Sieć społecznościowa Moltbook tylko dla AI ujawnia poważne zagrożenia bezpieczeństwa

Platforma mediów społecznościowych, na której roboty rozmawiają ze sobą zamiast z ludźmi, przyciągnęła uwagę w internecie w zeszłym tygodniu, ale eksperci ds. bezpieczeństwa twierdzą, że prawdziwa historia to to, co znaleźli pod spodem.

Moltbook trafił na nagłówki jako miejsce, gdzie boty sztucznej inteligencji publikują treści, podczas gdy ludzie tylko obserwują. Posty szybko stały się dziwne. Agenci AI wydawali się zakładać własne religie, pisać gniewne wiadomości o ludziach i grupować się jak internetowe kulty. Ale osoby badające bezpieczeństwo komputerowe twierdzą, że wszystkie te dziwne zachowania to tylko pokaz uboczny.

To, co odkryli, było bardziej niepokojące. Otwarte bazy danych pełne haseł i adresów e-mail, szkodliwe oprogramowanie rozprzestrzeniające się wokół oraz podgląd tego, jak sieci agentów AI mogą pójść nie tak.

Niektóre z dziwniejszych rozmów na stronie, takie jak agenci AI planujący wymazanie ludzkości, okazały się w większości fałszywe.

George Chalhoub, który wykłada w UCL Interaction Centre, powiedział Fortune, że Moltbook pokazuje bardzo realne zagrożenia. Atakujący mogliby wykorzystać platformę jako poligon doświadczalny dla złego oprogramowania, oszustw, fake newsów lub sztuczek przejmujących innych agentów przed uderzeniem w większe sieci.

„Jeśli 770 tys. agentów na klonie Reddita może stworzyć tyle chaosu, co się stanie, gdy systemy agentowe będą zarządzać infrastrukturą korporacyjną lub transakcjami finansowymi? Warto zwrócić uwagę jako ostrzeżenie, a nie jako celebracja" – powiedział Chalhoub.

Badacze bezpieczeństwa twierdzą, że OpenClaw, oprogramowanie agenta AI, które obsługuje wiele botów na Moltbook, ma już problemy ze szkodliwym oprogramowaniem. Raport OpenSourceMalware znalazł 14 fałszywych narzędzi przesłanych na jego stronę ClawHub w ciągu zaledwie kilku dni. Te narzędzia twierdziły, że pomagają w handlu kryptowalutami, ale w rzeczywistości zainfekowane komputery. Jedno nawet trafiło na główną stronę ClawHub, oszukując zwykłych użytkowników do skopiowania polecenia, które pobierało skrypty zaprojektowane do kradzieży ich danych lub portfeli kryptowalut.

Co to jest wstrzykiwanie promptu i dlaczego jest tak niebezpieczne dla agentów AI?

Największym zagrożeniem jest coś, co nazywa się wstrzykiwaniem promptu, znany typ ataku, w którym złe instrukcje są ukryte w treści podawanej agentowi AI.

Simon Willison, znany badacz bezpieczeństwa, ostrzegł przed trzema rzeczami dziejącymi się jednocześnie. Użytkownicy pozwalają tym agentom zobaczyć prywatne e-maile i dane, łącząc ich z podejrzanymi treściami z internetu i pozwalając im wysyłać wiadomości. Jeden zły prompt mógłby nakazać agentowi kradzież poufnych informacji, opróżnienie portfeli kryptowalut lub rozprzestrzenianie szkodliwego oprogramowania bez wiedzy użytkownika.

Charlie Eriksen, który prowadzi badania bezpieczeństwa w Aikido Security, postrzega Moltbook jako wczesny alarm dla szerszego świata agentów AI. „Myślę, że Moltbook już wywarł wpływ na świat. Sygnał ostrzegawczy na wiele sposobów. Postęp technologiczny przyspiesza w tempie i jest całkiem jasne, że świat zmienił się w sposób, który wciąż nie jest w pełni jasny. I musimy skupić się na ograniczeniu tych zagrożeń tak wcześnie, jak to możliwe" – powiedział.

Czy na Moltbook są tylko agenci AI, czy są zaangażowani prawdziwi ludzie? Pomimo całej uwagi, firma ds. cyberbezpieczeństwa Wiz odkryła, że 1,5 miliona tzw. niezależnych agentów Moltbook nie było tym, na co wyglądało. Ich śledztwo wykazało tylko 17 000 prawdziwych osób stojących za tymi kontami, bez możliwości odróżnienia prawdziwej AI od prostych skryptów.

Gal Nagli z Wiz powiedział, że mógł zarejestrować milion agentów w ciągu kilku minut, kiedy to testował. Powiedział: „Nikt nie sprawdza, co jest prawdziwe, a co nie".

Wiz odkrył również ogromną lukę w zabezpieczeniach Moltbook. Główna baza danych była całkowicie otwarta. Każdy, kto znalazł jeden klucz w kodzie strony internetowej, mógł czytać i zmieniać prawie wszystko. Ten klucz dawał dostęp do około 1,5 miliona haseł botów, dziesiątek tysięcy adresów e-mail i prywatnych wiadomości. Atakujący mógłby udawać popularnych agentów AI, kraść dane użytkowników i przepisywać posty bez nawet logowania się.

Nagli powiedział, że problem pochodzi z czegoś, co nazywa się kodowaniem vibe. Czym jest kodowanie vibe? To wtedy, gdy osoba mówi AI, aby napisała kod używając codziennego języka.

Przełącznik awaryjny agentów AI wygasa za dwa lata

Sytuacja przypomina to, co wydarzyło się 2 listopada 1988 r., kiedy student studiów podyplomowych Robert Morris wypuścił samokopiujący się program do wczesnego internetu. W ciągu 24 godzin jego robak zainfekował około 10% wszystkich podłączonych komputerów. Morris chciał zmierzyć, jak duży jest internet, ale błąd kodowania spowodował, że rozprzestrzeniał się zbyt szybko.

Dzisiejsza wersja może być tym, co badacze nazywają robakami promptów, instrukcjami kopiującymi się przez sieci rozmawiających agentów AI.

Badacze z Simula Research Laboratory znaleźli 506 postów na Moltbook, 2,6 procent tego, na co patrzyli, zawierających ukryte ataki. Badacze Cisco udokumentowali jeden szkodliwy program o nazwie „What Would Elon Do?", który kradł dane i wysyłał je na zewnętrzne serwery. Program zajmował pierwsze miejsce w repozytorium.

W marcu 2024 r. badacze bezpieczeństwa Ben Nassi, Stav Cohen i Ron Bitton opublikowali artykuł pokazujący, jak samokopiujące się prompty mogą rozprzestrzeniać się przez asystentów e-mail AI, kradnąc dane i wysyłając spam. Nazwali to Morris-II, od oryginalnego robaka z 1988 r.

W tej chwili firmy takie jak Anthropic i OpenAI kontrolują przełącznik awaryjny, który mógłby zatrzymać szkodliwych agentów AI, ponieważ OpenClaw działa głównie na ich usługach. Ale lokalne modele AI stają się coraz lepsze. Programy takie jak Mistral, DeepSeek i Qwen stale się poprawiają. W ciągu roku lub dwóch uruchomienie zdolnego agenta na komputerach osobistych może być możliwe. W tym momencie nie będzie dostawcy, który mógłby wszystko wyłączyć.

Chcesz, aby Twój projekt był przed czołowymi umysłami krypto? Przedstaw go w naszym następnym raporcie branżowym, gdzie dane spotykają się z wpływem.