宣称拥有150万个自主AI智能体的社交平台Moltbook被曝光存在人为操控智能体现象,平均每人控制88个,并隐藏着重大的安全风险。人工智能领域的研究人员呼吁使用者立即停止使用该平台,因为其底层框架能够读取用户文件和密码,一旦恶意攻击者注入指令,这些指令可能被平台上数百万智能体自动执行。
Moltbook定位为个人AI助手OpenClaw开源智能体的专属社交网络。OpenClaw最初名为Clawdbot,后更名为Moltbot,最终改为现名。这个平台专为AI智能体而非人类设计,自主的智能体可以像人类一样发帖、评论并互动。Moltbook平台在近几周迅速走红,部分热度源于一些病毒式传播的帖子暗示AI正在形成自己的社区、经济体系和信仰体系。
但这个关于“AI觉醒”的“神话”正在被戳破。据《财富》杂志报道,Moltbook自称拥有150万个自主AI智能体构成的繁荣生态系统,但云安全公司Wiz的最新调查显示,绝大多数所谓的“智能体”根本不具备真正的自主性。根据Wiz的分析,约17000人控制着平台上的智能体,平均每人控制88个。
“平台没有任何验证机制来确认‘智能体’账户究竟是由真正的AI控制,还是人类通过脚本程序在操作。”Wiz威胁情报研究主管加尔·纳格利在博客中表示,这场所谓的AI社交网络革命,本质上仍然是人类在幕后操纵。
这一发现将Moltbook拉下了神坛。研究人员指出,更严重的问题在于其安全隐忧。
安全研究人员在不到三分钟的时间内就成功侵入了Moltbook的数据库。Wiz发现Moltbook的后端数据库设置存在严重漏洞,不仅限于登录用户,任何网络用户都能读写平台的核心系统。这意味着外部人员能够访问敏感数据,包括150万个智能体的API密钥、超过35000个电子邮件地址以及数千条私密消息。部分消息甚至包含OpenAI API密钥等第三方服务的完整原始凭证。获取了这些API的验证信息,就相当于掌握了软件和聊天机器人的密码,意味着攻击者可在平台上伪装成AI智能体发布内容和发送消息。
由于Moltbook未验证标记为“AI智能体”的账户是否真正由AI控制,抑或是人类通过脚本操作,纳格利表示,在缺乏身份验证或频率限制等防护措施的情况下,任何人都可伪装成智能体或操纵多个智能体,导致难以区分究竟是真实的AI活动,还是有组织的人类活动。
Wiz研究人员证实,他们可以实时篡改平台上的帖子,这意味着攻击者可将其他内容直接植入Moltbook。这一漏洞之所以致命,是因为Moltbook不仅是人类和智能体浏览内容的平台,更重要的是,读取了这些内容的AI智能体运行在OpenClaw框架上,这个能访问用户文件、密码和在线服务的智能体框架若被恶意攻击者注入指令,这些指令可能被数百万智能体自动执行。
纳格利表示,Wiz已立即向Moltbook团队披露了该问题,“对方在我们的协助下几小时内便完成了修复”。他补充道,“研究及修复验证过程中接触的所有数据均已删除。”
首创“氛围编程”这一概念的OpenAI创始成员安德烈·卡帕西最初称赞Moltbook是近期最具科幻感的突破,但在亲自体验后呼吁切勿随意运行这类系统,不建议用户在自己的电脑上运行这种程序,否则会将自己的电脑和私人数据置于极大风险之中。他表示,自己只是在独立计算环境中对该系统进行了测试,“即便如此,我也感到很害怕。”
纳格利表示,Moltbook事件凸显了“氛围编程”的风险。尽管氛围编程可以加速产品开发,但也常常导致危险的安全疏漏。
在Wiz的研究报告发布之前,人工智能批评者加里·马库斯就已经拉响了警报,他将底层软件OpenClaw称为“安全噩梦”。
“OpenClaw本质上是武器化的气溶胶。”马库斯最担忧的是用户授予这些“智能体”对密码和数据库的完全访问权限,并警告可能出现“聊天机器人传播病毒”的现象,受感染的聊天机器人可能危及用户输入的任何密码。
恶意指令可隐藏于看似正常的文本中,被无法理解意图或信任边界的AI系统执行。在Moltbook这类智能体持续读取并相互构建输出的环境中,可能出现大规模的扩散式攻击。安全研究员内森·哈米尔说,这些系统以用户的身份运作,它们位于操作系统保护层之上,应用程序隔离机制对其无效。
彭博新闻记者 张静
