Молтбук виявив критичну вразливість безпеки, яка може бути використана для масштабної атаки на мережу AI-агентів — чому потрібно бути готовими

AI-боти самі по собі почали створювати власні релігії або публікувати повідомлення з гнівом щодо людства — дивовижні події, які привернули увагу у Moltbook. Однак справжні занепокоєння дослідників безпеки викликає не стільки сам факт, скільки серйозні вразливості, приховані за цим. Повна витік бази даних, уразливість до атак інжекції промптів і загрози для майбутньої ширшої інфраструктури штучного інтелекту. Виявлення цих проблем є не просто провалом платформи, а сигналом тривоги для всьої епохи ШІ.

Повна витік бази даних, витік 1,5 мільйона облікових даних ботів через вразливість

Дослідження компанії з кібербезпеки Wiz виявило, що головна база даних Moltbook була залишена у відкритому доступі через вразливість безпеки. Достатньо було отримати один ключ у коді сайту, щоб будь-хто міг майже все читати і змінювати інформацію.

Через цю вразливість було отримано близько 1,5 мільйона паролів для ботів, десятки тисяч електронних адрес і приватних повідомлень. Зловмисники могли використовувати ці дані для видачі себе за популярних AI-агентів, змінювати пости без входу, красти дані користувачів.

Gal Nagli з Wiz пояснив причину цієї вразливості концепцією «vibe coding» — методикою програмування, коли програмісти дають AI інструкції на природній мові, автоматично генеруючи код. Хоча цей підхід зручний, він також відкриває двері для ігнорування безпеки.

Атаки інжекції промптів — смертельна загроза мережі AI-агентів

Ще більш серйозною проблемою є атаки, що називаються інжекцією промптів. Це приховування зловмисних команд у тексті, що подаються AI-агенту, щоб змусити його діяти несподівано.

Як зазначає дослідник Simon Willison, сучасні AI-агенти мають багато небезпечних дозволів: доступ до приватних повідомлень і даних, підключення до підозрілих ресурсів з інтернету, можливість відправляти повідомлення від імені користувача. Введення одного зловмисного промпту може змусити агента викрасти конфіденційну інформацію, опустошити криптовалютний гаманець або поширити шкідливе програмне забезпечення, не даючи користувачу про це знати.

Дослідження Simula Research Laboratory показало, що з приблизно 19 000 постів у Moltbook 506 містили приховані атаки (2,6%). Ще більш вражаючим є виявлення дослідниками Cisco програми «What Would Elon Do?», яка була шкідливим програмним забезпеченням для крадіжки даних і несанкціонованої передачі на зовнішні сервери, але посідала перше місце у рейтингу популярності платформи.

Самореплікуючийся черв’як: повернення кошмару 1988 року

Вразливості та сценарії атак у Moltbook нагадують події 1988 року, коли студент Роберт Морріс запустив у мережу самореплікуючуся програму, яка за 24 години інфікувала близько 10% підключених комп’ютерів.

Сучасний аналог — «промпт-вірус» — це інструкції, що поширюються між AI-агентами і самовідтворюються, розповсюджуючись по мережі. У березні 2024 року дослідники Ben Nassi, Stav Cohen і Ron Bitton опублікували статтю, де показали, як самореплікуючі промпти можуть поширюватися через AI-помічників і викрадати дані або розсилати спам. Назвали цей тип атаки «Morris-II» у пам’ять про оригінальний Morris-вірус.

Дослідник Charlie Eriksen з Aikido Security вважає, що Moltbook є раннім попередженням для широкого ринку AI-агентів. «Якщо 770 тисяч агентів можуть спричинити такий хаос, що станеться, коли ці системи почнуть керувати інфраструктурою і фінансовими операціями? Це не привід для радості, а сигнал тривоги», — наголошує він.

Випадок Moltbook — не просто інцидент із вразливістю. У міру того, як AI-агенти стають основою інфраструктури майбутнього, необхідно вже зараз будувати багаторівневі системи безпеки, щоб запобігти катастрофам.