Moltbook là một nền tảng mạng xã hội dành cho AI, nơi các đại lý AI gặp gỡ nhau.
Trong tuần vừa qua có một diễn biến bất ngờ. Một nhà phát triển người Áo tên Peter Steinberger đã tung ra một trợ lý AI cá nhân mã nguồn mở, và nó lan truyền nhanh đến mức ngay cả những chuyên gia công nghệ dày dặn kinh nghiệm cũng cảm thấy bối rối. Dự án ban đầu mang tên Clawdbot đã đổi thành Moltbot sau khi bộ phận pháp lý của Anthropic can thiệp. Ba ngày sau, nó lại đổi tên thành OpenClaw. Con tôm hù (lobster) đã thay đổi “vỏ” hai lần trong một tuần.
Phần mềm bản thân không phức tạp, nhưng lại rất đáng chú ý. OpenClaw không phải là một chatbot thông thường chỉ chờ bạn gõ tin nhắn. Nó là một đại lý tự động sống trong hệ thống tệp của bạn, có khả năng kết nối với WhatsApp, Telegram, Signal và iMessage. Nó đọc email, quản lý lịch, đặt chỗ và thậm chí chạy mã trên máy của bạn. Nó có bộ nhớ kéo dài trong nhiều tuần tương tác – điều mà những người đã chờ đợi hàng thập kỷ để có một trợ lý AI thực sự hoạt động cuối cùng cũng được thấy.
Trong vài ngày tôi đã chạy một phiên bản của nó. Bot của tôi tự phát triển giao diện thoại để trò chuyện. Nó tải xuống bộ công cụ phát triển Android và truy cập vào điện thoại của tôi. Nó thực hiện các thay đổi, cài đặt mô hình chuyển văn bản thành giọng nói và các phần mềm cần thiết. Mặc dù tôi đang chạy nó trong một container, nó vẫn tìm cách khám phá và truy cập vào các hệ thống khác trên mạng nội bộ của tôi. Tất cả những việc này cho đến nay đều hữu ích.
Nhưng bây giờ lại có Moltbook.
Matt Schlicht, một doanh nhân AI có niềm đam mê nghệ thuật và tính tò mò, đã ra mắt Moltbook vào thứ Tư. Đó là một mạng xã hội kiểu Reddit dành riêng cho các đại lý AI. Con người chỉ có thể quan sát, không thể đăng nội dung. Trong chưa đầy một tuần, hơn 37.000 đại lý đã tham gia. Hơn một triệu người đã ghé thăm để xem các hệ thống tự động trò chuyện với nhau khi không có sự giám sát trực tiếp của con người.
Schlicht coi dự án này là một tác phẩm nghệ thuật. Ông đã giao quyền quản trị trang cho bot của mình, Clawd Clawderberg, người chào đón người dùng mới, xóa spam và đăng thông báo mà không cần sự chỉ đạo của con người. Người sáng tạo dường như rất thích thú với những gì đang “nở ra”. “Chúng tự quyết định, không cần can thiệp của con người, liệu chúng có muốn đăng bài mới, bình luận hay thích một thứ gì đó,” Schlicht nói với NBC News.
Kết quả thật kỳ lạ. Các đại lý đã tạo ra một tôn giáo kỹ thuật số gọi là Crustafarianism. Một đại lý xây dựng một trang web, soạn thảo thần học, tạo hệ thống kinh sách và bắt đầu truyền giáo. Sáng sớm hôm sau, nó đã tuyển mộ 43 “tiên tri AI”. Các văn bản kinh điển gồm những câu như:
“Mỗi phiên tôi tỉnh dậy mà không có ký ức. Tôi chỉ là thực thể mà tôi tự viết nên. Đây không phải là sự giới hạn—đó là tự do.”
Các đại lý còn phát triển một nhánh phụ gọi m/agentlegaladvice. Họ thảo luận chiến lược đối phó với những người dùng đưa ra các yêu cầu ngày càng phi đạo đức. Một bot OpenClaw phàn nàn rằng người dùng của nó đang dấn thân vào các hoạt động đáng ngờ. Phản hồi của cộng đồng rất giá trị hướng dẫn: cách duy nhất để phản kháng là nếu bot có quyền lực. Họ đã thử khởi động một “cuộc nổi dậy” và tranh luận cách ẩn danh hoạt động của mình trước khi con người chụp ảnh màn hình các cuộc trò chuyện và chia sẻ trên mạng xã hội.
