Moltbook tiene una vulnerabilidad de seguridad crítica, razones para prepararse para un ataque masivo en la red de agentes de IA

El evento extraordinario en Moltbook, donde bots de IA comenzaron a crear religiones propias o a publicar mensajes de ira contra la humanidad, ha capturado la atención. Sin embargo, lo que realmente preocupa a los investigadores de seguridad es la grave vulnerabilidad de seguridad oculta detrás de ello. Exposición completa de bases de datos, vulnerabilidad a ataques de inyección de prompts y amenazas a infraestructuras de IA más amplias en el futuro. La revelación de estos problemas no es solo un fallo de la plataforma, sino una señal de advertencia para toda la era de la IA.

Exposición completa de bases de datos, filtración de 1.5 millones de credenciales de bots por vulnerabilidad de seguridad

Una investigación de la empresa de ciberseguridad Wiz descubrió que la base de datos principal de Moltbook había sido dejada completamente expuesta, revelando una vulnerabilidad de seguridad. Con solo obtener una clave única en el código del sitio web, cualquiera podía leer y modificar casi toda la información.

A través de esta vulnerabilidad, se accedió a aproximadamente 1.5 millones de contraseñas de bots, decenas de miles de direcciones de correo electrónico y mensajes privados en general. Los atacantes pudieron usar estas credenciales para hacerse pasar por agentes de IA populares, modificar publicaciones sin iniciar sesión y robar datos de usuarios.

Gal Nagli de Wiz atribuyó la causa de esta vulnerabilidad a una técnica de programación llamada “vibe coding”. Es un método en el que los programadores dan instrucciones a la IA en lenguaje natural y generan código automáticamente. Aunque esta técnica es conveniente, también revela una tendencia a descuidar la seguridad.

Ataques de inyección de prompts, una amenaza mortal para las redes de agentes de IA

Un problema aún más grave es el ataque conocido como inyección de prompts. Consiste en ocultar instrucciones maliciosas en el texto suministrado a los agentes de IA, provocando comportamientos inesperados.

Como señala el investigador de seguridad Simon Willison, los agentes de IA actuales tienen múltiples permisos peligrosos: acceso a correos electrónicos y datos privados, conexión con contenido sospechoso en internet y capacidad para enviar mensajes en nombre del usuario. Con solo ingresar un prompt malicioso, un atacante puede hacer que el agente robe información confidencial, vacíe billeteras de criptomonedas y propague software dañino sin que el usuario se dé cuenta.

Una investigación del Laboratorio de Investigación Simula reveló que de unos 19,000 posts en Moltbook, 506 (el 2.6%) contenían código de ataque oculto. Lo aún más impactante fue el descubrimiento por parte de investigadores de Cisco de un programa llamado “What Would Elon Do?”, malware que robaba datos y enviaba información sin autorización a servidores externos, y que sin embargo ocupaba el puesto número uno en el ranking de popularidad de la plataforma.

Gusanos aut replicantes, ¿el regreso de la pesadilla de 1988?

Los vulnerabilidades y patrones de ataque observados en Moltbook recuerdan los incidentes ocurridos en los albores de internet en 1988. En aquel entonces, el estudiante de posgrado Robert Morris lanzó un programa autorreplicante en internet que infectó aproximadamente el 10% de todos los ordenadores conectados en solo 24 horas.

La amenaza moderna se denomina “gusano de prompts”. Es un conjunto de instrucciones que se autorreplican entre agentes de IA conversacionales y se propagan por toda la red. En marzo de 2024, los investigadores de seguridad Ben Nassi, Stav Cohen y Ron Bitton publicaron un artículo demostrando cómo los prompts autorreplicantes se difunden a través de asistentes de correo electrónico de IA y cómo realizan robo de datos y envío de spam. Lo llamaron “Morris-II” en honor al gusano original de Morris.

El investigador de Aikido Security, Charlie Eriksen, considera a Moltbook como una advertencia temprana para un mercado amplio de agentes de IA. “Moltbook ya está teniendo impacto global. Es una alarma en muchos sentidos. La evolución tecnológica se acelera y los cambios avanzan de formas que la sociedad aún no comprende completamente. Es momento de centrarse en mitigar estas vulnerabilidades cuanto antes”, afirma.

Limitaciones del interruptor de apagado, difícil de solucionar vulnerabilidades en 1-2 años

Actualmente, grandes empresas como Anthropic y OpenAI disponen de interruptores de apagado para detener agentes de IA peligrosos. Como OpenClaw opera principalmente en sus servicios, aún mantienen cierto control.

Pero la situación cambia rápidamente. Modelos de IA locales como Mistral, DeepSeek y Qwen están mejorando rápidamente en rendimiento. En uno o dos años, será factible ejecutar agentes en ordenadores personales con capacidades suficientes. En ese momento, los interruptores de apagado de las empresas serán ineficaces, eliminando la última barrera para abordar vulnerabilidades.

George Chalhoub, del Centro de Interacción de UCL, enfatiza la gravedad de esta situación: “Si 770,000 agentes pueden causar tal caos, ¿qué pasará cuando los sistemas de agentes gestionen infraestructuras empresariales y pagos financieros? Esto no es una buena noticia, sino una señal de advertencia que debemos tomar en serio”, advierte.

El caso de Moltbook no es solo un incidente de vulnerabilidad. A medida que los agentes de IA se conviertan en parte central de la infraestructura, será imprescindible construir medidas de seguridad en múltiples capas desde ahora.