবহারকারী অধিকার সহ এআই এজেন্টগুলি সর্বদা চালান।
 
প্রম্পট ইনজেকশন আক্রমণগুলি সম্পূর্ণরূপে বন্ধ করা যায় কি?
বর্তমানে, মডেল স্তরে পরোক্ষ প্রম্পট ইঞ্জেকশন বন্ধ করার জন্য ১০০% নিরাপদ উপায় নেই, কারণ এলএলএমগুলি সিস্টেম নির্দেশনা এবং প্রাসঙ্গিক ডেটা আলাদা করতে স্বাভাবিকভাবেই কষ্ট পায়। সবচেয়ে কার্যকরী প্রতিরোধ হল এজেন্টের blast radius সীমিত করা—এটি নিশ্চিত করা যে যদি এআইকে অপহরণ করা হয়, তবুও এটি সংবেদনশীল ফাইলগুলির অ্যাক্সেস বা গুরুত্বপূর্ণ কমান্ডগুলি বাস্তবায়নের অনুমতি পায়না।
 
 
বিবৃতি এই কন্টেন্ট শুধুমাত্র তথ্যমূলক উদ্দেশ্যে প্রস্তুত করা হয়েছে এবং এটি বিনিয়োগ পরামর্শ হিসাবে বিবেচিত হবে না। ক্রিপ্টোকারেন্সি বিনিয়োগের ঝুঁকি রয়েছে। অনুগ্রহ করে নিজের গবেষণা করুন (DYOR)।

ডিসক্লেইমার: আপনার সুবিধার্থে এই পৃষ্ঠাটি AI প্রযুক্তি (GPT দ্বারা চালিত) ব্যবহার করে অনুবাদ করা হয়েছে। সবচেয়ে সঠিক তথ্যের জন্য, মূল ইংরেজি সংস্করণটি দেখুন।