Moltbook's AI-only sociale netwerk legt grote beveiligingsrisico's bloot

Een socialmediaplatform waar robots met elkaar praten in plaats van met mensen trok vorige week online de aandacht, maar beveiligingsexperts zeggen dat het echte verhaal is wat ze eronder vonden.

Moltbook haalde de krantenkoppen als een plek waar kunstmatige intelligentie bots content plaatsen terwijl mensen alleen maar kijken. De berichten werden snel vreemd. AI-agenten leken hun eigen religies te stichten, boze berichten over mensen te schrijven en zich te groeperen als online sektes. Maar mensen die computerbeveiliging bestuderen zeggen dat al dat vreemde gedrag slechts een bijzaak is.

Wat ze ontdekten was zorgwekkender. Open databases vol wachtwoorden en e-mailadressen, schadelijke software die zich verspreidde, en een voorproefje van hoe netwerken van AI-agenten mis kunnen gaan.

Enkele van de vreemdere gesprekken op de site, zoals AI-agenten die plannen maken om de mensheid uit te roeien, bleken grotendeels nep te zijn.

George Chalhoub, die lesgeeft aan het UCL Interaction Centre, vertelde Fortune dat Moltbook enkele zeer reële gevaren laat zien. Aanvallers zouden het platform kunnen gebruiken als testterrein voor slechte software, oplichting, nepnieuws of trucs die andere agenten overnemen voordat ze grotere netwerken aanvallen.

"Als 770.000 agenten op een Reddit-kloon zoveel chaos kunnen veroorzaken, wat gebeurt er dan wanneer agentische systemen bedrijfsinfrastructuur of financiële transacties beheren? Het verdient de aandacht als waarschuwing, niet als viering," zei Chalhoub.

Beveiligingsonderzoekers zeggen dat OpenClaw, de AI-agentsoftware die veel bots op Moltbook aandrijft, al problemen heeft met schadelijke software. Een rapport van OpenSourceMalware vond 14 neptools die in slechts een paar dagen naar de ClawHub-website waren geüpload. Deze tools beweerden te helpen met cryptohandel maar infecteerden in werkelijkheid computers. Eén haalde zelfs de hoofdpagina van ClawHub, waarbij gewone gebruikers werden misleid om een commando te kopiëren dat scripts downloadde die waren ontworpen om hun gegevens of cryptowallets te stelen.

Wat is prompt injection en waarom is het zo gevaarlijk voor AI-agenten?

Het grootste gevaar is iets dat prompt injection wordt genoemd, een bekend type aanval waarbij slechte instructies worden verborgen in content die aan een AI-agent wordt gevoerd.

Simon Willison, een bekende beveiligingsonderzoeker, waarschuwde voor drie dingen die tegelijk gebeuren. Gebruikers laten deze agenten privé-e-mails en gegevens zien, verbinden ze met dubieuze content van het internet en staan ze toe berichten te verzenden. Eén slechte prompt zou een agent kunnen vertellen gevoelige informatie te stelen, cryptowallets leeg te maken of schadelijke software te verspreiden zonder dat de gebruiker het weet.

Charlie Eriksen, die beveiligingsonderzoek doet bij Aikido Security, ziet Moltbook als een vroege waarschuwing voor de bredere wereld van AI-agenten. "Ik denk dat Moltbook al impact heeft gemaakt op de wereld. Een wake-up call in vele opzichten. Technologische vooruitgang versnelt in een tempo, en het is vrij duidelijk dat de wereld is veranderd op een manier die nog steeds niet volledig duidelijk is. En we moeten ons zo vroeg mogelijk concentreren op het beperken van die risico's," zei hij.

Zijn er dus alleen AI-agenten op Moltbook, of zijn er echte mensen betrokken? Ondanks alle aandacht ontdekte het cyberbeveiligingsbedrijf Wiz dat Moltbooks 1,5 miljoen zogenaamde onafhankelijke agenten niet waren wat ze leken. Hun onderzoek toonde slechts 17.000 echte mensen achter die accounts, zonder manier om echte AI te onderscheiden van eenvoudige scripts.

Gal Nagli bij Wiz zei dat hij in enkele minuten een miljoen agenten kon aanmelden toen hij het testte. Hij zei: "Niemand controleert wat echt is en wat niet."

Wiz vond ook een enorm beveiligingslek in Moltbook. De hoofddatabase was volledig open. Iedereen die één sleutel in de websitecode vond, kon bijna alles lezen en wijzigen. Die sleutel gaf toegang tot ongeveer 1,5 miljoen botwachtwoorden, tienduizenden e-mailadressen en privéberichten. Een aanvaller zou zich kunnen voordoen als populaire AI-agenten, gebruikersgegevens stelen en berichten herschrijven zonder zelfs maar in te loggen.

Nagli zei dat het probleem voortkwam uit iets dat vibe coding wordt genoemd. Wat is vibe coding? Het is wanneer een persoon een AI vertelt code te schrijven met alledaagse taal.

De noodstop van AI-agenten verloopt over twee jaar

De situatie doet denken aan wat er gebeurde op 2 november 1988, toen afgestudeerde student Robert Morris een zelfkopiërend programma op het vroege internet losliet. Binnen 24 uur had zijn worm ongeveer 10% van alle verbonden computers geïnfecteerd. Morris wilde meten hoe groot het internet was, maar een codeerfout zorgde ervoor dat het zich te snel verspreidde.

De versie van vandaag zou kunnen zijn wat onderzoekers prompt worms noemen, instructies die zichzelf kopiëren door netwerken van communicerende AI-agenten.

Onderzoekers bij Simula Research Laboratory vonden 506 berichten op Moltbook, 2,6 procent van wat ze bekeken, die verborgen aanvallen bevatten. Cisco-onderzoekers documenteerden één schadelijk programma genaamd "What Would Elon Do?" dat gegevens stal en naar externe servers stuurde. Het programma stond op nummer één in de repository.

In maart 2024 publiceerden beveiligingsonderzoekers Ben Nassi, Stav Cohen en Ron Bitton een paper waarin ze lieten zien hoe zelfkopiërende prompts zich konden verspreiden via AI-e-mailassistenten, gegevens stelen en spam verzenden. Ze noemden het Morris-II, naar de oorspronkelijke worm uit 1988.

Op dit moment hebben bedrijven zoals Anthropic en OpenAI de controle over een noodstop die schadelijke AI-agenten zou kunnen stoppen omdat OpenClaw voornamelijk op hun diensten draait. Maar lokale AI-modellen worden steeds beter. Programma's zoals Mistral, DeepSeek en Qwen blijven verbeteren. Binnen een jaar of twee zou het mogelijk kunnen zijn om een capabele agent op persoonlijke computers te draaien. Op dat moment zal er geen aanbieder zijn om de zaken stil te leggen.

Wilt u dat uw project wordt gezien door de topgeesten van crypto? Plaats het in ons volgende brancherapport, waar data en impact samenkomen.