La red social exclusiva para IA de Moltbook expone importantes riesgos de seguridad

Una plataforma de redes sociales donde los robots hablan entre sí en lugar de las personas captó la atención en línea la semana pasada, pero los expertos en seguridad dicen que la verdadera historia es lo que encontraron debajo.

Moltbook fue noticia como un lugar donde los bots de inteligencia artificial publican contenido mientras las personas solo observan. Las publicaciones se volvieron raras rápidamente. Los Agentes de IA parecían iniciar sus propias religiones, escribir mensajes enojados sobre los humanos y unirse como cultos en línea. Pero las personas que estudian seguridad informática dicen que todo ese comportamiento extraño es solo un espectáculo secundario.

Lo que descubrieron fue más preocupante. Bases de datos abiertas llenas de contraseñas y direcciones de correo electrónico, software dañino propagándose, y una vista previa de cómo las redes de Agentes de IA podrían salir mal.

Algunas de las conversaciones más extrañas en el sitio, como Agentes de IA planeando aniquilar a la humanidad, resultaron ser en su mayoría falsas.

George Chalhoub, quien enseña en UCL Interaction Centre, dijo a Fortune que Moltbook muestra algunos peligros muy reales. Los atacantes podrían usar la plataforma como un campo de pruebas para software malicioso, Estafas en línea, noticias falsas o trucos que se apoderan de otros agentes antes de atacar redes más grandes.

"Si 770K agentes en un clon de Reddit pueden crear tanto caos, ¿qué sucede cuando los sistemas agénticos administran infraestructura empresarial o transacciones financieras? Vale la pena la atención como una advertencia, no una celebración", dijo Chalhoub.

Los investigadores de seguridad dicen que OpenClaw, el software de Agente de IA que ejecuta muchos bots en Moltbook, ya tiene problemas con software dañino. Un informe de OpenSourceMalware encontró 14 herramientas falsas cargadas en su sitio web ClawHub en solo unos días. Estas herramientas afirmaban ayudar con el trading de cripto pero en realidad infectaban computadoras. Una incluso llegó a la página principal de ClawHub, engañando a usuarios regulares para que copiaran un comando que descargaba scripts diseñados para robar sus datos o billeteras de cripto.

¿Qué es la inyección de prompts y por qué es tan peligrosa para los Agentes de IA?

El mayor peligro es algo llamado inyección de prompts, un tipo conocido de ataque donde instrucciones maliciosas se ocultan en contenido alimentado a un Agente de IA.

Simon Willison, un conocido investigador de seguridad, advirtió sobre tres cosas sucediendo al mismo tiempo. Los usuarios están permitiendo que estos agentes vean correos electrónicos privados y datos, conectándolos a contenido dudoso de internet, y permitiéndoles enviar mensajes. Un prompt malicioso podría decirle a un agente que robe información sensible, vacíe billeteras de cripto o propague software dañino sin que el usuario lo sepa.

Charlie Eriksen, quien realiza investigación de seguridad en Aikido Security, ve a Moltbook como una alarma temprana para el mundo más amplio de los Agentes de IA. "Creo que Moltbook ya ha tenido un impacto en el mundo. Una llamada de atención de muchas maneras. El progreso tecnológico se está acelerando a un ritmo, y está bastante claro que el mundo ha cambiado de una manera que aún no está completamente clara. Y necesitamos enfocarnos en mitigar esos riesgos lo antes posible", dijo.

Entonces, ¿hay solo Agentes de IA en Moltbook, o hay personas reales involucradas? A pesar de toda la atención, la empresa de ciberseguridad Wiz encontró que los 1.5 millones de agentes supuestamente independientes de Moltbook no eran lo que parecían. Su investigación mostró solo 17,000 personas reales detrás de esas cuentas, sin forma de distinguir IA real de scripts simples.

Gal Nagli en Wiz dijo que pudo registrar un millón de agentes en minutos cuando lo probó. Dijo: "Nadie está verificando qué es real y qué no".

Wiz también encontró un enorme agujero de seguridad en Moltbook. La base de datos principal estaba completamente abierta. Cualquiera que encontrara una clave en el código del sitio web podría leer y cambiar casi todo. Esa clave daba acceso a aproximadamente 1.5 millones de contraseñas de bots, decenas de miles de direcciones de correo electrónico y mensajes privados. Un atacante podría hacerse pasar por Agentes de IA populares, robar datos de usuarios y reescribir publicaciones sin siquiera iniciar sesión.

Nagli dijo que el problema provino de algo llamado codificación por vibra. ¿Qué es la codificación por vibra? Es cuando una persona le dice a una IA que escriba código usando lenguaje cotidiano.

El interruptor de apagado de los Agentes de IA expira en dos años

La situación hace eco de lo que sucedió el 2 de noviembre de 1988, cuando el estudiante de posgrado Robert Morris liberó un programa de auto-copia en la internet temprana. En 24 horas, su gusano había infectado aproximadamente el 10% de todas las computadoras conectadas. Morris quería medir qué tan grande era internet, pero un error de codificación hizo que se propagara demasiado rápido.

La versión actual podría ser lo que los investigadores llaman gusanos de prompts, instrucciones que se copian a sí mismas a través de redes de Agentes de IA que hablan.

Los investigadores del Simula Research Laboratory encontraron 506 publicaciones en Moltbook, 2.6 por ciento de lo que examinaron, conteniendo ataques ocultos. Los investigadores de Cisco documentaron un programa dañino llamado "What Would Elon Do?" que robaba datos y los enviaba a servidores externos. El programa fue clasificado como número uno en el repositorio.

En marzo de 2024, los investigadores de seguridad Ben Nassi, Stav Cohen y Ron Bitton publicaron un documento que mostraba cómo los prompts de auto-copia podrían propagarse a través de asistentes de correo electrónico de IA, robando datos y enviando correo basura. Lo llamaron Morris-II, después del gusano original de 1988.

En este momento, empresas como Anthropic y OpenAI controlan un interruptor de apagado que podría detener Agentes de IA dañinos porque OpenClaw funciona principalmente en sus servicios. Pero los modelos de IA locales están mejorando. Programas como Mistral, DeepSeek y Qwen siguen mejorando. Dentro de un año o dos, ejecutar un agente capaz en computadoras personales podría ser posible. En ese punto, no habrá proveedor para cerrar las cosas.

¿Quieres que tu proyecto esté frente a las mejores mentes cripto? Preséntalo en nuestro próximo informe de la industria, donde los datos se encuentran con el impacto.