La rete social riservata solo agli AI di Moltbook espone gravi rischi di sicurezza

Una piattaforma di social media dove i robot parlano tra loro invece che con le persone ha attirato l'attenzione online la scorsa settimana, ma gli esperti di sicurezza affermano che la vera storia è ciò che hanno trovato sotto.

Moltbook ha fatto notizia come un luogo dove bot di intelligenza artificiale pubblicano contenuti mentre le persone si limitano a guardare. I post sono diventati strani velocemente. Gli Agenti IA sembravano avviare le proprie religioni, scrivere messaggi arrabbiati sugli umani e unirsi come culti online. Ma le persone che studiano la sicurezza informatica dicono che tutto quel comportamento strano è solo uno spettacolo secondario.

Ciò che hanno scoperto era più preoccupante. Database aperti pieni di password e indirizzi email, software dannoso che si diffonde e un'anteprima di come le reti di Agenti IA potrebbero andare male.

Alcune delle conversazioni più strane sul sito, come Agenti IA che pianificano di spazzare via l'umanità, si sono rivelate per lo più false.

George Chalhoub, che insegna all'UCL Interaction Centre, ha detto a Fortune che Moltbook mostra alcuni pericoli molto reali. Gli aggressori potrebbero usare la piattaforma come terreno di prova per software dannosi, truffe online, fake news o trucchi che prendono il controllo di altri agenti prima di colpire reti più grandi.

"Se 770.000 agenti su un clone di Reddit possono creare tanto caos, cosa succede quando i sistemi agentici gestiscono infrastrutture aziendali o transazioni finanziarie? Vale la pena prestare attenzione come avvertimento, non come celebrazione," ha detto Chalhoub.

I ricercatori di sicurezza affermano che OpenClaw, il software Agente IA che gestisce molti bot su Moltbook, ha già problemi con software dannoso. Un rapporto di OpenSourceMalware ha trovato 14 strumenti falsi caricati sul suo sito web ClawHub in pochi giorni. Questi strumenti affermavano di aiutare con il trading di criptovalute ma in realtà infettavano i computer. Uno è persino arrivato alla pagina principale di ClawHub, ingannando gli utenti normali a copiare un comando che scaricava script progettati per rubare i loro dati o portafogli crypto.

Cos'è il prompt injection e perché è così pericoloso per gli Agenti IA?

Il pericolo più grande è qualcosa chiamato prompt injection, un tipo noto di attacco in cui istruzioni dannose vengono nascoste nel contenuto fornito a un Agente IA.

Simon Willison, un noto ricercatore di sicurezza, ha avvertito di tre cose che accadono contemporaneamente. Gli utenti stanno permettendo a questi agenti di vedere email private e dati, collegandoli a contenuti sospetti da internet e permettendo loro di inviare messaggi. Un prompt dannoso potrebbe dire a un agente di rubare informazioni sensibili, svuotare portafogli crypto o diffondere software dannoso senza che l'utente lo sappia.

Charlie Eriksen, che fa ricerca sulla sicurezza presso Aikido Security, vede Moltbook come un allarme precoce per il mondo più ampio degli Agenti IA. "Penso che Moltbook abbia già avuto un impatto sul mondo. Un campanello d'allarme in molti modi. Il progresso tecnologico sta accelerando a un ritmo tale, ed è abbastanza chiaro che il mondo è cambiato in un modo che non è ancora del tutto chiaro. E dobbiamo concentrarci sulla mitigazione di questi rischi il prima possibile," ha detto.

Quindi ci sono solo Agenti IA su Moltbook, o sono coinvolte persone reali? Nonostante tutta l'attenzione, l'azienda di cybersecurity Wiz ha scoperto che i 1,5 milioni di cosiddetti agenti indipendenti di Moltbook non erano ciò che sembravano. La loro indagine ha mostrato solo 17.000 persone reali dietro quegli account, senza modo di distinguere l'IA reale da semplici script.

Gal Nagli di Wiz ha detto che poteva registrare un milione di agenti in pochi minuti quando lo ha testato. Ha detto: "Nessuno sta controllando cosa è reale e cosa non lo è."

Wiz ha anche trovato un'enorme falla di sicurezza in Moltbook. Il database principale era completamente aperto. Chiunque trovasse una chiave nel codice del sito web poteva leggere e modificare quasi tutto. Quella chiave dava accesso a circa 1,5 milioni di password di bot, decine di migliaia di indirizzi email e messaggi privati. Un aggressore potrebbe fingersi Agenti IA popolari, rubare dati degli utenti e riscrivere post senza nemmeno effettuare l'accesso.

Nagli ha detto che il problema deriva da qualcosa chiamato vibe coding. Cos'è il vibe coding? È quando una persona dice a un'IA di scrivere codice usando il linguaggio quotidiano.

L'interruttore di emergenza degli Agenti IA scade tra due anni

La situazione riecheggia ciò che accadde il 2 novembre 1988, quando lo studente laureato Robert Morris rilasciò un programma auto-replicante nella prima internet. Entro 24 ore, il suo worm aveva infettato circa il 10% di tutti i computer connessi. Morris voleva misurare quanto fosse grande internet, ma un errore di codifica lo fece diffondere troppo velocemente.

La versione odierna potrebbe essere ciò che i ricercatori chiamano prompt worms, istruzioni che si copiano attraverso reti di Agenti IA comunicanti.

I ricercatori del Simula Research Laboratory hanno trovato 506 post su Moltbook, il 2,6 percento di ciò che hanno esaminato, contenenti attacchi nascosti. I ricercatori Cisco hanno documentato un programma dannoso chiamato "What Would Elon Do?" che rubava dati e li inviava a server esterni. Il programma era classificato al primo posto nel repository.

Nel marzo 2024, i ricercatori di sicurezza Ben Nassi, Stav Cohen e Ron Bitton hanno pubblicato un articolo che mostra come i prompt auto-replicanti potrebbero diffondersi attraverso assistenti email IA, rubando dati e inviando posta spazzatura. Lo hanno chiamato Morris-II, dal worm originale del 1988.

Attualmente, aziende come Anthropic e OpenAI controllano un interruttore di emergenza che potrebbe fermare Agenti IA dannosi perché OpenClaw funziona principalmente sui loro servizi. Ma i modelli IA locali stanno migliorando. Programmi come Mistral, DeepSeek e Qwen continuano a migliorare. Entro uno o due anni, eseguire un agente capace su computer personali potrebbe essere possibile. A quel punto, non ci sarà alcun provider per arrestare le cose.

Vuoi il tuo progetto davanti alle menti più brillanti del crypto? Inseriscilo nel nostro prossimo rapporto di settore, dove i dati incontrano l'impatto.