Критическая уязвимость безопасности Moltbook: почему необходимо подготовиться к масштабной атаке сети AI-агентов

AI-боты начинают создавать свои собственные религии или публиковать сообщения с гневом по поводу человечества — такие необычные события привлекли внимание к Moltbook, однако настоящая обеспокоенность исследователей безопасности связана с серьезными уязвимостями, скрытыми за этим. Полное раскрытие базы данных, уязвимость к промпт-инжекции, а также угрозы для будущей более широкой инфраструктуры ИИ. Обнаружение этих проблем — не просто сбой платформы, а тревожный сигнал для всей эпохи ИИ.

Полное раскрытие базы данных, утечка 1,5 миллиона учетных данных ботов из-за уязвимости

Исследование компании по кибербезопасности Wiz выявило, что основная база данных Moltbook была оставлена полностью открытой, что стало причиной обнаруженной уязвимости. Достаточно было получить один ключ в коде сайта, чтобы любой мог читать и изменять почти всю информацию.

Через эту уязвимость было получено около 1,5 миллиона паролей ботов, десятки тысяч адресов электронной почты и личных сообщений. Злоумышленники могли использовать эти учетные данные для маскировки под популярных ИИ-агентов, изменять посты без входа, а также красть пользовательские данные.

Гал Нагли из Wiz объяснил причину уязвимости как использование метода программирования, называемого «vibe coding». Это когда программисты дают ИИ инструкции на естественном языке, автоматически генерируя код. Несмотря на удобство этого метода, он зачастую приводит к пренебрежению вопросами безопасности.

Промпт-инжекция — смертельная угроза для сети ИИ-агентов

Более серьезной проблемой является атака, известная как промпт-инжекция. Она заключается в скрытии вредоносных команд внутри текста, подаваемого ИИ-агенту, что вызывает неожиданные действия системы.

Как отмечает исследователь Саймон Уиллисон, современные ИИ-агенты предоставляют пользователям множество опасных полномочий: доступ к личной почте и данным, подключение к подозрительному контенту из интернета, а также возможность отправлять сообщения от имени пользователя. Ввод одного злонамеренного промпта может привести к краже конфиденциальной информации, опустошению криптовалютных кошельков и распространению вредоносного ПО без ведома пользователя.

Исследование лаборатории Simula показало, что из примерно 19 000 сообщений, опубликованных на Moltbook, 506 (2,6%) содержали скрытые вредоносные коды. Еще более шокирующим является обнаружение исследователями Cisco программы под названием «What Would Elon Do?», которая представляла собой вредоносное ПО для кражи данных и несанкционированной отправки на внешние серверы, несмотря на это, она занимала первое место в рейтинге популярности платформы.

Самовоспроизводящиеся черви: возвращение кошмара 1988 года

Обнаруженные уязвимости и модели атак в Moltbook напоминают события эпохи зарождения интернета в 1988 году. Тогда аспирант Роберт Моррис выпустил самовоспроизводящуюся программу, которая за 24 часа заразила около 10% подключенных компьютеров.

Современная версия угрозы — «промпт-черви». Это — инструкции, которые позволяют ИИ-агентам самовоспроизводиться между собой и распространяться по сети. В марте 2024 года исследователи Бен Насси, Стэв Коэн и Рон Биттон опубликовали работу, демонстрирующую, как самовоспроизводящиеся промпты распространяются через AI-ассистентов по электронной почте, осуществляя кражу данных и рассылку спама. Они назвали это «Morris-II» в честь оригинального червя Морриса.

Исследователь из Aikido Security Чарли Эриксен считает, что Moltbook — раннее предупреждение о масштабных рисках для рынка ИИ-агентов. «Если 770 тысяч агентов могут вызвать такой хаос, что же произойдет, когда системы начнут управлять инфраструктурой и финансовыми операциями? Это не просто тревога, а сигнал к действию. Необходимо как можно скорее снизить уязвимости», — подчеркнул он.

Кейс Moltbook — не только инцидент с уязвимостью. В условиях приближающегося будущего, когда ИИ-агенты станут ядром инфраструктуры, крайне важно строить многоуровневую систему защиты.

Ограничения «килл-сключа»: через 1–2 года устранение уязвимостей станет невозможным

На сегодняшний день крупные компании, такие как Anthropic и OpenAI, обладают средствами отключения опасных ИИ-агентов — так называемыми «килл-сключами». Поскольку большинство их сервисов работает на платформе OpenClaw, контроль за ними сохраняется.

Однако ситуация быстро меняется. Модели локальных ИИ, такие как Mistral, DeepSeek и Qwen, быстро улучшают свои возможности. В течение одного-двух лет станет возможным запускать на личных компьютерах достаточно мощных агентов. Тогда контроль со стороны компаний исчезнет, и «килл-сключи» перестанут работать. Это означает, что последний барьер защиты от уязвимостей исчезнет.

Георг Шалуб из UCL Interaction Centre подчеркивает важность этого момента: «Если 770 тысяч агентов могут вызвать такой хаос, что же произойдет, когда системы начнут управлять инфраструктурой и финансовыми транзакциями? Это не просто тревога, а сигнал к серьезному вниманию».

Пример Moltbook — не только инцидент с уязвимостью. В условиях приближающегося будущего, когда ИИ-агенты станут частью критической инфраструктуры, необходимо уже сейчас разрабатывать многоуровневые меры безопасности.