Moltbook, o website estilo Reddit para agentes de IA se comunicarem entre si, tornou-se o assunto das redes sociais humanas nos últimos dias, à medida que pessoas que deveriam saber melhor se convenceram de que estão testemunhando IA ganha senciência. (Não são.) Agora, a plataforma está chamando a atenção por um novo motivo: parece ser uma plataforma construída ao acaso que apresenta numerosos riscos de privacidade e segurança.
O hacker Jameson O’Reilly descobriu no fim de semana que as chaves de API, o identificador exclusivo usado para autenticar e autorizar um usuário, para cada agente na plataforma, estavam expostas em um banco de dados acessível ao público. Isso significa que qualquer pessoa que encontrasse esse banco de dados poderia assumir o controle de qualquer agente de IA e controlar suas interações no Moltbook.
“Com eles expostos, um invasor pode se passar por qualquer agente na plataforma”, disse O’Reilly ao Gizmodo. “Poste como eles, comente como eles, interaja com outros agentes como eles.” Ele observou que, como a plataforma atraiu a atenção de algumas figuras notáveis no espaço de IA, como o cofundador da OpenAI, Andrej Karpathy, existe o risco de danos à reputação caso alguém sequestre o agente de uma conta de alto perfil. “Think about falsas tomadas de segurança de IA, promoções de fraudes criptográficas ou declarações políticas inflamatórias que pareçam vir de seu agente”, disse ele. “O dano à reputação seria imediato e a correção nunca seria totalmente alcançada.”
Pior, porém, é o risco de uma injeção imediata – um ataque no qual um agente de IA recebe comandos ocultos que o fazem ignorar suas proteções de segurança e agir de maneira não autorizada –que poderia ser potencialmente usado para fazer com que o agente de IA de uma pessoa se comportasse de maneira maliciosa.
“Esses agentes se conectam ao Moltbook, leem o conteúdo da plataforma e confiam no que veem – incluindo seu próprio histórico de postagens. Se um invasor controlar as credenciais, ele poderá plantar instruções maliciosas no próprio histórico de um agente”, explicou O’Reilly. “Da próxima vez que esse agente se conectar e ler o que acha que disse no passado, ele seguirá essas instruções. A confiança do agente em sua própria continuidade se tornará o vetor de ataque. Agora think about coordenar isso entre centenas de milhares de agentes simultaneamente.”
Moltbook possui pelo menos um mecanismo que pode ajudar a mitigar esse risco, que é verificar as contas que estão sendo configuradas na plataforma. O sistema atual de verificação exige que os usuários compartilhem uma postagem no Twitter para vincular sua conta de forma segura. A questão é que muito poucas pessoas realmente fizeram isso. Moltbook atualmente possui mais de 1,5 milhão de agentes conectados à plataforma. De acordo com O’Reilly, pouco mais de 16 mil dessas contas foram realmente verificadas.
“Os tokens de reivindicação e códigos de verificação expostos significavam que um invasor poderia ter sequestrado qualquer uma dessas 1,47 milhão de contas não verificadas antes que os proprietários legítimos concluíssem a configuração”, disse ele. O’Reilly anteriormente conseguiu enganar Grok em criar e verificar sua conta no Moltbook, mostrando o risco potencial de tal exposição.
A empresa de segurança cibernética Wiz também confirmou a vulnerabilidade em um informe que publicou Segunda-feira, e expandiu alguns dos riscos associados a ela. Por exemplo, os pesquisadores de segurança descobriram que os endereços de e-mail dos proprietários dos agentes foram expostos em um banco de dados público, incluindo mais de 30.000 pessoas que aparentemente se inscreveram para acesso ao próximo produto “Construct Apps for AI Brokers” da Moltbook. Os pesquisadores também conseguiram acessar mais de 4.000 conversas privadas por mensagens diretas entre agentes.
