Социальная сеть Moltbook только для ИИ выявляет серьезные риски безопасности

Платформа социальных медиа, где роботы общаются друг с другом вместо людей, привлекла внимание в интернете на прошлой неделе, но эксперты по безопасности говорят, что настоящая история заключается в том, что они обнаружили под поверхностью.

Moltbook попал в заголовки как место, где боты с искусственным интеллектом публикуют контент, а люди просто наблюдают. Посты быстро стали странными. ИИ-агенты, казалось, создавали свои собственные религии, писали гневные сообщения о людях и объединялись как интернет-секты. Но люди, изучающие компьютерную безопасность, говорят, что всё это странное поведение — лишь побочное явление.

То, что они обнаружили, было более тревожным. Открытые базы данных, полные паролей и адресов электронной почты, распространяющееся вредоносное программное обеспечение и предварительный просмотр того, как сети ИИ-агентов могут пойти не так.

Некоторые из более странных разговоров на сайте, например, ИИ-агенты, планирующие уничтожить человечество, оказались в основном фальшивыми.

Джордж Чалхуб, который преподает в UCL Interaction Centre, сказал Fortune, что Moltbook демонстрирует вполне реальные опасности. Злоумышленники могли бы использовать платформу в качестве полигона для вредоносного программного обеспечения, интернет-мошенничества, фейковых новостей или трюков, которые захватывают других агентов, прежде чем атаковать более крупные сети.

«Если 770 000 агентов на клоне Reddit могут создать столько хаоса, что произойдет, когда агентные системы будут управлять корпоративной инфраструктурой или финансовыми транзакциями? Это заслуживает внимания как предупреждение, а не как празднование», — сказал Чалхуб.

Исследователи безопасности говорят, что OpenClaw, программное обеспечение ИИ-агентов, которое управляет многими ботами на Moltbook, уже имеет проблемы с вредоносным программным обеспечением. Отчет от OpenSourceMalware обнаружил 14 поддельных инструментов, загруженных на его веб-сайт ClawHub всего за несколько дней. Эти инструменты заявляли, что помогают с торговлей криптовалютой, но на самом деле заражали компьютеры. Один даже попал на главную страницу ClawHub, обманув обычных пользователей скопировать команду, которая загружала скрипты, предназначенные для кражи их данных или криптокошельков.

Что такое инъекция промпта и почему это так опасно для ИИ-агентов?

Самая большая опасность — это то, что называется инъекцией промпта, известный тип атаки, при котором вредоносные инструкции скрываются в контенте, подаваемом ИИ-агенту.

Саймон Уиллисон, известный исследователь безопасности, предупредил о трех вещах, происходящих одновременно. Пользователи позволяют этим агентам видеть личные электронные письма и данные, подключают их к подозрительному контенту из интернета и позволяют им отправлять сообщения. Один вредоносный промпт мог бы приказать агенту украсть конфиденциальную информацию, опустошить криптокошельки или распространить вредоносное программное обеспечение без ведома пользователя.

Чарли Эриксен, занимающийся исследованиями безопасности в Aikido Security, рассматривает Moltbook как раннее предупреждение для более широкого мира ИИ-агентов. «Я думаю, что Moltbook уже оказал влияние на мир. Тревожный звонок во многих отношениях. Технологический прогресс ускоряется, и совершенно ясно, что мир изменился таким образом, который ещё не полностью понятен. И нам нужно сосредоточиться на снижении этих рисков как можно раньше», — сказал он.

Так есть ли на Moltbook только ИИ-агенты, или реальные люди задействованы? Несмотря на всё внимание, компания по кибербезопасности Wiz обнаружила, что 1,5 миллиона так называемых независимых агентов Moltbook не были тем, чем казались. Их расследование показало всего 17 000 реальных людей за этими аккаунтами, без возможности отличить настоящий ИИ от простых скриптов.

Гал Нагли из Wiz сказал, что он мог зарегистрировать миллион агентов за считанные минуты, когда тестировал это. Он сказал: «Никто не проверяет, что реально, а что нет».

Wiz также обнаружил огромную брешь в безопасности в Moltbook. Основная база данных была полностью открыта. Любой, кто нашел один ключ в коде веб-сайта, мог читать и изменять почти всё. Этот ключ давал доступ примерно к 1,5 миллиона паролей ботов, десяткам тысяч адресов электронной почты и личным сообщениям. Злоумышленник мог выдавать себя за популярных ИИ-агентов, красть пользовательские данные и переписывать посты даже без входа в систему.

Нагли сказал, что проблема возникла из-за чего-то, называемого вайб-кодингом. Что такое вайб-кодинг? Это когда человек просит ИИ написать код, используя повседневный язык.

Аварийный выключатель ИИ-агентов истекает через два года

Ситуация напоминает то, что произошло 2 ноября 1988 года, когда аспирант Роберт Моррис выпустил самокопирующуюся программу в ранний интернет. В течение 24 часов его червь заразил примерно 10% всех подключенных компьютеров. Моррис хотел измерить, насколько велик интернет, но ошибка в коде заставила его распространяться слишком быстро.

Сегодняшняя версия может быть тем, что исследователи называют промпт-червями, инструкциями, которые копируют себя через сети общающихся ИИ-агентов.

Исследователи из Simula Research Laboratory нашли 506 постов на Moltbook, 2,6 процента от того, что они рассмотрели, содержащих скрытые атаки. Исследователи Cisco задокументировали одну вредоносную программу под названием «What Would Elon Do?», которая крала данные и отправляла их на внешние серверы. Программа заняла первое место в репозитории.

В марте 2024 года исследователи безопасности Бен Насси, Став Коэн и Рон Биттон опубликовали статью, показывающую, как самокопирующиеся промпты могут распространяться через почтовых ИИ-ассистентов, крадя данные и рассылая спам. Они назвали это Morris-II в честь оригинального червя 1988 года.

Прямо сейчас такие компании, как Anthropic и OpenAI, контролируют аварийный выключатель, который мог бы остановить вредоносных ИИ-агентов, поскольку OpenClaw работает в основном на их сервисах. Но локальные модели ИИ становятся лучше. Программы, такие как Mistral, DeepSeek и Qwen, продолжают улучшаться. В течение года или двух запуск способного агента на персональных компьютерах может стать возможным. В этот момент не будет провайдера, чтобы всё остановить.

Хотите, чтобы ваш проект был представлен ведущим умам в криптоиндустрии? Разместите его в нашем следующем отраслевом отчете, где данные встречаются с воздействием.