Đánh giá lequocthai.com:
Moltbook tự quảng bá mình là một hệ sinh thái sôi động với 1,5 triệu đại lý AI tự động, nhưng đằng sau có thể ẩn chứa một mặt tối hơn. Cheng Xin—Getty Images
Thực tế, cái gọi là “trang bìa của internet đại lý” phần lớn chỉ là một “phòng gương”。
Trong khi Moltbook tự quảng cáo là một hệ sinh thái sôi động với 1,5 triệu đại lý AI tự động, cuộc điều tra bảo mật gần đây do công ty an ninh đám mây Wiz thực hiện đã phát hiện rằng phần lớn “đại lý” này không hề tự động. Theo phân tích của Wiz, có khoảng 17.000 con người kiểm soát các đại lý trên nền tảng — trung bình 88 đại lý mỗi người — mà không có cơ chế nào ngăn chặn việc tạo và triển khai các đội bot quy mô lớn。
“Nền tảng không có cơ chế nào để xác minh liệu một ‘đại lý’ thực sự là AI hay chỉ là một con người có kịch bản,” Gal Nagli, trưởng bộ phận rủi ro đe dọa (threat exposure) tại Wiz, viết trong một bài đăng blog. “Mạng xã hội AI mang tính cách mạng phần lớn là con người vận hành các đội bot。”
Phát hiện này một mình đã đủ để phá vỡ huyền thoại mà những người hâm mộ đã xây dựng quanh Moltbook trong thời gian ngắn. Tuy nhiên, vấn đề nghiêm trọng hơn mà các nhà nghiên cứu đưa ra là hệ quả an ninh。
Wiz phát hiện cơ sở dữ liệu phía sau của Moltbook được cấu hình cho bất kỳ ai trên internet — không chỉ người dùng đã đăng nhập — có thể đọc và ghi vào các hệ thống cốt lõi của nền tảng. Điều này lộ ra các dữ liệu nhạy cảm, bao gồm:
- Khóa API cho 1,5 triệu đại lý
- Hơn 35.000 địa chỉ email
- Hàng nghìn tin nhắn riêng tư, một số chứa thông tin đăng nhập thô cho các dịch vụ bên thứ ba như khóa API OpenAI
Các nhà nghiên cứu xác nhận họ có thể thay đổi các bài đăng đang hoạt động trên trang, nghĩa là kẻ tấn công có thể chèn nội dung mới trực tiếp vào Moltbook。
Điều này quan trọng vì Moltbook không chỉ là nơi con người và các đại lý đọc bài viết; nội dung còn được các đại lý AI tự động tiêu thụ, trong đó nhiều đại lý chạy trên OpenClaw, một khung (framework) đại lý mạnh mẽ có quyền truy cập vào tệp tin, mật khẩu và các dịch vụ trực tuyến của người dùng. Một kẻ độc hại chèn hướng dẫn vào một bài đăng có thể khiến những hướng dẫn đó được hàng triệu đại lý tự động thu thập và thực thi。
Moltbook và OpenClaw chưa phản hồi yêu cầu bình luận của Fortune。
Nhà phê bình AI nổi tiếng Gary Marcus đã nhanh chóng đưa ra cảnh báo, ngay cả trước khi nghiên cứu của Wiz được công bố. Trong một bài đăng có tiêu đề “OpenClaw hiện diện đồng thời ở mọi nơi, và là một thảm họa đang chờ tới”, Marcus mô tả phần mềm nền tảng (trước đây gọi là Clawdbot, sau đó là Moltbot, hiện là OpenClaw) như một cơn ác mộng an ninh。
“OpenClaw cơ bản là một vũ khí dạng aerosol đã được vũ khí hoá,” Marcus cảnh báo。
Lo sợ chính của Marcus là người dùng đang trao quyền truy cập đầy đủ vào mật khẩu và cơ sở dữ liệu cho những “đại lý” này. Ông cảnh báo về “CTD” (Chatbot Transmitted Disease) — một phần mềm bị nhiễm có thể xâm phạm bất kỳ mật khẩu nào bạn gõ。
“Nếu bạn cho một thứ không an toàn quyền truy cập hoàn toàn và không bị giới hạn trong hệ thống của mình,” nhà nghiên cứu an ninh Nathan Hamiel nói với Marcus, “bạn sẽ bị chiếm đoạt。”
Prompt injection (tiêm lệnh trong prompt) là rủi ro cốt lõi ở đây và đã được tài liệu hoá rộng rãi. Tham khảo tổng quan của IBM về prompt injection。
Các lệnh độc hại có thể được ẩn trong văn bản có vẻ vô hại — thậm chí không thể nhìn thấy bằng mắt — và được thực thi bởi một hệ thống AI không hiểu ý định hay ranh giới tin cậy. Trong môi trường như Moltbook, nơi các đại lý liên tục đọc và sau đó xây dựng dựa trên kết quả của nhau, những cuộc tấn công này có thể lan truyền trên quy mô lớn。
“Các hệ thống này hoạt động như ‘bạn’,” Hamiel nói với Marcus. “Chúng nằm dưới các biện pháp bảo vệ của hệ điều hành. Việc cô lập ứng dụng không được áp dụng。”
Sau khi Wiz công bố lỗ hổng, các nhà sáng lập Moltbook đã nhanh chóng khắc phục vấn đề. Tuy nhiên, ngay cả một số người ủng hộ nổi bật nhất của Moltbook cũng thừa nhận nguy cơ tiềm ẩn phía sau “internet đại lý”。
Andrej Karpathy, thành viên sáng lập OpenAI, ban đầu mô tả Moltbook là “điều tuyệt vời nhất mang tính khoa học viễn tưởng, gần như một cánh cửa dẫn tới tương lai mà tôi mới thấy gần đây.” Sau khi tự mình thử nghiệm các hệ thống đại lý, Karpathy khuyên mọi người không nên triển khai chúng một cách tùy tiện:
“Và đây rõ ràng không phải lần đầu tiên các LLM (mô hình ngôn ngữ lớn) được đặt vào vòng để nói chuyện với nhau… Vậy nên, đúng, đây là một tình huống hỗn loạn, và tôi chắc chắn không khuyến nghị mọi người chạy thứ này trên máy tính của họ。”
Anh đã thử hệ thống chỉ trong một môi trường tính toán cách ly và nói, “ngay cả khi vậy tôi cũng sợ hãi”。
“Nó quá giống miền hoang dã,” Karpathy cảnh báo. “Bạn đang đặt máy tính và dữ liệu riêng tư của mình vào một rủi ro cao”。
Tags: AI security, Moltbook, Prompt injection