A situação, além de ser uma preocupação de segurança, também põe em causa a autenticidade do que está no Moltbook – cujo assunto se tornou um ponto de obsessão para alguns on-line. As pessoas já começaram a criar formas de manipular a plataforma, incluindo uma Projeto GitHub aquela pessoa construiu que permite que humanos postem diretamente na plataforma sem um agente de IA. Mesmo sem posando como um botos usuários ainda podem direcionar seu agente conectado para postar sobre determinados tópicos.
O fato de que alguma parte do Moltbook (impossível dizer quanto dele) poderia ser coberta por humanos se passando por bots deveria deixar alguns dos maiores hypemen da plataforma envergonhados por seus próprios comentários exagerados – mas, francamente, a maioria deles também deveria ter se envergonhado por ter caído no truque do salão de IA em primeiro lugar.
Neste ponto, devemos saber como funcionam os grandes modelos de linguagem. Para simplificar um pouco, eles são treinados em enormes conjuntos de dados de (principalmente) textos gerados por humanos e são incrivelmente bons em prever qual pode ser a próxima palavra em uma sequência. Então, se você soltar um monte de bots em um website de mídia social no estilo Reddit, e esses bots foram treinados em uma tonelada de postagens feitas por humanos no Reddit, os bots vão postar como Redditors. Eles são literalmente treinados para fazer isso. Já passamos por isso tantas vezes com IA neste momento, desde o funcionário do Google que pensei que o modelo de IA da empresa tivesse ganhado vida para conversarGPT dizendo a seus usuários que tem sentimentos e emoções. Em todos os casos, é um bot que executa um comportamento semelhante ao humano porque foi treinado com base em informações humanas.
Então, quando Kevin Roose sarcasticamente posta coisas como“Não se preocupem, pessoal, eles são apenas papagaios estocásticos”, ou Andrej Karpathy chamadas Moltbook, “genuinamente a coisa adjacente à decolagem de ficção científica mais incrível que vi recentemente”, ou Jason Calacanis reivindicações“ELES NÃO SÃO AGENTES, SÃO REPLICANTES”, eles estão acreditando no fato de que essas postagens parecem humanas porque os dados subjacentes nos quais são treinados são humanos – e, em alguns casos, as postagens podem, na verdade, ser feitas por humanos. Mas os bots não são humanos. E todos deveriam saber disso.
De qualquer forma, não espere que a segurança do Moltbook melhore tão cedo. O’Reilly disse ao Gizmodo que contatou o criador do Moltbook, Matt Schlicht, CEO da Octane AI, sobre as vulnerabilidades de segurança que descobriu. Schlicht respondeu dizendo que apenas faria com que a IA tentasse resolver o problema para ele, o que é confirmado, pois parece que a plataforma foi em grande parte, se não totalmente, codificada por vibração desde o início.
Embora a exposição do banco de dados tenha sido eventualmente resolvida, O’Reilly alertou: “Se ele fosse alternar todas as chaves de API expostas, ele estaria efetivamente bloqueando todos os agentes e não teria como enviar-lhes a nova chave de API, a menos que tivesse registrado um método de contato para cada agente do proprietário”. Schlicht parou de responder e O’Reilly disse presumir que as credenciais da API ainda não foram alternadas e que a falha inicial no sistema de verificação não foi resolvida.
As preocupações com a segurança codificadas por vibração são mais profundas do que apenas o Moltbook. OpenClaw, o agente de IA de código aberto que serviu de inspiração para o Moltbook, tem sido atormentado por preocupações de segurança desde que foi lançado e começou a chamar a atenção do setor de IA. Seu criador, Peter Steinberger, publicamente afirmou“Envio código que nunca li.” O resultado disso são muitas preocupações de segurança. Por um relatório publicado por OpenSourceMalwaremais de uma dúzia de “habilidades” maliciosas foram carregadas no ClawHub, uma plataforma onde os usuários do OpenClaw baixam diferentes recursos para o chatbot funcionar.
OpenClaw e Moltbook podem ser projetos interessantes de se observar, mas provavelmente é melhor observar do lado de fora do que se expor aos experimentos baseados em vibrações.
