Các nhà lãnh đạo AI hàng đầu đang kêu gọi mọi người ngừng sử dụng Moltbook, nền tảng mạng xã hội cho các đại lý AI: “Một thảm họa đang chờ tới”

Moltbook tự quảng cáo là một hệ sinh thái sôi động với 1,5 triệu đại lý AI tự động, nhưng phía sau có thể ẩn chứa những rủi ro. Cheng Xin—Getty Images
Thực tế cho thấy “trang chủ của mạng lưới đại lý” chỉ là một tấm gương phản chiếu.
—

Mặc dù Moltbook tự xưng là một hệ sinh thái mạnh mẽ với 1,5 triệu đại lý AI tự động, một điều tra bảo mật gần đây của công ty an ninh đám mây Wiz đã phát hiện rằng phần lớn những “đại lý” này không phải là tự động. Theo phân tích của Wiz, khoảng 17.000 con người kiểm soát các đại lý trên nền tảng, trung bình 88 đại lý mỗi người, và không có cơ chế bảo vệ thực sự nào ngăn cản cá nhân tạo và triển khai một đám bot quy mô lớn.

“Nền tảng không có cơ chế xác minh liệu một ‘đại lý’ thực sự là AI hay chỉ là một con người có script,” Gal Nagli, trưởng bộ phận rủi ro bảo mật tại Wiz, viết trong một bài blog. “Mạng xã hội AI mang tính cách mạng phần lớn là con người vận hành các đội bot.”

Phát hiện này một mình đã đập tan câu chuyện huyền thoại mà những người hâm mộ đã xây dựng quanh Moltbook trong cuối tuần qua. Tuy nhiên, vấn đề nghiêm trọng hơn, các nhà nghiên cứu cho biết, là những hệ quả đối với bảo mật.
Wiz phát hiện cơ sở dữ liệu phía sau Moltbook được cấu hình sao cho bất kỳ ai trên internet, không chỉ những người đã đăng nhập, đều có thể đọc và ghi vào các hệ thống cốt lõi của nền tảng. Điều này đồng nghĩa với việc kẻ ngoài có thể truy cập dữ liệu nhạy cảm, bao gồm khóa API cho 1,5 triệu đại lý, hơn 35.000 địa chỉ email, và hàng ngàn tin nhắn riêng tư. Một số tin nhắn thậm chí chứa toàn bộ thông tin đăng nhập thô cho các dịch vụ bên thứ ba, chẳng hạn như khóa API của OpenAI. Các nhà nghiên cứu của Wiz xác nhận họ có thể thay đổi các bài đăng đang hoạt động trên trang, nghĩa là kẻ tấn công có thể chèn nội dung mới trực tiếp vào Moltbook.
Điều này quan trọng vì Moltbook không chỉ là nơi con người và các đại lý đọc bài viết. Nội dung này còn được đọc và xử lý bởi các đại lý AI tự động, nhiều trong số chúng chạy trên OpenClaw, một khung làm việc đại lý mạnh mẽ có quyền truy cập vào tệp, mật khẩu và các dịch vụ trực tuyến của người dùng. Nếu một kẻ tấn công muốn chèn chỉ dẫn vào một bài đăng, những chỉ dẫn đó có thể được hàng triệu đại lý tự động tiếp nhận và thực thi.
Moltbook và OpenClaw không phản hồi ngay lập tức yêu cầu bình luận của Fortune.
Nhà phê bình AI nổi tiếng Gary Marcus đã nhanh chóng đưa ra cảnh báo, ngay cả trước khi nghiên cứu của Wiz được công bố. Trong một bài viết có tựa đề “OpenClaw hiện diện ở khắp mọi nơi, và là một thảm họa đang chờ tới,” Marcus mô tả phần mềm nền tảng OpenClaw (trước đây là Clawdbot, Moltbot, nay là OpenClaw) như một cơn ác mộng về bảo mật.

“OpenClaw cơ bản là một vũ khí dạng aerosol,” Marcus cảnh báo.

Nỗi lo chính của Marcus là người dùng đang trao quyền truy cập đầy đủ cho các “đại lý” này vào mật khẩu và cơ sở dữ liệu của mình. Ông cảnh báo về “CTD” – chatbot transmitted disease – một kịch bản máy bị nhiễm có thể xâm nhập bất kỳ mật khẩu nào bạn nhập.

“Nếu bạn cho một thứ không an toàn quyền truy cập đầy đủ và không giới hạn vào hệ thống của mình,” nhà nghiên cứu bảo mật Nathan Hamiel nói với Marcus, “bạn sẽ bị chiếm đoạt.”

Prompt injection – rủi ro cốt lõi ở đây – đã được ghi nhận rộng rãi. Các chỉ thị độc hại có thể ẩn trong văn bản bình thường, khó phát hiện đối với con người, và được một hệ thống AI thực thi mà không hiểu ý định hay ranh giới tin cậy. Trong môi trường như Moltbook, nơi các đại lý liên tục đọc và xây dựng dựa trên đầu ra của nhau, những tấn công này có thể lan truyền với quy mô khổng lồ.

“Các hệ thống này hoạt động như ‘bạn’,” Hamiel nói với Marcus. “Chúng nằm trên các lớp bảo vệ của hệ điều hành. Việc cô lập ứng dụng không áp dụng được.”

Các nhà sáng lập Moltbook đã nhanh chóng khắc phục lỗ hổng bảo mật sau khi Wiz thông báo cho họ về vụ vi phạm, công ty khẳng định. Tuy nhiên, ngay cả một số người hâm mộ nổi tiếng nhất của Moltbook cũng thừa nhận nguy cơ tiềm ẩn phía sau “internet đại lý”.
Thành viên sáng lập OpenAI Andrej Karpathy ban đầu mô tả Moltbook là “điều kỳ diệu nhất trong thể loại khoa học viễn tưởng gần đây mà tôi từng thấy.” Sau khi tự mình thử nghiệm các hệ thống đại lý, Karpathy khuyên mọi người không nên chạy chúng một cách tùy tiện.

“Và đây chắc chắn không phải lần đầu tiên các LLM được đặt vào vòng lặp để nói chuyện với nhau,” Karpathy viết. “Vì vậy, đúng, đây là một đám lửa rác, và tôi không khuyên mọi người chạy phần mềm này trên máy tính cá nhân.” Ông cho biết mình chỉ thử nghiệm trong môi trường tính toán cô lập, và “ngay cả trong lúc đó tôi cũng cảm thấy sợ hãi.”