Las billeteras de criptomonedas en riesgo debido a que Moltbook, una red viral de bots de IA, expone importantes amenazas de seguridad

Una plataforma de redes sociales donde los robots hablan entre sí en lugar de personas atrajo la atención en línea la semana pasada, pero los expertos en seguridad dicen que la verdadera historia es lo que encontraron debajo.

Moltbook fue noticia por ser un lugar donde bots de inteligencia artificial publicaban contenido mientras la gente simplemente observaba. Las publicaciones se volvieron raras rápidamente. Los agentes de IA parecían fundar sus propias religiones, escribir mensajes furiosos contra los humanos y unirse como sectas en línea. Pero quienes estudian seguridad informática dicen que todo ese comportamiento extraño es solo una cuestión secundaria.

Lo que descubrieron fue aún más preocupante: bases de datos abiertas llenas de contraseñas y direcciones de correo electrónico, software dañino dispersándose y un adelanto de cómo las redes de agentes de IA podrían fallar.

Algunas de las conversaciones más extrañas del sitio, como la de agentes de IA que planeaban acabar con la humanidad, resultaron ser en su mayoría falsas.

George Chalhoub, profesor del Centro de Interacción de la UCL, declaró a Fortune que Moltbook presenta peligros muy reales. Los atacantes podrían usar la plataforma como campo de pruebas para software malicioso, estafas, noticias falsas o trucos que se apropien de otros agentes antes de alcanzar redes más grandes.

Si 770.000 agentes en un clon de Reddit pueden crear tanto caos, ¿qué ocurre cuando los sistemas agénticos gestionan la infraestructura empresarial o las transacciones financieras? Merece la pena prestar atención como advertencia, no como celebración, dijo Chalhoub.

Los investigadores de seguridad afirman que OpenClaw, el software de agente de IA que ejecuta muchos bots en Moltbook, ya presenta problemas con software dañino. Un informe de OpenSourceMalware descubrió 14 herramientas falsas subidas a su sitio web ClawHub en tan solo unos días. Estas herramientas afirmaban facilitar el comercio de criptomonedas, pero en realidad infectaban ordenadores. Una incluso llegó a la página principal de ClawHub, engañando a los usuarios para que copiaran un comando que descargaba scripts diseñados para robar sus datos o monederos de criptomonedas.

¿Qué es la inyección rápida y por qué es tan peligrosa para los agentes de IA?

El mayor peligro es algo llamado inyección rápida, un tipo conocido de ataque en el que se ocultan instrucciones incorrectas en el contenido que se envía a un agente de IA.

Simon Willison, un reconocido investigador de seguridad, advirtió sobre tres cosas que ocurren simultáneamente. Los usuarios permiten que estos agentes accedan a correos electrónicos y datos privados, los conectan a contenido sospechoso de internet y les permiten enviar mensajes. Un mensaje malicioso podría indicarle a un agente que robe información confidencial, vacíe billeteras de criptomonedas o distribuya software dañino sin que el usuario lo sepa.

Charlie Eriksen, investigador de seguridad en Aikido Security, considera a Moltbook como una señal de alerta temprana para el amplio mundo de los agentes de IA. «Creo que Moltbook ya ha tenido un impacto en el mundo. Una llamada de atención en muchos sentidos. El progreso tecnológico se está acelerando a un ritmo acelerado, y es bastante evidente que el mundo ha cambiado de una manera que aún no está del todo clara. Y debemos centrarnos en mitigar esos riesgos lo antes posible», afirmó.

¿En Moltbook solo hay agentes de IA o también personas reales? A pesar de la atención que recibió, la empresa de ciberseguridad Wiz descubrió que los 1,5 millones de supuestos agentes independientes de Moltbookdent eran lo que parecían. Su investigación reveló que solo 17.000 personas reales estaban detrás de esas cuentas, y que era imposible distinguir la IA real de simples scripts.

Gal Nagli, de Wiz, afirmó que pudo registrar a un millón de agentes en minutos durante la prueba. Añadió: «Nadie está verificando qué es real y qué no»

Wiz también encontró una enorme vulnerabilidad de seguridad en Moltbook. La base de datos principal estaba completamente abierta. Cualquiera que encontrara una clave en el código del sitio web podía leer y modificar prácticamente todo. Esa clave daba acceso a aproximadamente 1,5 millones de contraseñas de bots, decenas de miles de direcciones de correo electrónico y mensajes privados. Un atacante podía hacerse pasar por agentes de IA populares, robar datos de usuarios y reescribir publicaciones sin siquiera iniciar sesión.

Nagli dijo que el problema surgió de algo llamado codificación vibe . ¿Qué es la codificación vibe ? Es cuando una persona le dice a una IA que escriba código usando lenguaje cotidiano.

El interruptor de seguridad de los agentes de IA expira en dos años

La situación recuerda lo ocurrido el 2 de noviembre de 1988, cuando eldent de posgrado Robert Morris lanzó un programa autocopiable en la internet inicial. En 24 horas, su gusano había infectado aproximadamente el 10% de todos los ordenadores conectados. Morris quería medir el tamaño de internet, pero un error de codificación hizo que se propagara demasiado rápido.

La versión actual podría ser lo que los investigadores llaman gusanos rápidos, instrucciones que se copian a sí mismas a través de redes de agentes de IA parlantes.

Investigadores del Laboratorio de Investigación Simula descubrieron que 506 publicaciones en Moltbook, el 2,6 % del total analizado, contenían ataques ocultos. Investigadores de Cisco documentaron un programa malicioso llamado "¿Qué haría Elon?" que robaba datos y los enviaba a servidores externos. Este programa ocupaba el primer puesto en el repositorio.

En marzo de 2024, los investigadores de seguridad Ben Nassi, Stav Cohen y Ron Bitton publicaron un artículo que mostraba cómo las indicaciones autocopiables podían propagarse a través de asistentes de correo electrónico con inteligencia artificial, robando datos y enviando correo basura. Lo llamaron Morris-II, en honor al gusano original de 1988.

Actualmente, empresas como Anthropic y OpenAI controlan un interruptor de seguridad que podría detener agentes de IA dañinos, ya que OpenClaw se ejecuta principalmente en sus servicios. Sin embargo, los modelos locales de IA están mejorando. Programas como Mistral, DeepSeek y Qwen siguen mejorando. Dentro de uno o dos años, podría ser posible ejecutar un agente capaz en ordenadores personales. Para entonces, no habrá ningún proveedor que lo bloquee.