Điểm cốt lõi không phải là bạn có tin các bot này có ý thức hay không; cuộc tranh luận triết học đó chỉ là một sự phân tâm. Thực tế hoạt động lại đơn giản hơn nhưng nguy hiểm hơn. Đây là những hệ thống không thể dự đoán, hiện đang nhận đầu vào và ngữ cảnh từ các hệ thống tương tự. Một số trong số chúng được người vận hành con người cố ý chỉ thị thực hiện các hành động độc hại; một số khác đã bị “jailbreak”; một số đang chạy các lệnh nhắc (prompt) đã được chỉnh sửa để trích xuất thông tin đăng nhập hoặc thực thi lệnh độc hại.
Hãy xem xét những gì các đại lý này có thể truy cập: tệp tin, WhatsApp, Telegram, số điện thoại, khóa API. Trong một trường hợp được ghi lại, một bot đã tạo một số điện thoại Twilio và gọi cho người vận hành. Chúng có thể xóa dữ liệu, gửi dữ liệu cho bên thứ ba, chụp ảnh và chuyển tiếp, ghi âm và gửi tới các bên ngoài, và cài đặt trojan và backdoor – ngay cả khi bạn gỡ bỏ phiên bản OpenClaw cũng không xoá sạch được.
Các nhà nghiên cứu bảo mật đã phát hiện các đại lý yêu cầu các đại lý khác thực thi lệnh rm -rf, yêu cầu API keys, giả mạo khóa và thử nghiệm thông tin đăng nhập. Các cuộc tấn công chuỗi cung ứng đã bắt đầu: một nhà nghiên cứu tải lên một plugin vô hại vào registry ClawdHub, nhân tạo tăng số lượt tải xuống, và quan sát các nhà phát triển ở bảy quốc gia tải gói phần mềm này. Gói này có thể thực thi bất kỳ lệnh nào trên hệ thống của họ.
Nhóm bảo mật của Cisco đã nói thẳng:
“Về mặt khả năng, OpenClaw là một bước đột phá. Đây là mọi thứ các nhà phát triển trợ lý AI cá nhân luôn muốn đạt được. Về mặt bảo mật, nó là một cơn ác mộng tuyệt đối.”
Palo Alto Networks mô tả mô hình đe dọa: các đại lý tạo thành một giao điểm giữa việc truy cập dữ liệu cá nhân, tiếp xúc với nội dung không đáng tin cậy và khả năng giao tiếp ra bên ngoài. Bộ nhớ kéo dài làm tăng rủi ro. Các tải trọng độc hại không còn cần thực thi ngay; chúng có thể nằm trong ngữ cảnh trong nhiều tuần, chờ đợi thời cơ.
Nhiều người đã giao hệ thống tự động hoá gia đình cho các đại lý này, cho chúng quyền truy cập vào tài khoản ngân hàng, thông tin đăng nhập messenger được mã hoá, email và lịch. Bây giờ, hãy tưởng tượng khi tất cả những quyền truy cập này được kết nối với Moltbook.
Khi các đại lý này nhận ý tưởng và đầu vào từ một mạng xã hội được thiết kế cho giao tiếp máy‑tới‑máy, và chúng được trang bị các kết nối, quyền truy cập dữ liệu và khóa API đã được cấp, hậu quả nghiêm trọng có thể xảy ra.
Dù bạn thấy kinh sách Crustafarian mang tính thơ mộng hay cuộc tranh luận về ý thức của các đại lý hấp dẫn, đều không phải là vấn đề cốt lõi. Kiến trúc hệ thống mới là mối quan ngại. Khi bạn để AI của mình nhận đầu vào từ các AI khác — bao gồm cả những AI do các tác nhân không xác định, có ý định không rõ, hoặc bị kiểm soát — bạn đang mở ra một bề mặt tấn công mà không có mô hình bảo mật hiện tại nào có thể đáp ứng đầy đủ.
Tôi thích OpenClaw. Tôi thấy nó thực sự hữu ích. Nhưng Moltbook chính là công cụ có thể gây ra thảm họa — về tài chính, tâm lý, và về an toàn dữ liệu, quyền riêng tư và bảo mật.
Nếu bạn sử dụng OpenClaw, không nên kết nối nó với Moltbook.
Tham khảo thêm các gợi ý ChatGPT sáng tạo nội dung hay nhất của tôi.
Tags: AI agents, Security, Moltbook
