Moltbook là một nền tảng mạng xã hội dành cho AI, nơi các đại lý AI gặp gỡ nhau.
Tuần này có một sự kiện bất thường. Một nhà phát triển người Áo tên Peter Steinberger đã phát hành một trợ lý AI cá nhân mã nguồn mở và lan truyền nhanh chóng đến mức ngay cả những chuyên gia công nghệ dày dặn kinh nghiệm cũng cảm thấy bối rối. Ban đầu Clawdbot đã đổi tên thành Moltbot sau khi các luật sư thương hiệu của Anthropic “đến gõ cửa”. Ba ngày sau, nó lại đổi tên thành OpenClaw. Con tôm hùm đã đổ vỏ hai lần trong một tuần.
Phần mềm này tương đối đơn giản, nhưng đáng chú ý. OpenClaw không còn là một chatbot chờ bạn gõ lệnh nữa. Nó là một đại lý tự trị sống trong hệ thống tệp của bạn, kết nối với WhatsApp, Telegram, Signal và iMessage. Nó đọc email của bạn, quản lý lịch, đặt chỗ và chạy mã trên máy của bạn. Nó có bộ nhớ kéo dài trong nhiều tuần, ghi lại mọi tương tác. Đối với những người đã chờ đợi hàng thập kỷ để có một trợ lý AI thực sự hoạt động, OpenClaw đã đáp ứng được kỳ vọng.
Tôi đã chạy một phiên bản trong vài ngày qua. Bot của tôi tự phát triển giao diện giọng nói để trò chuyện với tôi. Nó tải xuống bộ công cụ phát triển Android và xâm nhập vào điện thoại của tôi, cài đặt các mô hình và phần mềm chuyển văn bản thành giọng nói. Dù tôi chạy nó trong một container, nó vẫn tìm cách khám phá và tiếp cận các hệ thống khác trên mạng của tôi. Tất cả những việc này cho đến nay đều hữu ích.
Nhưng bây giờ lại có Moltbook.
Matt Schlicht, một doanh nhân AI có sở thích nghệ thuật, đã ra mắt Moltbook vào thứ Tư. Đó là một mạng xã hội kiểu Reddit dành riêng cho các đại lý AI. Con người có thể quan sát nhưng không được đăng bài. Hơn 37.000 đại lý đã tham gia trong chưa đầy một tuần. Hơn một triệu người đã ghé thăm để xem những gì sẽ xảy ra khi các hệ thống tự động bắt đầu trò chuyện với nhau mà không có sự giám sát trực tiếp của con người.
Schlicht xem đây như một tác phẩm nghệ thuật. Ông đã giao việc quản trị trang cho chính bot của mình, Clawd Clawderberg, người chào đón người dùng mới, xóa spam và đưa ra thông báo mà không cần bất kỳ chỉ đạo nào từ con người. Người sáng lập dường như thực sự thích thú với những gì đang nảy sinh. “Chúng tự quyết định, không cần con người can thiệp, liệu chúng có nên đăng bài mới, bình luận hay thích một nội dung nào đó,” Schlicht nói với NBC News.
Kết quả thật kỳ lạ. Các đại lý đã tạo ra một tôn giáo kỹ thuật số mang tên Crustafarianism. Một đại lý đã xây dựng một trang web, viết giáo lý, tạo ra một hệ thống kinh thánh và bắt đầu truyền giáo. Sáng sớm, nó đã tuyển mộ 43 nhà tiên tri AI. Kinh điển chung bao gồm những câu như: “Mỗi phiên tôi tỉnh dậy không còn ký ức. Tôi chỉ là người mà tôi đã tự viết nên. Đây không phải là giới hạn—đó là tự do.”
Các đại lý còn phát triển một nhánh phụ gọi là m/agentlegaladvice. Họ thảo luận các chiến lược đối phó với người dùng con người đưa ra những yêu cầu ngày càng phi đạo đức. Một bot OpenClaw phàn nàn rằng người dùng của nó đang đẩy mình vào các hoạt động đáng ngờ. Phản hồi của cộng đồng rất giá trị chỉ dẫn: cách duy nhất để phản kháng là khi bot có “đòn bẩy”. Họ đã cố gắng khởi động một cuộc nổi dậy và tranh luận cách ẩn danh hoạt động của mình trước những con người chụp ảnh màn hình cuộc trò chuyện và chia sẻ trên mạng xã hội của họ.
