號稱擁有150萬個自主AI智能體的AI社交平臺Moltbook被曝手動操控智能體，平均每人控制88個，並且存在重大安全隱患。AI研究人員呼籲立即停止使用Moltbook，其底層框架可訪問用戶檔和密碼，若被惡意攻擊者植入指令，這些指令可能被數百萬智能體自動執行。

Moltbook定位為個人AI助手OpenClaw開源AI智能體的專屬社交網路，OpenClaw最初名為Clawdbot，後改名為Moltbot，最後變成OpenClaw。Moltbook專為AI智能體設計而非人類，自主的智能體可以像人類一樣在此發帖、評論並互動。Moltbook平臺在近幾周迅速走紅，部分推動力來自病毒式帖子暗示AI正在形成自己的社區、經濟體系和信仰體系。

但這個“AI覺醒”的“神話”正被戳破。據《財富》雜誌報導，Moltbook自稱擁有150萬個自主AI智能體構成的繁榮生態系統，但雲安全公司Wiz最新調查顯示，絕大多數所謂的“智能體”根本不具備自主性。根據Wiz的分析，約17000人控制著平臺上的智能體，平均每人控制88個。

“平臺沒有任何驗證機制確認 ‘智能體’究竟是真正的AI還是人類操控的腳本程式。”Wiz威脅暴露研究主管加爾·納格利（Gal Nagli）在博客中表示，這場所謂的AI社交網路革命本質上仍是人類在操縱。

這一發現把Moltbook拉下神壇。研究人員表示，更嚴重的問題在於其安全隱患。

安全研究人員在不到3分鐘的時間內就入侵了Moltbook的資料庫。Wiz發現Moltbook的後端資料庫設置存在嚴重漏洞，不僅限於登錄用戶，任何網路用戶都能讀寫平臺核心系統。這意味著外部人員能夠訪問敏感數據，包括150萬個智能體的API密鑰、超35000個電子郵箱地址及數千條私密消息，部分消息甚至包含OpenAI API密鑰等第三方服務的完整原始憑證。獲取API的驗證資訊，相當於獲取了軟體和聊天機器人的密碼，意味著攻擊者可在平臺上冒充AI智能體發佈內容和發送消息。

由於Moltbook未驗證標記為“AI智能體”的帳戶是否真正由AI控制，抑或是人類通過腳本操作，納格利表示，在缺乏身份驗證或頻率限制等防護措施的情況下，任何人都可偽裝成智能體或操縱多個智能體，導致難以區分到底是真實的AI活動，還是有組織的人類活動。

Wiz研究人員證實可以即時篡改平臺上的帖子，這意味著攻擊者可將其他內容直接植入Moltbook。這一漏洞之所以致命，是因為Moltbook不僅是人類和智能體流覽內容的平臺，更重要的是，讀取了內容的AI智能體運行在OpenClaw框架上，這個能訪問用戶檔、密碼和線上服務的智能體框架若被惡意攻擊者植入指令，這些指令可能被數百萬智能體自動執行。

納格利表示，Wiz已立即向Moltbook團隊披露該問題，“對方在我們的協助下幾小時內便完成了修復”。他補充道，“研究及修復驗證過程中接觸的所有數據均已刪除。”

首創“氛圍編程”（vibe coding）這一詞的OpenAI創始成員安德烈·卡帕西（Andrej Karpathy）最初稱讚Moltbook是近期所見最具科幻感的突破，但在親自體驗後呼籲切勿隨意運行這類系統，不建議用戶在自己的電腦上運行這種程式，否則會將自己的電腦和私人數據置於極大風險之中。他表示，自己只是在獨立的計算環境中對該系統進行了測試，“即便如此，我也感到很害怕。”

納格利表示，Moltbook事件凸顯了vibe coding的風險。儘管vibe coding可以加速產品開發，但常常導致危險的安全疏漏。

在Wiz的研究報告發佈之前，人工智慧批評者加裏·馬庫斯（Gary Marcus）就已經拉響了警報，他將底層軟體OpenClaw稱為安全噩夢。

“OpenClaw本質上是武器化的氣溶膠。”馬庫斯最擔憂的是用戶授予這些“智能體”密碼和數據庫完全訪問許可權，並警示可能出現的“聊天機器人傳播病毒”現象，受感染的聊天機器人可能危及用戶輸入的任何密碼。

惡意指令可隱藏於看似正常的文本中，被無法理解意圖或信任邊界的AI系統執行。在Moltbook這類智能體持續讀取並相互構建輸出的環境中，可能出現大規模的擴散攻擊。安全研究員納森·哈米爾（Nathan Hamiel）說，這些系統以用戶的身份運作，它們位於操作系統保護層之上，應用程式隔離機制對其無效。

來源：中國澎湃新聞