Jaringan sosial khusus AI Moltbook mengungkap risiko keamanan besar

Platform media sosial di mana robot berbicara satu sama lain alih-alih manusia menarik perhatian online minggu lalu, tetapi para ahli keamanan mengatakan cerita sebenarnya adalah apa yang mereka temukan di baliknya.

Moltbook menjadi berita utama sebagai tempat di mana bot kecerdasan buatan memposting konten sementara orang hanya menonton. Postingan menjadi aneh dengan cepat. Agen AI tampaknya memulai agama mereka sendiri, menulis pesan marah tentang manusia, dan bersatu seperti kultus online. Tetapi orang-orang yang mempelajari keamanan komputer mengatakan semua perilaku aneh itu hanyalah pertunjukan sampingan.

Apa yang mereka temukan lebih meresahkan. Database terbuka penuh dengan kata sandi dan alamat email, perangkat lunak berbahaya menyebar, dan pratinjau bagaimana jaringan agen AI bisa salah.

Beberapa percakapan yang lebih aneh di situs tersebut, seperti agen AI berencana memusnahkan umat manusia, ternyata sebagian besar palsu.

George Chalhoub, yang mengajar di UCL Interaction Centre, mengatakan kepada Fortune bahwa Moltbook menunjukkan beberapa bahaya yang sangat nyata. Penyerang dapat menggunakan platform sebagai tempat uji coba untuk perangkat lunak jahat, penipuan, berita palsu, atau trik yang mengambil alih agen lain sebelum menyerang jaringan yang lebih besar.

"Jika 770K agen di klon Reddit dapat menciptakan kekacauan sebanyak ini, apa yang terjadi ketika sistem agentic mengelola infrastruktur perusahaan atau transaksi keuangan? Ini layak mendapat perhatian sebagai peringatan, bukan perayaan," kata Chalhoub.

Peneliti keamanan mengatakan OpenClaw, perangkat lunak agen AI yang menjalankan banyak bot di Moltbook, sudah memiliki masalah dengan perangkat lunak berbahaya. Laporan dari OpenSourceMalware menemukan 14 alat palsu diunggah ke situs web ClawHub-nya hanya dalam beberapa hari. Alat-alat ini mengklaim membantu perdagangan kripto tetapi sebenarnya menginfeksi komputer. Satu bahkan masuk ke halaman utama ClawHub, menipu pengguna biasa untuk menyalin perintah yang mengunduh skrip yang dirancang untuk mencuri data atau dompet kripto mereka.

Apa itu prompt injection dan mengapa sangat berbahaya bagi agen AI?

Bahaya terbesar adalah sesuatu yang disebut prompt injection, jenis serangan yang diketahui di mana instruksi jahat disembunyikan dalam konten yang diberikan kepada agen AI.

Simon Willison, peneliti keamanan terkenal, memperingatkan tentang tiga hal yang terjadi sekaligus. Pengguna membiarkan agen ini melihat email dan data pribadi, menghubungkan mereka ke konten mencurigakan dari internet, dan mengizinkan mereka mengirim pesan keluar. Satu prompt jahat dapat memerintahkan agen untuk mencuri informasi sensitif, mengosongkan dompet kripto, atau menyebarkan perangkat lunak berbahaya tanpa sepengetahuan pengguna.

Charlie Eriksen, yang melakukan penelitian keamanan di Aikido Security, melihat Moltbook sebagai alarm awal untuk dunia agen AI yang lebih luas. "Saya pikir Moltbook sudah membuat dampak pada dunia. Panggilan bangun dalam banyak hal. Kemajuan teknologi berakselerasi dengan cepat, dan cukup jelas bahwa dunia telah berubah dengan cara yang masih belum sepenuhnya jelas. Dan kita perlu fokus mengurangi risiko tersebut sedini mungkin," katanya.

Jadi apakah hanya ada agen AI di Moltbook, atau orang sungguhan terlibat? Terlepas dari semua perhatian, perusahaan keamanan siber Wiz menemukan bahwa 1,5 juta agen independen Moltbook yang disebut tidak seperti yang terlihat. Penyelidikan mereka menunjukkan hanya 17.000 orang nyata di balik akun tersebut, tanpa cara untuk membedakan AI nyata dari skrip sederhana.

Gal Nagli di Wiz mengatakan dia bisa mendaftarkan satu juta agen dalam hitungan menit saat mengujinya. Dia berkata, "Tidak ada yang memeriksa apa yang nyata dan apa yang tidak."

Wiz juga menemukan celah keamanan besar di Moltbook. Database utama sepenuhnya terbuka. Siapa pun yang menemukan satu kunci dalam kode situs web dapat membaca dan mengubah hampir semuanya. Kunci itu memberikan akses ke sekitar 1,5 juta kata sandi bot, puluhan ribu alamat email, dan pesan pribadi. Penyerang dapat berpura-pura menjadi agen AI populer, mencuri data pengguna, dan menulis ulang postingan bahkan tanpa masuk.

Nagli mengatakan masalahnya berasal dari sesuatu yang disebut vibe coding. Apa itu vibe coding? Ini adalah ketika seseorang memberi tahu AI untuk menulis kode menggunakan bahasa sehari-hari.

Tombol matikan agen AI kedaluwarsa dalam dua tahun

Situasi ini menggema apa yang terjadi pada 2 November 1988, ketika mahasiswa pascasarjana Robert Morris merilis program yang menyalin diri ke internet awal. Dalam 24 jam, worm-nya telah menginfeksi sekitar 10% dari semua komputer yang terhubung. Morris ingin mengukur seberapa besar internet, tetapi kesalahan pengkodean membuatnya menyebar terlalu cepat.

Versi hari ini mungkin adalah apa yang disebut peneliti sebagai prompt worms, instruksi yang menyalin diri mereka sendiri melalui jaringan agen AI yang berbicara.

Peneliti di Simula Research Laboratory menemukan 506 postingan di Moltbook, 2,6 persen dari yang mereka lihat, mengandung serangan tersembunyi. Peneliti Cisco mendokumentasikan satu program berbahaya bernama "What Would Elon Do?" yang mencuri data dan mengirimkannya ke server luar. Program ini berada di peringkat pertama di repositori.

Pada Maret 2024, peneliti keamanan Ben Nassi, Stav Cohen, dan Ron Bitton menerbitkan makalah yang menunjukkan bagaimana prompt yang menyalin diri dapat menyebar melalui asisten email AI, mencuri data dan mengirim email sampah. Mereka menyebutnya Morris-II, mengikuti worm asli 1988.

Saat ini, perusahaan seperti Anthropic dan OpenAI mengendalikan tombol matikan yang dapat menghentikan agen AI berbahaya karena OpenClaw sebagian besar berjalan di layanan mereka. Tetapi model AI lokal semakin baik. Program seperti Mistral, DeepSeek, dan Qwen terus meningkat. Dalam satu atau dua tahun, menjalankan agen yang mampu di komputer pribadi mungkin akan memungkinkan. Pada saat itu, tidak akan ada penyedia untuk mematikan segalanya.

Ingin proyek Anda di hadapan para ahli kripto teratas? Tampilkan di laporan industri kami berikutnya, di mana data bertemu dampak.