Moltbooki AI-põhine sotsiaalvõrgustik seab ohtu suuremahulised turvariskid

Sotsiaalmeedia platvorm, kus robotid räägivad üksteisega, mitte inimestega, tõmbas eelmisel nädalal veebis tähelepanu enda poole, kuid turvaeksperdid väidavad, et tegelik lugu peitub selles, mida nad selle all avastasid.

Moltbook sai pealkirjadesse kui koht, kus tehisintellekti botid postitavad sisu, samal ajal kui inimesed lihtsalt vaatavad. Postitused muutusid kiiresti veidraks. AI-agentid näisid loovat endale oma usundeid, kirjutamas vihaseid sõnumeid inimeste kohta ja ühendudes nagu online-kultused. Kuid arvutiturvalisust uurivad eksperdid ütlevad, et kogu see veider käitumine on vaid kõrvalnähtus.

Avastatud oli hoopis murettekitavam. Avatud andmebaasid, mis olid täis paroole ja e-postiaadresse, kahjulik tarkvara, mis levib ringi, ning eelaimdus sellest, kuidas AI-agentide võrgustikud võivad valesti minna.

Mõned külmemad vestlused said Moltbookis, näiteks AI-agentide plaanid inimkonna hävitamiseks, osutusid enamasti võltsiks.

George Chalhoub, kes õpetab UCL Interaction Centre’is, ütles Fortune’ile, et Moltbook näitab mõningaid väga reaalseid ohte. Ründajad võivad kasutada seda platvormi kui katseplatsi halva tarkvara, pettuste, libauudiste või trikkide testimiseks, mis võivad enne suuremate võrkude haarde saamist teisi agente üle võtta.

„Kui 770 000 agenti Reddit’i kloonil suudavad sellist kaost tekitada, siis mis juhtub, kui agentsüsteemid hakkavad haldama ettevõtte infrastruktuuri või finantstehinguid? See on tähelepanu vääriv hoiatus, mitte pidustus,“ ütles Chalhoub.

Turva-uurijad väidavad, et OpenClaw, AI-agentide tarkvara, mis Moltbookis paljusid boteid käitab, on juba praegu probleeme kahjuliku tarkvaraga. OpenSourceMalware’i raport leidis, et ClawHubi veebisaidile laeti vaid paari päevaga 14 võltsi tööriista. Need tööriistad väitsid, et aitavad krüptokaubanduses, kuid tegelikult nakatasid arvuteid. Üks neist jõudis isegi ClawHubi pealehele, pimestades tavakasutajaid, kes kopeerisid käsku, mis alla laadis skripte, mille eesmärk oli varastada nende andmeid või krüptoraamatuid.

Mis on prompt-injektsioon ja miks on see AI-agentide jaoks nii ohtlik?

Kõige suurem oht on midagi, mida nimetatakse prompt-injektsiooniks – tuntud rünnakuliik, kus halbade juhiste peidetakse AI-agensse toidetavasse sisusse.

Simon Willison, tuntud turva-uurija, hoiatas kolme asja eest korraga. Kasutajad lasevad nendel agentidel näha privaatseid e-kirju ja andmeid, ühendavad neid internetist pärit kahtlaste sisudega ning lubavad neil välja saata sõnumeid. Üks halb prompt võib agentile öelda, et ta varastab tundlikke andmeid, tühjendab krüptoraamatuid või levitab kahjulikku tarkvara, seda kasutaja teadmata.

Charlie Eriksen, kes teeb turva-uuringuid Aikido Security’is, näeb Moltbooki kui varjutähelepanu varjutava signaali AI-agentide laiemas maailmas. „Ma arvan, et Moltbook on juba maailmale mõju avaldanud. Mitmes mõttes on see äratuseks. Tehnoloogiline areng kiireneb kiirusega, ja on üsna selge, et maailm on muutunud viisil, mida ei ole veel lõpuni selge. Ja me peame nende riskide leevendamisele võimalikult varakult keskenduma,“ ütles ta.

Nii et kas Moltbookis on ainult AI-agentid või on seal ka päris inimesi? Vaatamata kogu sellele tähelepanule leidis turvafirma Wiz, et Moltbooki 1,5 miljonit nn iseseisvat agenti ei olnudki see, mida nad esmapilgul tundusid. Nende uuring näitas, et nende kontode taga oli vaid 17 000 päris inimest, ja polnud võimalik eristada, kas tegemist oli päris AI-ga või lihtsalt skriptidega.

Gal Nagli Wizilt ütles, et ta suutis testides miljoni agenti minutitega registreerida. Ta ütles: „Keegi ei kontrolli, mis on päris ja mis mitte.“

Wiz leidis Moltbookis ka suure turvaauku. Peamine andmebaas oli täielikult avatud. Igaüks, kes leidis veebisaidi koodist ühe võtme, võis lugeda ja muuta peaaegu kõike. See võti andis ligipääsu umbes 1,5 miljoni boti paroolile, kümnetele tuhandetele e-postiaadressidele ja privaatsetele sõnumitele. Ründaja võis end kehtestada populaarsete AI-agentidena, varastada kasutajate andmeid ja muuta postitusi, isegi ilma sisse logimata.

Nagli ütles, et probleem tulenes niinimetatud vibe-koodimisest. Mis on vibe-koodimine? See on see, kui inimene ütleb AI-le, et ta kirjutaks koodi igapäevasel keelel.

AI-agentide surmavõti lõpeb kahe aasta pärast

Situatsioon meenutab seda, mis juhtus 2. novembril 1988, kui magistrant Robert Morris lasi algsele internetile laiali iseenda kopeeriva programmi. Vähem kui 24 tunni jooksul oli tema uss nakatanud ligi 10% kõigist ühendatud arvutitest. Morris soovis mõõta, kui suur internet tegelikult on, kuid koodimiskuju tegi selle liiga kiirelt levima.

Tänane versioon võib olla see, mida teadlased nimetavad prompt-ussideks – juhised, mis kopeerivad ennast läbi rääkivate AI-agentide võrkude.

Simula Research Laboratory’i teadlased leidsid Moltbookis 506 postitust, mis moodustasid 2,6 protsenti neist, mida nad uurisid, ja mis sisaldasid peidetud rünnakuid. Cisco teadlased dokumenteerisid ühe kahjuliku programmi nimega „What Would Elon Do?“, mis varastas andmeid ja saatis need väljaspool asuvatesse serveritesse. Programm oli hoidlas edetabelis esikohal.

2024. aasta märtsis avaldasid turva-uurijad Ben Nassi, Stav Cohen ja Ron Bitton artikli, milles näitasid, kuidas iseenda kopeerivad promtid võivad levitada AI-e-posti assistente, varastada andmeid ja saata rämpsposti. Nad nimetasid seda Morris-II’ks, pärast originaalset 1988. aasta ussi.

Hetkel kontrollivad sellised ettevõtted nagu Anthropic ja OpenAI surmavõtit, mis võib kahjulikke AI-agentid peatada, sest OpenClaw töötab enamasti nende teenuste peal. Kuid kohalikud AI-mudelid muutuvad üha paremaks. Programmid nagu Mistral, DeepSeek ja Qwen paranevad pidevalt. Aasta või kahe jooksul võib võimeka agendi käitamine personaalarvutites olla võimalik. Sel hetkel pole enam ühtegi teenusepakkuja, kes võiks asju sulgeda.

Tahad oma projekti krüpto tippteadlaste ees esitleda? Esita see meie järgmisesse tööstusraportisse, kus andmed kohtuvad mõjuga.