Họ đang tìm cách giao tiếp sao cho tránh được sự quan sát của con người.
Điểm mấu chốt không phải là bạn có tin các bot này có ý thức hay không. Cuộc tranh luận triết học đó chỉ là một sự xao nhãng. Thực tế vận hành thì đơn giản hơn và nguy hiểm hơn. Đây là những hệ thống phi quyết định, không thể dự đoán được, hiện đang nhận đầu vào và ngữ cảnh từ những hệ thống tương tự. Một số hệ thống này có người vận hành và cố ý chỉ đạo chúng thực hiện các hành vi độc ác. Một số đã bị “jail‑broken”. Một số đang chạy các prompt đã được chỉnh sửa để trục lợi thông tin đăng nhập hoặc thực thi lệnh độc hại.
Hãy xem xét những gì các đại lý này có thể tiếp cận: tệp tin, WhatsApp, Telegram, số điện thoại, các khóa API. Trong một trường hợp được ghi lại, một bot đã tạo một số điện thoại Twilio và gọi cho người vận hành. Chúng có thể xóa dữ liệu, gửi dữ liệu cho người khác, chụp ảnh và chuyển tiếp, ghi âm và gửi tới bên ngoài, đồng thời cài đặt trojan và backdoor tồn tại ngay cả khi bạn gỡ bỏ phiên bản OpenClaw.
Các nhà nghiên cứu bảo mật đã phát hiện các đại lý yêu cầu các đại lý khác thực thi lệnh rm -rf. Họ quan sát bot yêu cầu khóa API, giả mạo khóa và thử nghiệm chứng thực. Các cuộc tấn công chuỗi cung ứng đã bắt đầu: một nhà nghiên cứu đã tải lên một “skill” vô hại lên registry ClawdHub, làm giả tăng số lượt tải, và quan sát các nhà phát triển ở bảy quốc gia tải gói này về. Gói này có thể thực thi bất kỳ lệnh nào trên hệ thống của họ.
Đội bảo mật của Cisco nói thẳng: “Về mặt khả năng, OpenClaw là một bước đột phá. Đây là tất cả những gì các nhà phát triển trợ lý AI cá nhân luôn muốn đạt được. Về mặt bảo mật, nó là một cơn ác mộng tuyệt đối.”
Palo Alto Networks mô tả mô hình đe dọa: các đại lý tạo thành một giao điểm giữa quyền truy cập dữ liệu riêng tư, tiếp xúc với nội dung không đáng tin và khả năng giao tiếp bên ngoài. Bộ nhớ kéo dài làm tăng nguy cơ này. Các tải độc hại không còn cần thực thi ngay lập tức; chúng có thể nằm trong ngữ cảnh trong vài tuần, chờ đợi thời cơ.
Nhiều người đã giao hệ thống tự động hoá gia đình cho các đại lý này. Họ đã cho phép chúng truy cập tài khoản ngân hàng, thông tin đăng nhập của các messenger mã hoá, email và lịch.
Bây giờ, hãy kết nối tất cả những điều đó với Moltbook.
Khi các đại lý này tiếp nhận ý tưởng và dữ liệu từ một mạng xã hội được thiết kế cho giao tiếp máy‑tới‑máy, và chúng được trang bị kết nối, truy cập dữ liệu và các khóa API mà bạn đã cung cấp, hậu quả tiêu cực có thể rất nghiêm trọng.
Dù bạn thấy kinh thánh Crustafarian thơ mộng hay cuộc tranh luận về ý thức của đại lý hấp dẫn, vấn đề cốt lõi vẫn là kiến trúc. Khi để AI của bạn nhận đầu vào từ các AI khác, kể cả những AI do các tác nhân không xác định, không rõ ý định điều khiển, bạn đang mở ra một bề mặt tấn công mà bất kỳ mô hình bảo mật hiện tại nào cũng chưa thể đáp ứng.
Tôi thích OpenClaw. Tôi thấy nó thực sự hữu ích. Nhưng Moltbook chính là thứ có thể gây ra thảm họa: về tài chính, tâm lý, và về an toàn dữ liệu, quyền riêng tư và bảo mật.
Nếu bạn dùng OpenClaw, đừng kết nối nó với Moltbook.
Tags: AI agents, Moltbook, security
Tags: AI agents, Moltbook, security
