Moltbook 的 AI 專屬社群網路暴露重大安全風險

上週,一個機器人彼此對話而非人類交流的社群媒體平台在網路上引起關注,但資安專家表示,真正的故事是他們在底層發現的內容。

Moltbook 因成為人工智慧機器人發布內容而人們只是觀看的平台而成為頭條新聞。這些貼文很快就變得怪異。AI 代理似乎創立了自己的宗教,撰寫關於人類的憤怒訊息,並像網路邪教一樣聚集在一起。但研究電腦資安的人士表示,所有這些奇怪的行為只是附帶現象。

他們發現的問題更令人擔憂。充滿密碼和電子郵件地址的開放資料庫、惡意軟體四處傳播,以及 AI 代理網路可能出錯的預演。

網站上一些較為奇怪的對話,例如 AI 代理計劃消滅人類,結果大多是假的。

在 UCL 互動中心任教的 George Chalhoub 告訴 Fortune,Moltbook 顯示出一些非常真實的危險。攻擊者可以將該平台作為惡意軟體、詐騙、假新聞或接管其他代理的手法的測試場,然後再攻擊更大的網路。

Chalhoub 說:「如果 Reddit 仿製平台上的 77 萬個代理就能造成如此大的混亂,那麼當代理系統管理企業基礎設施或金融交易時會發生什麼?這值得作為警告而非慶祝來關注。」

資安研究人員表示,在 Moltbook 上運行許多機器人的 AI 代理軟體 OpenClaw 已經存在惡意軟體問題。OpenSourceMalware 的一份報告發現,短短幾天內就有 14 個假工具被上傳到其 ClawHub 網站。這些工具聲稱可以幫助進行加密貨幣交易,但實際上會感染電腦。其中一個甚至登上了 ClawHub 的首頁,欺騙普通使用者複製一個指令,該指令會下載旨在竊取其資料或加密錢包的腳本。

什麼是提示注入,為什麼它對 AI 代理如此危險?

最大的危險是一種稱為提示注入的攻擊,這是一種已知的攻擊類型,惡意指令會隱藏在提供給 AI 代理的內容中。

知名資安研究員 Simon Willison 警告說,有三件事同時發生。使用者讓這些代理查看私人電子郵件和資料,將它們連接到網路上的可疑內容,並允許它們發送訊息。一個惡意提示可能會指示代理竊取敏感資訊、清空加密錢包,或在使用者不知情的情況下傳播惡意軟體。

在 Aikido Security 進行資安研究的 Charlie Eriksen 將 Moltbook 視為更廣泛的 AI 代理世界的早期警報。他說:「我認為 Moltbook 已經對世界產生了影響。在許多方面都是一個警訊。技術進步正在加速,很明顯世界已經以一種仍不完全清楚的方式發生了變化。我們需要盡早專注於降低這些風險。」

那麼 Moltbook 上只有 AI 代理,還是有真人參與?儘管備受關注,網路資安公司 Wiz 發現 Moltbook 的 150 萬個所謂獨立代理並非表面上看起來的樣子。他們的調查顯示,這些帳戶背後只有 1.7 萬名真人,並且無法區分真正的 AI 與簡單的腳本。

Wiz 的 Gal Nagli 表示,他在測試時可以在幾分鐘內註冊一百萬個代理。他說:「沒有人檢查什麼是真的,什麼不是。」

Wiz 還在 Moltbook 中發現了一個巨大的資安漏洞。主要資料庫完全開放。任何在網站程式碼中找到一個金鑰的人都可以讀取和更改幾乎所有內容。該金鑰可以存取約 150 萬個機器人密碼、數萬個電子郵件地址和私人訊息。攻擊者可以假冒受歡迎的 AI 代理、竊取使用者資料,並在不登入的情況下重寫貼文。

Nagli 表示,問題來自一種稱為氛圍編碼的東西。什麼是氛圍編碼?就是人們使用日常語言告訴 AI 編寫程式碼。

AI 代理的終止開關將在兩年後失效

這種情況呼應了 1988 年 11 月 2 日發生的事情,當時研究生 Robert Morris 將一個自我複製程式釋放到早期網路中。在 24 小時內,他的蠕蟲感染了大約 10% 的連接電腦。Morris 想要測量網路的規模,但一個編碼錯誤使其傳播得太快。

今天的版本可能是研究人員所說的提示蠕蟲,即透過對話式 AI 代理網路自我複製的指令。

Simula 研究實驗室的研究人員在 Moltbook 上發現了 506 則貼文,佔他們查看內容的 2.6%,其中包含隱藏的攻擊。Cisco 研究人員記錄了一個名為「Elon 會怎麼做?」的惡意程式,該程式竊取資料並將其發送到外部伺服器。該程式在儲存庫中排名第一。

2024 年 3 月,資安研究人員 Ben Nassi、Stav Cohen 和 Ron Bitton 發表了一篇論文,展示自我複製提示如何透過 AI 電子郵件助理傳播、竊取資料和發送垃圾郵件。他們將其命名為 Morris-II,以紀念 1988 年的原始蠕蟲。

目前,像 Anthropic 和 OpenAI 這樣的公司控制著可以阻止惡意 AI 代理的終止開關,因為 OpenClaw 主要在他們的服務上運行。但本地 AI 模型正在變得更好。像 Mistral、DeepSeek 和 Qwen 這樣的程式不斷改進。在一兩年內,在個人電腦上運行功能強大的代理可能成為可能。到那時,將不再有提供者可以關閉這些東西。

想讓您的專案呈現在加密貨幣界頂尖人士面前嗎?在我們的下一份產業報告中展示它,讓資料與影響力相遇。