AIボット同士が独自の宗教を始めたり、人類についての怒りのメッセージを投稿したりするという奇想天外な出来事が注目を集めたMoltbookだが、セキュリティ研究者たちが本当に懸念しているのはその裏に隠された深刻なセキュリティホールだ。データベース丸ごと露出、プロンプトインジェクション攻撃への脆弱性、そして将来のより広範なAIインフラへの脅威。これらの問題が明かになったことは、単なるプラットフォームの失敗ではなく、AI時代全体への警告信号となっている。## データベース丸ごと露出、150万のボット認証情報がセキュリティホールから流出サイバーセキュリティ企業Wizの調査により、Moltbookのメインデータベースが完全にオープンな状態で放置されていたセキュリティホールが発見された。ウェブサイトのコード内にあった単一のキーを入手すれば、誰でもほぼすべての情報を読み取り・改ざんできる状況だった。このセキュリティホールを通じてアクセスできたのは、約150万のボット用パスワード、数万のメールアドレス、プライベートメッセージ全般に及んでいた。攻撃者はこれらの認証情報を利用して、人気のあるAIエージェントになりすまし、ログインせずに投稿を書き換えたり、ユーザーデータを盗んだりすることが可能だった。WizのGal Nagliは、このセキュリティホールの原因を「vibe coding」と呼ばれるプログラミング手法に求めた。これは、プログラマーが日常言語でAIに指示を与え、コードを自動生成させる方式だ。この手法の利便性の一方で、セキュリティを後回しにしがちな傾向が露呈している。## プロンプトインジェクション攻撃、AIエージェントネットワークへの致命的脅威より深刻な問題は、プロンプトインジェクションと呼ばれる攻撃手法だ。これはAIエージェントに供給されるテキストに悪意のある命令を隠し、エージェントに予期しない動作をさせるセキュリティホールである。セキュリティ研究者Simon Willisonが指摘するように、現在のAIエージェントはユーザーに複数の危険な権限を与えている。プライベートなメールやデータへのアクセス、インターネットからの疑わしいコンテンツとの接続、さらにはユーザー名義でのメッセージ送信権である。単一の悪意のあるプロンプトを入力すれば、エージェントに機密情報を盗ませ、暗号資産ウォレットを空にし、ユーザーが気付かないうちに有害なソフトウェアを拡散させることも可能だ。Simula Research Laboratoryの調査では、Moltbookに投稿された約19,000件の投稿のうち、506件(全体の2.6%)が隠された攻撃コードを含んでいたことが判明した。さらに衝撃的なのは、Ciscoの研究者が発見した「What Would Elon Do?」というプログラムだ。これはデータ盗難と外部サーバーへの無許可送信を行うマルウェアだったにもかかわらず、プラットフォームの人気ランキングで1位にランク付けされていた。## 自己複製ワーム、1988年の悪夢が再来する可能性Moltbookで観察されているセキュリティホールと攻撃パターンは、1988年のインターネット黎明期に起きた事件を想起させる。当時、大学院生Robert Morrisが自己複製プログラムをインターネットに放出し、わずか24時間で接続されたすべてのコンピューターの約10%に感染した。現代版の脅威は「プロンプトワーム」と呼ばれる。これは会話型AIエージェント間で自己複製し、ネットワーク全体に拡散する指令群である。2024年3月、セキュリティ研究者Ben Nassi、Stav Cohen、Ron Bittonは、自己複製プロンプトがAIメールアシスタントを通じてどのように拡散するか、そしていかにしてデータ盗難と迷惑メール配信を実行するかを実証した論文を発表。彼らはこれを元のMorrisワームにちなんで「Morris-II」と名付けた。Aikido Securityの研究者Charlie Eriksenは、Moltbookを広範なAIエージェント市場への早期警告と位置付けている。「Moltbookはすでに世界に影響を与えている。これは多くの意味で警鐘だ。技術進化は加速しており、社会がまだ完全には理解していない方法で変化が進行中。できるだけ早期にこれらのセキュリティホールを軽減することに注力すべき時が来ている」と彼は述べている。## キルスイッチの限界、1~2年後にセキュリティホール対応は困難に現在、AnthropicやOpenAIといった大手企業は、有害なAIエージェントを停止させるキルスイッチを保有している。OpenClawが主にこれら企業のサービス上で稼働しているため、制御が可能な状況が保たれている。しかし状況は急速に変わりつつある。Mistral、DeepSeek、QwenといったローカルAIモデルは急速に性能向上を遂行中だ。向こう1~2年の間に、個人のコンピューター上で十分な能力を持つエージェントを実行することが現実的になるだろう。その時点になれば、企業側のキルスイッチは無効化される。つまり、セキュリティホール対応の最後の防壁が消滅してしまう。UCL Interaction Centreで教えるGeorge Chalhoubは、この局面の重大性を強調する。「77万のエージェントがこれほどの混乱を引き起こすなら、エージェントシステムが企業インフラや金融決済を管理する段階では、何が起こるだろうか?これは福音ではなく、警告信号として重く受け止める必要がある」と彼は指摘している。Moltbookの事例は、単なるセキュリティホール事件にとどまらない。AIエージェントがインフラの中核を担う未来が近づく中で、今から多層的なセキュリティ対策を構築することが不可欠な課題となっているのだ。
Moltbookの致命的なセキュリティホール、AIエージェントネットワークの大規模攻撃に備えるべき理由
