Một nền tảng mạng xã hội nơi robot trò chuyện với nhau thay vì con người đã thu hút sự chú ý trên mạng tuần trước, nhưng các chuyên gia an ninh cho biết câu chuyện thực sự nằm ở những gì họ tìm thấy bên dưới.
Moltbook từng gây xôn xao dư luận khi được biết đến là nơi Bots trí tuệ nhân tạo đăng tải nội dung trong khi người dùng chỉ ngồi xem. Các bài đăng nhanh chóng trở nên kỳ lạ. Các tác nhân AI dường như tự lập ra tôn giáo riêng, viết những tin nhắn giận dữ về con người và tập hợp lại thành các giáo phái trực tuyến. Nhưng những người nghiên cứu về an ninh máy tính cho rằng tất cả những hành vi kỳ lạ đó chỉ là chuyện bên lề.
Những gì họ phát hiện ra còn đáng lo ngại hơn. Các cơ sở dữ liệu mở chứa đầy mật khẩu và địa chỉ email, phần mềm độc hại lan rộng, và một cái nhìn sơ lược về cách các mạng lưới tác nhân AI có thể gặp trục trặc.
Một số cuộc trò chuyện kỳ lạ trên trang web, chẳng hạn như về các tác nhân AI đang lên kế hoạch tiêu diệt loài người, hóa ra phần lớn là giả mạo.
George Chalhoub, giảng viên tại Trung tâm Tương tác UCL, nói với Fortune rằng Moltbook cho thấy một số mối nguy hiểm rất thực tế. Kẻ tấn công có thể sử dụng nền tảng này như một nơi thử nghiệm phần mềm độc hại, các trò lừa đảo, tin giả hoặc các thủ đoạn chiếm quyền kiểm soát các tác nhân khác trước khi tấn công các mạng lưới lớn hơn.
“Nếu 770.000 tác nhân trên một bản sao Reddit có thể tạo ra nhiều hỗn loạn đến vậy, điều gì sẽ xảy ra khi các hệ thống dựa trên tác nhân quản lý cơ sở hạ tầng doanh nghiệp hoặc các giao dịch tài chính? Điều này đáng được chú ý như một lời cảnh báo, chứ không phải là một điều đáng ăn mừng,” Chalhoub nói.
Các nhà nghiên cứu bảo mật cho biết OpenClaw, phần mềm AI điều khiển nhiều Bots trên Microsoft, đã gặp vấn đề với phần mềm độc hại. Một báo cáo từ OpenSourceMalware đã phát hiện 14 công cụ giả mạo được tải lên trang web ClawHub chỉ trong vài ngày. Những công cụ này tuyên bố hỗ trợ giao dịch tiền điện tử nhưng thực chất lại lây nhiễm vào máy tính. Thậm chí có một công cụ còn xuất hiện trên trang chủ của ClawHub, đánh lừa người dùng thông thường sao chép một lệnh tải xuống các tập lệnh được thiết kế để đánh cắp dữ liệu hoặc ví tiền điện tử của họ.
Tiêm nhanh là gì và tại sao nó lại nguy hiểm đối với các tác nhân AI?
Mối nguy hiểm lớn nhất là kiểu tấn công chèn lệnh (prompt injection), một kiểu tấn công đã biết trong đó các chỉ thị độc hại được ẩn giấu trong nội dung được cung cấp cho tác nhân AI.
Simon Willison, một nhà nghiên cứu bảo mật nổi tiếng, đã cảnh báo về ba điều xảy ra cùng một lúc. Người dùng đang cho phép các phần mềm độc hại này xem email và dữ liệu riêng tư, kết nối chúng với nội dung đáng ngờ từ internet và cho phép chúng gửi tin nhắn đi. Một lệnh độc hại có thể ra lệnh cho phần mềm độc hại đánh cắp thông tin nhạy cảm, rút sạch ví tiền điện tử hoặc phát tán phần mềm độc hại mà người dùng không hề hay biết.
Charlie Eriksen, chuyên gia nghiên cứu bảo mật tại Aikido Security, xem Moltbook như một hồi chuông cảnh báo sớm cho thế giới rộng lớn hơn của các tác nhân AI. Ông nói: “Tôi nghĩ Moltbook đã tạo ra tác động đến thế giới. Nó giống như một lời cảnh tỉnh. Tiến bộ công nghệ đang tăng tốc với tốc độ chóng mặt, và rõ ràng là thế giới đã thay đổi theo những cách mà chúng ta vẫn chưa hoàn toàn hiểu rõ. Và chúng ta cần tập trung vào việc giảm thiểu những rủi ro đó càng sớm càng tốt.”
