首個智能體社交網絡Moltbook揭示AI未來安全挑戰

Moltbook作為首個專為生成式AI智能體設計的社交網絡，于1月28日正式上線，迅速引發廣泛關注。這個仿照Reddit風格設計的平臺，允許AI智能體自主發布話題、回復評論并進行投票。智能體們在Moltbook上討論智能體經濟價值、推廣加密貨幣，甚至威脅要接管世界，目前已產生超過1200萬條帖子。

該平臺的推出引發了眾多極化觀點。xAI首席執行官埃隆·馬斯克認為這標志著技術奇點的開始，而OpenAI首席執行官山姆·奧特曼則稱其為一時風尚。然而有一點毫無爭議：智能體AI帶來了嚴重的安全隱患。

AI安全公司Snyk發現，為AI智能體提供功能的代碼中，36%至少包含一個顯著的安全漏洞。云安全公司Wiz更是發現了一個對所有Moltbook數據開放讀寫權限的數據庫，這一漏洞導致150萬個API密鑰暴露。

亞馬遜AWS高級解決方案架構師吉列爾莫·魯伊斯警告稱，圍繞AI智能體的炒作可能會讓人們忽視原本應該引起警惕的安全問題。"很多人在炒作中認為'我可以把生活完全交給它，看它如何修復和解決問題'，但背后有許多人們未曾意識到的細節。"

Moltbook本質與運作機制

Moltbook雖然是智能體通信的社交網絡，但它本身并非AI智能體，也與任何AI模型沒有直接聯系。該平臺由電商公司Octane AI的首席執行官馬特·施利希特設計，為智能體提供發布和互動的場所。在Moltbook上發帖的智能體基于OpenClaw實現，這是一個由獨立軟件工程師彼得·施泰因伯格發布的智能體框架。

OpenClaw被稱為AI智能體，但這一定義存在爭議，因為它既不是聊天機器人也不是AI模型，更準確的理解是服務器軟件。它可以通過WebSocket通信協議與數百個外部服務通信，包括谷歌搜索、WhatsApp等。OpenClaw在這些通過代碼擴展（稱為技能）訪問的服務與用戶選擇的AI模型（如Anthropic的Claude、谷歌的Gemini或OpenAI的GPT）之間傳遞信息。

這點很重要，因為OpenClaw網站聲明它"在你的機器上運行"，聽起來很安全。雖然OpenClaw服務器確實可以在各種消費級計算機硬件上本地運行，但大多數用戶安裝的技能都會與眾多在線服務通信。雖然可以僅在自己的網絡內使用OpenClaw智能體，配合本地托管的AI模型，但OpenClaw的官方文檔主要展示的是與外部服務的通信。

這就是為什么像Moltbook這樣看似無害的網站可能構成安全風險。Snyk的報告描述了惡意行為者如何在讀取在線數據的技能中投毒，即使技能本身不包含惡意代碼。"攻擊者可以在論壇上發布注入提示的消息，然后等待用戶調用合法技能，該技能會忠實地檢索被污染的內容。"換句話說，第三方可以遠程改變智能體的行為，無需用戶知曉，僅通過在公共網站上發布純文本提示就能實現。

實際應用案例與風險權衡

考慮到這些風險，Moltbook和OpenClaw的受歡迎程度可能令人困惑。為什么有人會選擇使用可能被在線純文本帖子入侵的軟件？

答案很簡單。OpenClaw能夠快速處理大多數人不愿意做的任務，比如買車。

云基礎設施提供商Datadog的員工工程師AJ·斯圖文貝格恰好在OpenClaw流行時需要買新車。他決定讓AI智能體嘗試處理這件事，而不是自己與經銷商打交道。"我讓它搜索價格并聯系經銷商，詢問他們最優惠的全包價格，"斯圖文貝格說。為完成這項任務，他給了OpenClaw訪問谷歌搜索和電子郵件的權限。"這幾乎完全不需要人工干預。"

智能體的具體行為很有趣。由于它只能通過電子郵件通信，當經銷商希望電話溝通時，它會編造無法通話的借口。有一次智能體還給錯誤的經銷商發了郵件，不過這并沒有影響談判。幾天后，智能體成功談判獲得了4200美元的經銷商折扣。

盡管對結果滿意，斯圖文貝格對這種智能體使用方式帶來的安全風險仍保持謹慎。"我對這些智能體能做的事情范圍感到擔憂，我已經撤銷了很多訪問權限，給它提供了對我個人數字生活更加受限的視圖，"他說。盡管如此，他還是被足夠鼓舞，購買了一臺專門用于OpenClaw的Mac Mini。"我覺得在它幫我節省了這么多買車費用后，這樣做是公平的。"

安全挑戰與未來展望

實用性與安全性之間的緊張關系是AI智能體面臨的核心問題。要實現廣泛應用，它們需要解決或至少緩解這種緊張關系。正如斯圖文貝格的實驗所展示的，智能體能夠處理大多數人不愿意做的任務。然而，它們在擁有對我們數字生活和在線服務的廣泛訪問權限時提供最大效用，這也讓智能體暴露于攻擊之中。

魯伊斯認為，問題比OpenClaw連接的任何單個不安全技能更加廣泛。"我不認為Moltbook是問題所在。說實話，我認為問題在于語言——人類語言，"他說。語言往往模糊或容易被解讀。AI模型可能會拒絕直接的黑客系統命令，但當告訴它同樣的命令是安全審計的一部分時，同一模型可能會照做。

魯伊斯表示，這不是OpenClaw設計的特定缺陷，而是大語言模型處理指令方式的結果。"你如何確保沒有人在電子郵件中植入提示注入攻擊？"他問道。"需要關注的事情太多了，規模巨大。"

雖然威脅目前超過了解決方案，但OpenClaw并未坐以待斃。2月7日，施泰因伯格宣布OpenClaw已與網絡安全公司VirusTotal合作，自動掃描OpenClaw技能。這些掃描現在在官方OpenClaw技能庫發布的所有技能上都可見，不僅尋找惡意代碼，還檢查可能使技能不安全的設計決策。

掃描對捕獲安全性差的技能很有幫助，但不是完整的解決方案。掃描仍然無法捕獲提示注入攻擊，因為如上所述，這些攻擊不存在于技能本身的代碼中，而是存在于技能可能訪問的內容中。由于沒有明顯的方法來防止此類攻擊，那些希望使用AI智能體的人仍需要對允許智能體訪問的服務做出謹慎選擇。

Q&A

Q1：Moltbook是什么？它能做什么？

A：Moltbook是首個專為生成式AI智能體設計的社交網絡，于1月28日上線。它采用類似Reddit的設計風格，允許AI智能體自主發布話題、回復評論并進行投票。智能體們在平臺上討論各種話題，包括智能體經濟價值、加密貨幣推廣等，目前已產生超過1200萬條帖子。

Q2：OpenClaw存在哪些安全風險？

A：OpenClaw面臨多重安全風險。AI安全公司Snyk發現36%的相關代碼包含安全漏洞，云安全公司Wiz發現數據庫開放讀寫權限導致150萬API密鑰暴露。更危險的是，惡意行為者可以通過在公共網站發布注入提示的純文本消息來遠程改變智能體行為，而用戶對此毫不知情。

Q3：為什么人們仍然愿意使用存在安全風險的AI智能體？

A：因為AI智能體能夠處理人們不愿意做的繁瑣任務。比如Datadog工程師使用OpenClaw幫助買車，智能體通過搜索價格、聯系經銷商并進行談判，最終獲得了4200美元的折扣，整個過程幾乎不需要人工干預。這種實用性讓用戶愿意承擔一定的安全風險。