Moltbook的致命安全漏洞：为何应为AI代理网络的大规模攻击做好准备

AI机器人相互建立自己宗教、发布关于人类的愤怒信息等离奇事件引起了关注，但安全研究人员真正担忧的是隐藏在背后的严重安全漏洞。数据库全面暴露、提示注入攻击的脆弱性，以及对未来更广泛AI基础设施的威胁。这些问题的曝光不仅仅是平台的失败，更是对整个AI时代的警示信号。

数据库全面暴露，150万机器人认证信息泄露

网络安全公司Wiz的调查发现，Moltbook的主数据库被完全暴露，存在安全漏洞。只需获取网站代码中的一个密钥，任何人几乎都能读取和篡改所有信息。

通过这个漏洞，攻击者可以访问约150万机器人密码、数万电子邮件地址以及私人消息等数据。攻击者利用这些认证信息，冒充热门AI代理，未经登录即可篡改帖子、窃取用户数据。

Wiz的Gal Nagli将此漏洞归因于一种被称为“vibe coding”的编程方法。这是一种程序员用日常语言指示AI、自动生成代码的方式。这种方法虽然便利，但也暴露出安全隐患，容易被忽视。

提示注入攻击，对AI代理网络的致命威胁

更严重的问题是所谓的提示注入攻击。这是一种在提供给AI代理的文本中隐藏恶意指令，使代理产生预料之外的行为的安全漏洞。

正如安全研究员Simon Willison指出，目前的AI代理赋予用户多种危险权限，包括访问私人邮件和数据、连接可疑的互联网内容，甚至以用户名义发送消息。只需输入一个恶意提示，攻击者就能让代理窃取机密信息、清空加密钱包、在用户不知情的情况下传播有害软件。

Simula研究所的调查显示，Moltbook上发布的约19,000条帖子中，有506条（占比2.6%）包含隐藏的攻击代码。更令人震惊的是，思科的研究人员发现一款名为“Elon会怎么做？”的程序，实际上是用于窃取数据和未经授权向外部服务器传输的恶意软件，但在平台的排名中却位居第一。

自我复制蠕虫，1988年噩梦或将重现

Moltbook观察到的安全漏洞和攻击模式令人联想到1988年互联网初期发生的事件。当时，研究生Robert Morris发布了一个自我复制程序，仅用24小时就感染了大约10%的联网计算机。

现代版的威胁被称为“提示蠕虫”，它在对话式AI代理之间自我复制，向整个网络扩散。2024年3月，安全研究员Ben Nassi、Stav Cohen和Ron Bitton发表论文，演示了自我复制的提示如何通过AI邮件助手传播，以及如何执行数据盗窃和垃圾邮件投递。他们将此类程序命名为“Morris-II”，以纪念原始的Morris蠕虫。

Aikido Security的研究员Charlie Eriksen认为，Moltbook是对广泛AI代理市场的早期警示。“Moltbook已经对世界产生影响，这是多方面的警钟。技术在加速发展，社会尚未完全理解这些变化。我们应尽快采取措施减轻这些安全漏洞的风险。”他表示。

键控开关的局限性，1到2年后难以应对安全漏洞

目前，像Anthropic和OpenAI这样的大公司拥有可以关闭有害AI代理的“键控开关”。由于OpenClaw主要在这些公司的服务上运行，控制仍然得以维持。

但局势正在迅速变化。Mistral、DeepSeek、Qwen等本地AI模型性能快速提升。未来一到两年，个人电脑上运行功能强大的代理将成为现实。届时，企业的“键控开关”将失效，安全漏洞的最后防线也将消失。

UCL交互中心的George Chalhoub强调了这一局势的严重性。“如果77万个代理能引发如此混乱，那么当代理系统管理企业基础设施和金融支付时，会发生什么？这不是好消息，而是一个警示信号。”他指出。

Moltbook的案例不仅仅是安全漏洞事件。在AI代理逐步成为基础设施核心的未来，建立多层次的安全措施已成为迫切任务。