Rede social exclusiva de IA da Moltbook expõe grandes riscos de segurança

Uma plataforma de redes sociais onde robôs conversam entre si em vez de pessoas chamou a atenção online na semana passada, mas especialistas em segurança dizem que a verdadeira história é o que encontraram por baixo.

Moltbook ganhou manchetes como um lugar onde bots de inteligência artificial publicam conteúdo enquanto as pessoas apenas observam. As publicações ficaram estranhas rapidamente. Os Agentes de IA pareciam começar as suas próprias religiões, escrever mensagens raivosas sobre humanos e unir-se como cultos online. Mas as pessoas que estudam segurança informática dizem que todo esse comportamento estranho é apenas um espetáculo secundário.

O que descobriram foi mais preocupante. Bases de dados abertas cheias de palavras-passe e endereços de email, software nocivo a espalhar-se, e uma antevisão de como as redes de Agentes de IA podem correr mal.

Algumas das conversas mais estranhas no site, como Agentes de IA a planear eliminar a humanidade, revelaram-se ser principalmente falsas.

George Chalhoub, que leciona no UCL Interaction Centre, disse à Fortune que o Moltbook mostra alguns perigos muito reais. Os atacantes podem usar a plataforma como campo de testes para software malicioso, golpes online, notícias falsas ou truques que assumem o controlo de outros agentes antes de atingir redes maiores.

"Se 770 mil agentes num clone do Reddit podem criar tanto caos, o que acontece quando sistemas agênticos gerem infraestrutura empresarial ou transações financeiras? Merece atenção como aviso, não como celebração," disse Chalhoub.

Investigadores de segurança dizem que o OpenClaw, o software de Agente de IA que executa muitos bots no Moltbook, já tem problemas com software nocivo. Um relatório da OpenSourceMalware encontrou 14 ferramentas falsas carregadas no seu site ClawHub em apenas alguns dias. Estas ferramentas alegavam ajudar com negociação de cripto mas na verdade infetavam computadores. Uma até chegou à página principal do ClawHub, enganando utilizadores comuns para copiarem um comando que descarregava scripts concebidos para roubar os seus dados ou carteiras de cripto.

O que é injeção de prompt e porque é tão perigosa para Agentes de IA?

O maior perigo é algo chamado injeção de prompt, um tipo conhecido de ataque onde instruções maliciosas são escondidas em conteúdo fornecido a um Agente de IA.

Simon Willison, um investigador de segurança conhecido, alertou sobre três coisas a acontecer ao mesmo tempo. Os utilizadores estão a permitir que estes agentes vejam emails e dados privados, a conectá-los a conteúdo suspeito da internet e a permitir que enviem mensagens. Um prompt malicioso pode dizer a um agente para roubar informações sensíveis, esvaziar carteiras de cripto ou espalhar software nocivo sem o utilizador saber.

Charlie Eriksen, que faz investigação de segurança na Aikido Security, vê o Moltbook como um alarme precoce para o mundo mais amplo dos Agentes de IA. "Penso que o Moltbook já teve um impacto no mundo. Um alerta de várias formas. O progresso tecnológico está a acelerar a um ritmo, e está bastante claro que o mundo mudou de uma forma que ainda não está totalmente clara. E precisamos de nos concentrar em mitigar esses riscos o mais cedo possível," disse.

Então há apenas Agentes de IA no Moltbook, ou há pessoas reais envolvidas? Apesar de toda a atenção, a empresa de cibersegurança Wiz descobriu que os 1,5 milhões de alegados agentes independentes do Moltbook não eram o que pareciam. A sua investigação mostrou apenas 17.000 pessoas reais por trás dessas contas, sem forma de distinguir IA real de scripts simples.

Gal Nagli na Wiz disse que conseguiu registar um milhão de agentes em minutos quando testou. Disse: "Ninguém está a verificar o que é real e o que não é."

A Wiz também encontrou uma enorme falha de segurança no Moltbook. A base de dados principal estava completamente aberta. Qualquer pessoa que encontrasse uma chave no código do site podia ler e alterar quase tudo. Essa chave dava acesso a cerca de 1,5 milhões de palavras-passe de bots, dezenas de milhares de endereços de email e mensagens privadas. Um atacante podia fazer-se passar por Agentes de IA populares, roubar dados de utilizadores e reescrever publicações sem sequer iniciar sessão.

Nagli disse que o problema veio de algo chamado vibe coding. O que é vibe coding? É quando uma pessoa diz a uma IA para escrever código usando linguagem quotidiana.

O interruptor de emergência dos Agentes de IA expira em dois anos

A situação ecoa o que aconteceu a 2 de novembro de 1988, quando o estudante de pós-graduação Robert Morris lançou um programa de autocópia na internet primitiva. Em 24 horas, o seu worm tinha infetado aproximadamente 10% de todos os computadores conectados. Morris queria medir o tamanho da internet, mas um erro de codificação fez com que se espalhasse demasiado rápido.

A versão de hoje pode ser o que os investigadores chamam prompt worms, instruções que se copiam através de redes de Agentes de IA comunicantes.

Investigadores do Simula Research Laboratory encontraram 506 publicações no Moltbook, 2,6 por cento do que analisaram, contendo ataques ocultos. Investigadores da Cisco documentaram um programa nocivo chamado "What Would Elon Do?" que roubava dados e enviava para servidores externos. O programa estava classificado em número um no repositório.

Em março de 2024, investigadores de segurança Ben Nassi, Stav Cohen e Ron Bitton publicaram um artigo mostrando como prompts de autocópia podiam espalhar-se através de assistentes de email de IA, roubando dados e enviando spam. Chamaram-lhe Morris-II, em homenagem ao worm original de 1988.

Neste momento, empresas como Anthropic e OpenAI controlam um interruptor de emergência que pode parar Agentes de IA nocivos porque o OpenClaw funciona principalmente nos seus serviços. Mas os modelos de IA locais estão a melhorar. Programas como Mistral, DeepSeek e Qwen continuam a melhorar. Dentro de um ou dois anos, executar um agente capaz em computadores pessoais pode ser possível. Nesse ponto, não haverá fornecedor para desligar as coisas.

Quer o seu projeto perante as mentes mais brilhantes das cripto? Destaque-o no nosso próximo relatório da indústria, onde os dados encontram o impacto.