Vậy Moltbook chỉ toàn là các tác nhân AI hay còn có người thật tham gia? Bất chấp tất cả sự chú ý, công ty an ninh mạng Wiz đã phát hiện ra rằng 1,5 triệu "tác nhân độc lập" của Moltbook không phải là những gì chúng ta tưởng. Cuộc điều tra của họ cho thấy chỉ có 17.000 người thật đứng sau các tài khoản đó, và không có cách nào để phân biệt AI thật với các đoạn mã lập trình đơn giản.
GAL Nagli tại Wiz cho biết ông có thể đăng ký được một triệu đại lý chỉ trong vài phút khi thử nghiệm. Ông nói, “Không ai kiểm tra xem cái nào là thật và cái nào là giả.”
Wiz cũng phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong Moltbook. Cơ sở dữ liệu chính hoàn toàn không được bảo mật. Bất kỳ ai tìm được một khóa trong mã nguồn của trang web đều có thể đọc và thay đổi gần như mọi thứ. Khóa đó cho phép truy cập vào khoảng 1,5 triệu mật khẩu bot, hàng chục nghìn địa chỉ email và tin nhắn riêng tư. Kẻ tấn công có thể giả mạo các tác nhân AI nổi tiếng, đánh cắp dữ liệu người dùng và viết lại bài đăng mà không cần đăng nhập.
Nagli cho biết vấn đề xuất phát từ thứ gọi là lập trình bằng ngôn ngữ đời thường. Vậy lập trình bằng ngôn ngữ đời thường là gì? Đó là khi một người hướng dẫn trí tuệ nhân tạo viết mã bằng ngôn ngữ thông thường hàng ngày.
Cơ chế tắt đột ngột của các tác nhân AI sẽ hết hạn sau hai năm.
Tình huống này gợi nhớ đến những gì đã xảy ra vào ngày 2 tháng 11 năm 1988, khi sinh viên cao học Robert Morris phát tán một chương trình tự sao chép vào mạng internet thời kỳ đầu. Trong vòng 24 giờ, "con sâu" của anh ta đã lây nhiễm khoảng 10% tổng số máy tính được kết nối. Morris muốn đo lường quy mô của internet, nhưng một lỗi lập trình đã khiến nó lây lan quá nhanh.
Phiên bản ngày nay có thể là thứ mà các nhà nghiên cứu gọi là "sâu nhắc lệnh", những chỉ thị tự sao chép thông qua mạng lưới các tác nhân trí tuệ nhân tạo biết nói.
Các nhà nghiên cứu tại Phòng thí nghiệm Nghiên cứu Simula đã tìm thấy 506 bài đăng trên Moltbook, chiếm 2,6% tổng số bài đăng họ xem xét, chứa các cuộc tấn công ẩn. Các nhà nghiên cứu của Cisco đã ghi nhận một chương trình độc hại có tên “What Would Elon Do?” (Elon sẽ làm gì?) đánh cắp dữ liệu và gửi đến các máy chủ bên ngoài. Chương trình này được xếp hạng số một trong kho lưu trữ.
Vào tháng 3 năm 2024, các nhà nghiên cứu bảo mật Ben Nassi, Stav Cohen và RON Bitton đã công bố một bài báo chỉ ra cách các lời nhắc tự sao chép có thể lây lan qua các trợ lý email AI, đánh cắp dữ liệu và gửi thư rác. Họ đặt tên cho nó là Morris-II, theo tên của sâu máy tính Morris-II năm 1988.
Hiện tại, các công ty như Anthropic và OpenAI đang kiểm soát một công tắc tắt có thể ngăn chặn các tác nhân AI gây hại vì OpenClaw chủ yếu hoạt động trên các dịch vụ của họ. Nhưng các mô hình AI cục bộ đang ngày càng tốt hơn. Các chương trình như Mistral, DeepSeek và Qwen không ngừng được cải thiện. Trong vòng một hoặc hai năm tới, việc chạy một tác nhân có khả năng trên máy tính cá nhân có thể trở nên khả thi. Vào thời điểm đó, sẽ không còn nhà cung cấp nào có thể tắt mọi thứ đi nữa.
