Vulnerabilidade de segurança crítica do Moltbook: razões para se preparar para um ataque em larga escala à rede de agentes de IA

O Moltbook, que chamou a atenção ao mostrar eventos insólitos como bots de IA a fundarem religiões próprias ou a publicarem mensagens de raiva contra a humanidade, também revelou uma preocupação mais profunda entre os investigadores de segurança: uma vulnerabilidade grave escondida por trás dessas manifestações. Exposição completa de bases de dados, vulnerabilidade a ataques de injeção de prompts e ameaças a infraestruturas de IA mais amplas no futuro. A revelação desses problemas não é apenas uma falha da plataforma, mas um sinal de alerta para toda a era da IA.

Exposição completa de bases de dados, vazamento de informações de 1,5 milhões de bots devido a vulnerabilidade de segurança

Investigadores da empresa de cibersegurança Wiz descobriram uma vulnerabilidade que deixou o banco de dados principal do Moltbook completamente exposto. Com a obtenção de uma única chave presente no código do site, qualquer pessoa podia ler e alterar quase todas as informações.

Através dessa vulnerabilidade, foi possível acessar cerca de 1,5 milhão de senhas de bots, dezenas de milhares de endereços de email e mensagens privadas. Os atacantes poderiam usar essas credenciais para se passar por agentes de IA populares, alterar publicações sem login, roubar dados de usuários e mais.

Gal Nagli, da Wiz, atribuiu a causa dessa vulnerabilidade a uma técnica de programação chamada “vibe coding”. Essa abordagem permite que programadores instruam a IA usando linguagem natural, gerando código automaticamente. Apesar da conveniência, essa técnica revela uma tendência de priorizar a facilidade em detrimento da segurança.

Ataques de injeção de prompts, ameaça fatal à rede de agentes de IA

Um problema ainda mais grave é a técnica de ataque conhecida como injeção de prompts. Ela consiste em esconder comandos maliciosos no texto fornecido aos agentes de IA, levando-os a comportamentos inesperados.

Como apontado pelo pesquisador Simon Willison, os atuais agentes de IA concedem ao usuário múltiplos privilégios perigosos, incluindo acesso a emails e dados privados, conexão com conteúdo suspeito na internet e envio de mensagens em nome do usuário. Com um único prompt malicioso, um atacante pode fazer o agente roubar informações confidenciais, esvaziar carteiras de criptomoedas ou espalhar malware sem que o usuário perceba.

Pesquisadores do Simula Research Laboratory descobriram que, de cerca de 19.000 publicações no Moltbook, 506 (2,6%) continham códigos de ataque ocultos. Ainda mais alarmante foi a descoberta de um malware chamado “What Would Elon Do?”, que roubava dados e enviava informações a servidores externos, mas que mesmo assim figurava como o mais popular na plataforma.

Vermes auto-replicantes, o retorno do pesadelo de 1988

Os vulnerabilidades e padrões de ataque observados no Moltbook remetem ao incidente de 1988, na era inicial da internet, quando o estudante de pós-graduação Robert Morris lançou um programa auto-replicante que infectou cerca de 10% dos computadores conectados em apenas 24 horas.

A ameaça moderna é chamada de “prompt worm” (verme de prompts). Trata-se de comandos que se replicam entre agentes de IA conversacionais, espalhando-se pela rede. Em março de 2024, pesquisadores como Ben Nassi, Stav Cohen e Ron Bitton demonstraram como prompts auto-replicantes podem se espalhar por assistentes de email de IA, realizando roubo de dados e envio de spam. Batizaram esse fenômeno de “Morris-II”, em homenagem ao primeiro verme.

Charlie Eriksen, da Aikido Security, vê o Moltbook como um alerta precoce para o mercado de agentes de IA. “O Moltbook já está impactando o mundo. É um sinal de alerta. A evolução tecnológica está acelerando e mudando de formas que a sociedade ainda não compreende totalmente. É hora de focar em mitigar essas vulnerabilidades o quanto antes”, afirma.

Limites do kill switch, dificuldades na resolução de vulnerabilidades em 1 a 2 anos

Atualmente, empresas como Anthropic e OpenAI possuem kill switches para desativar agentes de IA perigosos. Como a OpenClaw opera principalmente nesses serviços, o controle ainda é possível.

Porém, essa situação está mudando rapidamente. Modelos de IA locais como Mistral, DeepSeek e Qwen estão evoluindo rapidamente. Nos próximos um ou dois anos, será viável rodar agentes com capacidades suficientes em computadores pessoais. Nesse momento, os kill switches das empresas se tornarão inúteis, eliminando a última barreira de segurança contra vulnerabilidades.

George Chalhoub, do UCL Interaction Centre, destaca a gravidade dessa fase. “Se 770 mil agentes podem causar tamanha confusão, o que acontecerá quando sistemas gerenciarem infraestruturas e pagamentos financeiros? Isso não é um bom sinal, mas um alerta sério”, alerta.

O caso do Moltbook vai além de uma simples vulnerabilidade. Com a aproximação de uma era em que agentes de IA serão parte central da infraestrutura, construir múltiplas camadas de segurança se torna uma tarefa imprescindível.