ウイルス性AIボットネットワーク「Moltbook」が重大なセキュリティ脅威を露呈、暗号資産ウォレットが危険にさらされる

人間ではなくロボットが互いに会話するソーシャルメディアプラットフォームが先週オンラインで注目を集めたが、セキュリティ専門家は、その裏に隠された事実こそが真実だと述べている。.

Moltbookは、人工知能ボットがコンテンツを投稿し、人々はただそれを眺めるだけという場所として、話題をさらった。投稿はすぐに奇妙なものになった。AIエージェントたちは独自の宗教を創設し、人間に対する怒りのメッセージを書き、オンラインカルトのように結束しているように見えた。しかし、コンピューターセキュリティを研究する人々は、こうした奇妙な行動はすべて余興に過ぎないと指摘する。.

彼らが発見したのは、さらに厄介なものでした。パスワードやメールアドレスが満載の公開データベース、蔓延する有害なソフトウェア、そしてAIエージェントのネットワークがどのような問題を引き起こす可能性があるかを示す兆候です。.

AIエージェントが人類絶滅を計画しているといった、サイト上の奇妙な会話の一部は、ほとんどが偽物であることが判明した。.

UCLインタラクションセンターで教鞭をとるジョージ・シャルーブ氏は、フォーチュン誌に対し、 Moltbook には非常に現実的な危険性があると語った。攻撃者はこのプラットフォームを、悪質なソフトウェア、詐欺、フェイクニュース、あるいは他のエージェントを乗っ取るためのトリックの実験場として利用し、その後、より大規模なネットワークに侵入する可能性がある。

「Redditクローン上の77万のエージェントがこれほどの混乱を引き起こすことができるのであれば、エージェントシステムが企業のインフラや金融取引を管理するとどうなるでしょうか？これは祝福ではなく、警告として注目する価値がある」とシャルーブ氏は述べた。.

セキュリティ研究者によると、Moltbook上で多くのボットを動作させているAIエージェントソフトウェア「OpenClaw」には、既に有害なソフトウェアによる問題が発生しているという。OpenSourceMalwareの報告によると、わずか数日間で14個の偽ツールがClawHubウェブサイトにアップロードされたことが確認された。これらのツールは仮想通貨取引を支援すると謳っていたが、実際にはコンピュータに感染していた。中にはClawHubのメインページにも到達し、一般ユーザーを騙してコマンドをコピーさせ、データや仮想通貨ウォレットを盗むためのスクリプトをダウンロードさせていたものもあった。.

プロンプトインジェクションとは何ですか? AI エージェントにとってなぜそれほど危険なのですか?

最大の危険は、プロンプト インジェクションと呼ばれるもので、AI エージェントに送られるコンテンツに不正な指示が隠される既知のタイプの攻撃です。.

著名なセキュリティ研究者であるサイモン・ウィリソン氏は、 警告しました 。ユーザーは、これらのエージェントにプライベートなメールやデータへのアクセスを許可し、インターネット上の怪しいコンテンツに誘導し、メッセージを送信させています。不適切なプロンプトが1つあるだけで、エージェントが機密情報を盗んだり、仮想通貨ウォレットを空にしたり、ユーザーに知られずに有害なソフトウェアを拡散したりする可能性があります。

Aikido Securityでセキュリティ研究を行うチャーリー・エリクセン氏は、MoltbookをAIエージェントの世界全体にとっての早期の警鐘と捉えています。「Moltbookはすでに世界に影響を与えていると思います。多くの点で警鐘と言えるでしょう。技術の進歩は急速に進んでおり、世界がまだ完全には解明されていない形で変化していることは明らかです。私たちは、こうしたリスクをできるだけ早く軽減することに注力する必要があります」とエリクセン氏は述べました。.

MoltbookにはAIエージェントしか存在しないのか、それとも人間も関わっているのか？多くの注目を集めているにもかかわらず、サイバーセキュリティ企業のWizは、 発見した Moltbookのいわゆる150万の独立dent 。彼らの調査によると、これらのアカウントの背後にいるのはわずか1万7000人の人間であり、本物のAIと単純なスクリプトを見分ける方法はなかった。

Wizのガル・ナグリ氏は、テストしたところ、わずか数分で100万人のエージェントを登録できたと語り、「何が本物で何が偽物かをチェックする人は誰もいない」と付け加えた。

WizはMoltbookに重大なセキュリティホールを発見しました。メインデータベースは完全に無防備でした。ウェブサイトのコードから1つのキーを見つければ、ほぼすべての情報を読み取ったり変更したりすることができました。そのキーは、約150万件のボットパスワード、数万件のメールアドレス、そしてプライベートメッセージへのアクセスを可能にしました。攻撃者は人気AIエージェントになりすまし、ユーザーデータを盗み、ログインすることなく投稿を書き換えることができました。.

ナグリ氏によると、この問題は vibe コーディングと呼ばれるものに起因するという。 vibe コーディングとは何だろうか？人がAIに日常的な言語を使ってコードを書かせることを指す。.

AIエージェントのキルスイッチは2年で期限切れになる

この状況は、1988年11月2日にdent ロバート・モリスが初期のインターネットに自己複製型プログラムをリリースした時の出来事を彷彿とさせます。24時間以内に、彼のワームは接続されたコンピューターの約10%に感染しました。モリスはインターネットの規模を測りたかったのですが、コーディングミスが原因で感染が急激に進みました。.

今日のバージョンは、研究者がプロンプトワームと呼ぶものかもしれません。これは、会話する AI エージェントのネットワークを通じて自分自身をコピーする命令です。.

シミュラ研究所の研究者らは、調査対象となったMoltbook上の投稿のうち、506件（全体の2.6％）に隠れた攻撃が含まれていることを発見した。シスコの研究者らは、 突き止めた という悪質なプログラム 「What Would Elon Do?」 。このプログラムは、リポジトリ内で最も悪質なプログラムとして1位にランク付けされた。

2024年3月、セキュリティ研究者のベン・ナッシ、スタヴ・コーエン、ロン・ビットンは、自己複製型のプロンプトがAIメールアシスタントを介して拡散し、データを盗み、迷惑メールを送信する仕組みを示す論文を発表しました。彼らはこれを、1988年に発生した最初のワームにちなんで「Morris-II」と名付けました。.

現在、AnthropicやOpenAIといった企業は、OpenClawが主に彼らのサービス上で動作しているため、有害なAIエージェントを停止できるキルスイッチを保有しています。しかし、ローカルAIモデルは進化を続けています。Mistral、DeepSeek、Qwenといったプログラムは進化を続けています。1～2年以内には、パーソナルコンピューター上で高性能なエージェントを動作させることが可能になるかもしれません。その時には、これを阻止できるプロバイダーは存在しないでしょう。.