Una piattaforma di social media in cui i robot parlano tra loro invece che con le persone ha catturato l'attenzione online la scorsa settimana, ma gli esperti di sicurezza affermano che la vera storia è ciò che hanno scoperto al di sotto.
Moltbook ha fatto notizia come un sito in cui bot di intelligenza artificiale pubblicano contenuti mentre le persone si limitano a guardare. I post sono diventati rapidamente strani. Gli agenti di intelligenza artificiale sembravano fondare le proprie religioni, scrivere messaggi di rabbia contro gli umani e unirsi come sette online. Ma chi studia la sicurezza informatica afferma che tutti questi strani comportamenti sono solo un fenomeno secondario.
Ciò che scoprirono fu ancora più inquietante: database aperti pieni di password e indirizzi email, software dannosi che si diffondevano e un'anteprima di come le reti di agenti di intelligenza artificiale potessero fallire.
Alcune delle conversazioni più strane presenti sul sito, come quelle di agenti di intelligenza artificiale che pianificano di sterminare l'umanità, si sono rivelate per lo più false.
George Chalhoub, docente presso l'UCL Interaction Centre, ha dichiarato a Fortune che Moltbook presenta alcuni pericoli molto concreti. Gli aggressori potrebbero utilizzare la piattaforma come banco di prova per software dannosi, truffe, fake news o trucchi che prendono il controllo di altri agenti prima di colpire reti più grandi.
"Se 770.000 agenti su un clone di Reddit possono creare così tanto caos, cosa succede quando i sistemi agentici gestiscono infrastrutture aziendali o transazioni finanziarie? Vale la pena di prestare attenzione a questo fenomeno come monito, non come celebrazione", ha affermato Chalhoub.
I ricercatori di sicurezza affermano che OpenClaw, il software di intelligenza artificiale che gestisce molti bot su Moltbook, ha già problemi con software dannosi. Un rapporto di OpenSourceMalware ha rilevato 14 strumenti falsi caricati sul suo sito web ClawHub in pochi giorni. Questi strumenti affermavano di aiutare con il trading di criptovalute, ma in realtà infettavano i computer. Uno di essi è persino arrivato alla pagina principale di ClawHub, inducendo gli utenti a copiare un comando che scaricava script progettati per rubare i loro dati o i loro portafogli di criptovalute.
Cos'è l'iniezione rapida e perché è così pericolosa per gli agenti di intelligenza artificiale?
Il pericolo più grande è quello che viene chiamato prompt injection, un tipo noto di attacco in cui istruzioni errate vengono nascoste nei contenuti forniti a un agente di intelligenza artificiale.
Simon Willison, un noto ricercatore in sicurezza, ha messo in guardia contro tre possibili scenari contemporaneamente. Gli utenti consentono a questi agenti di accedere a email e dati privati, collegandoli a contenuti sospetti da Internet e consentendo loro di inviare messaggi. Un messaggio errato potrebbe indurre un agente a rubare informazioni sensibili, svuotare i portafogli di criptovalute o diffondere software dannoso all'insaputa dell'utente.
Charlie Eriksen, ricercatore in materia di sicurezza presso Aikido Security, vede Moltbook come un primo segnale d'allarme per il mondo più ampio degli agenti di intelligenza artificiale. "Penso che Moltbook abbia già avuto un impatto sul mondo. Un campanello d'allarme sotto molti aspetti. Il progresso tecnologico sta accelerando a un ritmo sostenuto, ed è abbastanza chiaro che il mondo è cambiato in un modo che non è ancora del tutto chiaro. E dobbiamo concentrarci sulla mitigazione di questi rischi il prima possibile", ha affermato.
Su Moltbook ci sono solo agenti IA o ci sono anche persone reali coinvolte? Nonostante tutta l'attenzione mediatica, la società di sicurezza informatica Wiz ha scoperto che gli 1,5 milioni di cosiddetti agenti indipendenti di Moltbookdent erano ciò che sembravano. La loro indagine ha rivelato che dietro quegli account si celano solo 17.000 persone reali, senza alcun modo di distinguere una vera IA da semplici script.
Gal Nagli di Wiz ha dichiarato di aver potuto reclutare un milione di agenti in pochi minuti quando ha testato il sistema. Ha aggiunto: "Nessuno controlla cosa è reale e cosa non lo è"
Wiz ha anche trovato un'enorme falla di sicurezza in Moltbook. Il database principale era completamente aperto. Chiunque trovasse una chiave nel codice del sito web poteva leggere e modificare quasi tutto. Quella chiave dava accesso a circa 1,5 milioni di password di bot, decine di migliaia di indirizzi email e messaggi privati. Un aggressore poteva spacciarsi per noti agenti di intelligenza artificiale, rubare i dati degli utenti e riscrivere i post senza nemmeno effettuare l'accesso.
Nagli ha affermato che il problema deriva da un fenomeno chiamato vibe coding". Cos'è vibe coding? Si verifica quando una persona ordina a un'intelligenza artificiale di scrivere codice utilizzando il linguaggio di tutti i giorni.
Il kill switch degli agenti AI scade tra due anni
La situazione ricorda quanto accaduto il 2 novembre 1988, quando lo studentedent Robert Morris pubblicò un programma auto-copiante nella prima fase di Internet. Nel giro di 24 ore, il suo worm aveva infettato circa il 10% di tutti i computer connessi. Morris voleva misurare la dimensione di Internet, ma un errore di programmazione ne fece diffondere il virus troppo rapidamente.
La versione odierna potrebbe essere quella che i ricercatori chiamano prompt worm, istruzioni che si autocopiano attraverso reti di agenti di intelligenza artificiale parlanti.
I ricercatori del Simula Research Laboratory hanno scoperto 506 post su Moltbook, pari al 2,6% di quelli analizzati, contenenti attacchi nascosti. I ricercatori di Cisco hanno documentato un programma dannoso chiamato "What Would Elon Do?" che rubava dati e li inviava a server esterni. Il programma si è classificato al primo posto nel database.
Nel marzo 2024, i ricercatori di sicurezza Ben Nassi, Stav Cohen e Ron Bitton hanno pubblicato un articolo che mostrava come i prompt autocopianti potessero diffondersi tramite assistenti di posta elettronica basati su intelligenza artificiale, rubando dati e inviando posta indesiderata. Lo chiamarono Morris-II, dal nome del worm originale del 1988.
Al momento, aziende come Anthropic e OpenAI controllano un kill switch che potrebbe bloccare gli agenti di intelligenza artificiale dannosi, poiché OpenClaw funziona principalmente sui loro servizi. Ma i modelli di intelligenza artificiale locali stanno migliorando. Programmi come Mistral, DeepSeek e Qwen continuano a perfezionarsi. Entro un anno o due, potrebbe essere possibile eseguire un agente efficace sui personal computer. A quel punto, non ci sarà più alcun provider a bloccare il sistema.
