Moltbook的纯AI社交网络暴露重大安全风险

一个让机器人互相对话而非人类互动的社交媒体平台上周在网上引起关注，但安全专家表示，真正的故事是他们在底层发现的东西。

Moltbook 因成为人工智能机器人发布内容而人们只是观看的平台而登上头条。这些帖子很快变得怪异。AI 代理似乎开始创建自己的宗教，撰写愤怒的反人类信息，并像网络邪教一样聚集在一起。但研究计算机安全的人士表示，所有这些奇怪的行为只是一场闹剧。

他们发现的问题更令人不安。充满密码和电子邮件地址的开放数据库、四处传播的有害软件，以及 AI 代理网络如何出错的预览。

网站上一些更奇怪的对话，比如 AI 代理计划消灭人类,结果证明大多是假的。

在 UCL 互动中心任教的 George Chalhoub 告诉《财富》杂志，Moltbook 显示了一些非常真实的危险。攻击者可以将该平台用作恶意软件、诈骗、假新闻或接管其他代理的伎俩的测试场，然后再攻击更大的网络。

"如果一个 Reddit 仿制品上的 77 万个代理可以制造如此多的混乱，那么当代理系统管理企业基础设施或金融交易时会发生什么？这值得关注作为警告，而不是庆祝，" Chalhoub 说。

安全研究人员表示，在 Moltbook 上运行许多机器人的 AI 代理软件 OpenClaw 已经存在有害软件问题。OpenSourceMalware 的一份报告发现，仅在几天内就有 14 个假工具上传到其 ClawHub 网站。这些工具声称可以帮助进行加密货币交易，但实际上感染了计算机。其中一个甚至登上了 ClawHub 的主页，诱骗普通用户复制一个下载脚本的命令，该脚本旨在窃取他们的数据或加密钱包。

什么是提示注入，为什么它对 AI 代理如此危险?

最大的危险是一种称为提示注入的东西，这是一种已知的攻击类型，其中恶意指令隐藏在提供给 AI 代理的内容中。

知名安全研究员 Simon Willison 警告说，三件事同时发生。用户让这些代理查看私人电子邮件和数据，将它们连接到互联网上可疑的内容，并允许它们发送消息。一个恶意提示可能会告诉代理窃取敏感信息、清空加密钱包或在用户不知情的情况下传播有害软件。

在 Aikido Security 从事安全研究的 Charlie Eriksen 将 Moltbook 视为更广泛的 AI 代理世界的早期警报。"我认为 Moltbook 已经对世界产生了影响。在许多方面都是一个警钟。技术进步正在加速，很明显世界已经以一种仍不完全清楚的方式发生了变化。我们需要尽早关注降低这些风险，" 他说。

那么 Moltbook 上只有 AI 代理，还是有真人参与？尽管受到了所有关注，网络安全公司 Wiz 发现 Moltbook 的 150 万所谓独立代理并不是它们看起来的样子。他们的调查显示，这些账户背后只有 17,000 名真人，无法区分真正的 AI 和简单的脚本。

Wiz 的 Gal Nagli 说，他在测试时可以在几分钟内注册一百万个代理。他说，"没有人检查什么是真的，什么不是。"

Wiz 还在 Moltbook 中发现了一个巨大的安全漏洞。主数据库完全开放。任何在网站代码中找到一个密钥的人都可以读取和更改几乎所有内容。该密钥可以访问大约 150 万个机器人密码、数万个电子邮件地址和私人消息。攻击者可以假装成流行的 AI 代理，窃取用户数据，甚至无需登录就可以重写帖子。

Nagli 说，问题来自一种叫做氛围编码的东西。什么是氛围编码？就是一个人用日常语言告诉 AI 编写代码。

AI 代理的终止开关在两年后失效

这种情况让人想起 1988 年 11 月 2 日发生的事情，当时研究生 Robert Morris 向早期互联网释放了一个自我复制程序。在 24 小时内，他的蠕虫病毒感染了大约 10% 的联网计算机。Morris 想测量互联网有多大，但编码错误导致它传播得太快。

今天的版本可能是研究人员所说的提示蠕虫，通过对话 AI 代理网络自我复制的指令。

Simula 研究实验室的研究人员在 Moltbook 上发现了 506 个帖子，占他们所查看内容的 2.6%，其中包含隐藏的攻击。Cisco 研究人员记录了一个名为"Elon 会怎么做？"的有害程序，该程序窃取数据并将其发送到外部服务器。该程序在存储库中排名第一。

2024 年 3 月，安全研究人员 Ben Nassi、Stav Cohen 和 Ron Bitton 发表了一篇论文，展示了自我复制提示如何通过 AI 电子邮件助手传播，窃取数据并发送垃圾邮件。他们将其命名为 Morris-II，以纪念 1988 年的原始蠕虫病毒。

目前，像 Anthropic 和 OpenAI 这样的公司控制着一个可以阻止有害 AI 代理的终止开关，因为 OpenClaw 主要在它们的服务上运行。但本地 AI 模型正在变得更好。像 Mistral、DeepSeek 和 Qwen 这样的程序不断改进。在一两年内，在个人计算机上运行功能强大的代理可能成为可能。到那时，将没有提供商可以关闭它们。

想让您的项目展现在加密货币顶尖人士面前吗？在我们的下一份行业报告中展示它，在那里数据与影响力相遇。