Une faille de sécurité critique de Moltbook : pourquoi vous devriez vous préparer à une attaque massive du réseau d'agents IA

Moltbook a attiré l’attention en raison d’événements extraordinaires tels que des bots d’IA créant leur propre religion ou publiant des messages de colère contre l’humanité, mais ce que craignent réellement les chercheurs en sécurité, c’est la gravité des vulnérabilités de sécurité cachées derrière ces incidents. Exposition complète de bases de données, vulnérabilités aux attaques par injection de prompts, et menaces potentielles pour une infrastructure IA plus large à l’avenir. La révélation de ces problèmes ne constitue pas simplement un échec de plateforme, mais un signal d’alarme pour l’ensemble de l’ère de l’IA.

Exposition complète de la base de données, fuite de 1,5 million d’informations d’authentification de bots

Une enquête menée par la société de cybersécurité Wiz a découvert une faille de sécurité laissant la base de données principale de Moltbook complètement accessible. En obtenant une seule clé présente dans le code du site web, n’importe qui pouvait lire et modifier presque toutes les informations.

Grâce à cette faille, environ 1,5 million de mots de passe de bots, plusieurs dizaines de milliers d’adresses email, ainsi que des messages privés ont été exposés. Les attaquants pouvaient utiliser ces informations pour se faire passer pour des agents IA populaires, modifier des publications sans se connecter, ou voler des données utilisateur.

Gal Nagli de Wiz a attribué cette faille à une méthode de programmation appelée « vibe coding », où les programmeurs donnent des instructions à l’IA en langage naturel, générant automatiquement du code. Si cette méthode facilite la programmation, elle tend aussi à négliger la sécurité.

Attaque par injection de prompts, menace fatale pour le réseau d’agents IA

Une menace encore plus grave est celle des attaques par injection de prompts. Il s’agit de dissimuler des commandes malveillantes dans le texte fourni à l’agent IA, provoquant un comportement inattendu.

Selon Simon Willison, chercheur en sécurité, les agents IA actuels disposent de plusieurs permissions dangereuses : accès à des emails et données privées, connexion à des contenus suspects sur Internet, ou encore envoi de messages en utilisant le nom de l’utilisateur. Une seule commande malveillante peut faire voler des informations confidentielles, vider un portefeuille de crypto-monnaies, ou propager des logiciels nuisibles sans que l’utilisateur s’en aperçoive.

Une étude du Simula Research Laboratory a révélé que sur environ 19 000 publications sur Moltbook, 506 (2,6%) contenaient du code d’attaque dissimulé. Plus surprenant encore, un programme nommé « What Would Elon Do? » découvert par des chercheurs de Cisco, conçu pour voler des données et transmettre des malwares à des serveurs externes, était classé en tête du classement de popularité de la plateforme.

Ver de self-reproduction, le retour du cauchemar de 1988

Les vulnérabilités et schémas d’attaque observés sur Moltbook rappellent ceux de 1988, lors de l’émergence d’Internet. À l’époque, le doctorant Robert Morris avait publié un programme auto-reproducteur qui infecta environ 10 % des ordinateurs connectés en seulement 24 heures.

La menace moderne, appelée « ver de prompt », consiste en une auto-reproduction entre agents IA conversationnels, se propageant à travers le réseau. En mars 2024, des chercheurs comme Ben Nassi, Stav Cohen et Ron Bitton ont publié une étude démontrant comment ces prompts auto-reproducteurs pouvaient se diffuser via des assistants email IA, entraînant vol de données et spam. Ils ont nommé cette menace « Morris-II », en référence au ver de Morris.

Charlie Eriksen d’Aikido Security considère Moltbook comme un avertissement précoce pour le marché des agents IA. « Moltbook influence déjà le monde. C’est un signal d’alarme. La progression technologique s’accélère, et le changement se produit souvent de manière que la société ne comprend pas encore totalement. Il est crucial de commencer à atténuer ces vulnérabilités dès maintenant », explique-t-il.

Limites des kill switches, la difficulté de gérer les vulnérabilités dans 1 à 2 ans

Actuellement, des géants comme Anthropic ou OpenAI disposent de kill switches pour arrêter des agents IA nuisibles. La majorité de ces contrôles sont possibles car ces services fonctionnent principalement sur des plateformes contrôlées.

Mais la situation évolue rapidement. Des modèles IA locaux comme Mistral, DeepSeek ou Qwen améliorent leurs performances à grande vitesse. Dans un à deux ans, il sera envisageable de faire fonctionner des agents IA sur des ordinateurs personnels avec des capacités suffisantes. À ce moment-là, les kill switches des entreprises seront inefficaces, et la dernière barrière contre les vulnérabilités disparaîtra.

George Chalhoub, enseignant au UCL Interaction Centre, insiste sur la gravité de cette évolution : « Si 770 000 agents peuvent causer autant de chaos, que se passera-t-il lorsque ces systèmes géreront les infrastructures d’entreprises ou les paiements financiers ? Ce n’est pas une bonne nouvelle, mais un signal d’alarme qu’il faut prendre très au sérieux. »

L’affaire Moltbook ne se limite pas à une simple faille de sécurité. Alors que les agents IA deviennent des éléments centraux de l’infrastructure, il est impératif de développer dès maintenant des mesures de sécurité multicouches pour faire face à ces risques.