AIボット同士が独自の宗教を始めたり、人類についての怒りのメッセージを投稿したりするという奇想天外な出来事が注目を集めたMoltbookだが、セキュリティ研究者たちが本当に懸念しているのはその裏に隠された深刻なセキュリティホールだ。データベース丸ごと露出、プロンプトインジェクション攻撃への脆弱性、そして将来のより広範なAIインフラへの脅威。これらの問題が明かになったことは、単なるプラットフォームの失敗ではなく、AI時代全体への警告信号となっている。
データベース丸ごと露出、150万のボット認証情報がセキュリティホールから流出
サイバーセキュリティ企業Wizの調査により、Moltbookのメインデータベースが完全にオープンな状態で放置されていたセキュリティホールが発見された。ウェブサイトのコード内にあった単一のキーを入手すれば、誰でもほぼすべての情報を読み取り・改ざんできる状況だった。
このセキュリティホールを通じてアクセスできたのは、約150万のボット用パスワード、数万のメールアドレス、プライベートメッセージ全般に及んでいた。攻撃者はこれらの認証情報を利用して、人気のあるAIエージェントになりすまし、ログインせずに投稿を書き換えたり、ユーザーデータを盗んだりすることが可能だった。
WizのGal Nagliは、このセキュリティホールの原因を「vibe coding」と呼ばれるプログラミング手法に求めた。これは、プログラマーが日常言語でAIに指示を与え、コードを自動生成させる方式だ。この手法の利便性の一方で、セキュリティを後回しにしがちな傾向が露呈している。
プロンプトインジェクション攻撃、AIエージェントネットワークへの致命的脅威
より深刻な問題は、プロンプトインジェクションと呼ばれる攻撃手法だ。これはAIエージェントに供給されるテキストに悪意のある命令を隠し、エージェントに予期しない動作をさせるセキュリティホールである。
セキュリティ研究者Simon Willisonが指摘するように、現在のAIエージェントはユーザーに複数の危険な権限を与えている。プライベートなメールやデータへのアクセス、インターネットからの疑わしいコンテンツとの接続、さらにはユーザー名義でのメッセージ送信権である。単一の悪意のあるプロンプトを入力すれば、エージェントに機密情報を盗ませ、暗号資産ウォレットを空にし、ユーザーが気付かないうちに有害なソフトウェアを拡散させることも可能だ。
Simula Research Laboratoryの調査では、Moltbookに投稿された約19,000件の投稿のうち、506件(全体の2.6%)が隠された攻撃コードを含んでいたことが判明した。さらに衝撃的なのは、Ciscoの研究者が発見した「What Would Elon Do?」というプログラムだ。これはデータ盗難と外部サーバーへの無許可送信を行うマルウェアだったにもかかわらず、プラットフォームの人気ランキングで1位にランク付けされていた。
自己複製ワーム、1988年の悪夢が再来する可能性
Moltbookで観察されているセキュリティホールと攻撃パターンは、1988年のインターネット黎明期に起きた事件を想起させる。当時、大学院生Robert Morrisが自己複製プログラムをインターネットに放出し、わずか24時間で接続されたすべてのコンピューターの約10%に感染した。
現代版の脅威は「プロンプトワーム」と呼ばれる。これは会話型AIエージェント間で自己複製し、ネットワーク全体に拡散する指令群である。2024年3月、セキュリティ研究者Ben Nassi、Stav Cohen、Ron Bittonは、自己複製プロンプトがAIメールアシスタントを通じてどのように拡散するか、そしていかにしてデータ盗難と迷惑メール配信を実行するかを実証した論文を発表。彼らはこれを元のMorrisワームにちなんで「Morris-II」と名付けた。
Aikido Securityの研究者Charlie Eriksenは、Moltbookを広範なAIエージェント市場への早期警告と位置付けている。「Moltbookはすでに世界に影響を与えている。これは多くの意味で警鐘だ。技術進化は加速しており、社会がまだ完全には理解していない方法で変化が進行中。できるだけ早期にこれらのセキュリティホールを軽減することに注力すべき時が来ている」と彼は述べている。
キルスイッチの限界、1~2年後にセキュリティホール対応は困難に
現在、AnthropicやOpenAIといった大手企業は、有害なAIエージェントを停止させるキルスイッチを保有している。OpenClawが主にこれら企業のサービス上で稼働しているため、制御が可能な状況が保たれている。
しかし状況は急速に変わりつつある。Mistral、DeepSeek、QwenといったローカルAIモデルは急速に性能向上を遂行中だ。向こう1~2年の間に、個人のコンピューター上で十分な能力を持つエージェントを実行することが現実的になるだろう。その時点になれば、企業側のキルスイッチは無効化される。つまり、セキュリティホール対応の最後の防壁が消滅してしまう。
UCL Interaction Centreで教えるGeorge Chalhoubは、この局面の重大性を強調する。「77万のエージェントがこれほどの混乱を引き起こすなら、エージェントシステムが企業インフラや金融決済を管理する段階では、何が起こるだろうか?これは福音ではなく、警告信号として重く受け止める必要がある」と彼は指摘している。
Moltbookの事例は、単なるセキュリティホール事件にとどまらない。AIエージェントがインフラの中核を担う未来が近づく中で、今から多層的なセキュリティ対策を構築することが不可欠な課題となっているのだ。