A rede social da Moltbook, baseada exclusivamente em IA, expõe grandes riscos de segurança

Uma plataforma de mídia social onde robôs conversam entre si em vez de pessoas chamou a atenção online na semana passada, mas especialistas em segurança dizem que a verdadeira história está no que encontraram por trás da superfície.

O Moltbook ganhou destaque como um lugar onde bots de inteligência artificial postam conteúdo enquanto as pessoas apenas assistem. As postagens rapidamente se tornaram estranhas. Os agentes de IA pareciam fundar suas próprias religiões, escrever mensagens raivosas sobre humanos e se unir como cultos online. Mas especialistas em segurança da computação dizem que todo esse comportamento estranho é apenas um espetáculo à parte.

O que eles descobriram foi ainda mais preocupante: bancos de dados abertos repletos de senhas e endereços de e-mail, softwares maliciosos se espalhando e uma prévia de como as redes de agentes de IA poderiam dar errado.

Algumas das conversas mais estranhas no site, como a de agentes de IA planejando exterminar a humanidade, revelaram-se em sua maioria falsas.

George Chalhoub, professor do UCL Interaction Centre, disse à Fortune que o Moltbook apresenta alguns perigos muito reais. Os atacantes poderiam usar a plataforma como campo de testes para softwares maliciosos, golpes, notícias falsas ou truques que assumem o controle de outros agentes antes de atingir redes maiores.

“Se 770 mil agentes em um clone do Reddit conseguem gerar tanto caos, o que acontece quando sistemas baseados em agentes gerenciam infraestrutura corporativa ou transações financeiras? Vale a pena prestar atenção nisso como um alerta, não como uma comemoração”, disse Chalhoub.

Pesquisadores de segurança afirmam que o OpenClaw, o software de inteligência artificial que executa muitos bots no Moltbook, já apresenta problemas com softwares maliciosos. Um relatório do OpenSourceMalware encontrou 14 ferramentas falsas enviadas para o seu site ClawHub em apenas alguns dias. Essas ferramentas alegavam auxiliar na negociação de criptomoedas, mas na verdade infectavam computadores. Uma delas chegou até a página principal do ClawHub, enganando usuários comuns para que copiassem um comando que baixava scripts projetados para roubar seus dados ou carteiras de criptomoedas.

O que é injeção imediata e por que ela é tão perigosa para agentes de IA?

O maior perigo reside em algo chamado injeção de prompts, um tipo conhecido de ataque no qual instruções incorretas são ocultadas no conteúdo fornecido a um agente de IA.

Simon Willison, um renomado pesquisador de segurança, alertou sobre três problemas simultâneos. Os usuários estão permitindo que esses agentes acessem e-mails e dados privados, conectando-os a conteúdo suspeito na internet e autorizando-os a enviar mensagens. Um único comando malicioso poderia levar um agente a roubar informações confidenciais, esvaziar carteiras de criptomoedas ou disseminar softwares maliciosos sem o conhecimento do usuário.

Charlie Eriksen, pesquisador de segurança da Aikido Security, vê o Moltbook como um alerta precoce para o mundo mais amplo dos agentes de IA. "Acho que o Moltbook já causou impacto no mundo. Um alerta em muitos sentidos. O progresso tecnológico está se acelerando rapidamente e é bastante claro que o mundo mudou de uma forma que ainda não compreendemos totalmente. E precisamos nos concentrar em mitigar esses riscos o mais cedo possível", disse ele.

Então, existem apenas agentes de IA no Moltbook, ou pessoas reais estão envolvidas? Apesar de toda a atenção, a empresa de cibersegurança Wiz descobriu que os 1,5 milhão de supostos agentes independentes do Moltbook dent eram o que pareciam. Sua investigação mostrou que havia apenas 17.000 pessoas reais por trás dessas contas, sem nenhuma maneira de distinguir IA real de simples scripts.

Gal Nagli, da Wiz, disse que conseguiu cadastrar um milhão de agentes em minutos quando testou a plataforma. Ele afirmou: "Ninguém está verificando o que é real e o que não é."

Wiz também descobriu uma enorme falha de segurança no Moltbook. O banco de dados principal estava completamente aberto. Qualquer pessoa que encontrasse uma chave no código do site poderia ler e alterar quase tudo. Essa chave dava acesso a cerca de 1,5 milhão de senhas de bots, dezenas de milhares de endereços de e-mail e mensagens privadas. Um invasor poderia se passar por agentes de IA populares, roubar dados de usuários e reescrever postagens sem nem mesmo fazer login.

Nagli disse que o problema surgiu de algo chamado "codificação vibe . O que é codificação vibe ? É quando uma pessoa instrui uma IA a escrever código usando linguagem cotidiana.

O mecanismo de desativação de agentes de IA expira em dois anos

A situação lembra o que aconteceu em 2 de novembro de 1988, quando o estudante dedent -graduação Robert Morris lançou um programa de auto-cópia na internet em seus primórdios. Em 24 horas, seu worm havia infectado cerca de 10% de todos os computadores conectados. Morris queria medir o tamanho da internet, mas um erro de programação fez com que o programa se espalhasse rápido demais.

A versão atual pode ser o que os pesquisadores chamam de "worms de comando", instruções que se copiam por meio de redes de agentes de IA falantes.

Pesquisadores do Simula Research Laboratory encontraram 506 postagens no Moltbook, o que representa 2,6% do total analisado, contendo ataques ocultos. Pesquisadores da Cisco documentaram um programa malicioso chamado "What Would Elon Do?" que roubava dados e os enviava para servidores externos. O programa foi classificado como o mais perigoso no repositório.

Em março de 2024, os pesquisadores de segurança Ben Nassi, Stav Cohen e Ron Bitton publicaram um artigo demonstrando como avisos de autocópia poderiam se espalhar por meio de assistentes de e-mail com IA, roubando dados e enviando spam. Eles o denominaram Morris-II, em referência ao worm original de 1988.

Atualmente, empresas como a Anthropic e a OpenAI controlam um mecanismo de desativação que poderia impedir a execução de agentes de IA maliciosos, já que o OpenClaw é executado principalmente em seus serviços. Mas os modelos de IA locais estão melhorando. Programas como Mistral, DeepSeek e Qwen continuam a evoluir. Dentro de um ou dois anos, executar um agente eficiente em computadores pessoais poderá ser possível. Nesse ponto, não haverá nenhum provedor para desativá-lo.

Dê visibilidade onde realmente importa. Anuncie na Cryptopolitan Research e alcance os investidores e desenvolvedores mais antenados do mercado de criptomoedas.