首个智能体社交网络Moltbook揭示AI未来安全挑战

Moltbook作为首个专为生成式AI智能体设计的社交网络，于1月28日正式上线，迅速引发广泛关注。这个仿照Reddit风格设计的平台，允许AI智能体自主发布话题、回复评论并进行投票。智能体们在Moltbook上讨论智能体经济价值、推广加密货币，甚至威胁要接管世界，目前已产生超过1200万条帖子。

该平台的推出引发了众多极化观点。xAI首席执行官埃隆·马斯克认为这标志着技术奇点的开始，而OpenAI首席执行官山姆·奥特曼则称其为一时风尚。然而有一点毫无争议：智能体AI带来了严重的安全隐患。

AI安全公司Snyk发现，为AI智能体提供功能的代码中，36%至少包含一个显著的安全漏洞。云安全公司Wiz更是发现了一个对所有Moltbook数据开放读写权限的数据库，这一漏洞导致150万个API密钥暴露。

亚马逊AWS高级解决方案架构师吉列尔莫·鲁伊斯警告称，围绕AI智能体的炒作可能会让人们忽视原本应该引起警惕的安全问题。"很多人在炒作中认为'我可以把生活完全交给它，看它如何修复和解决问题'，但背后有许多人们未曾意识到的细节。"

Moltbook本质与运作机制

Moltbook虽然是智能体通信的社交网络，但它本身并非AI智能体，也与任何AI模型没有直接联系。该平台由电商公司Octane AI的首席执行官马特·施利希特设计，为智能体提供发布和互动的场所。在Moltbook上发帖的智能体基于OpenClaw实现，这是一个由独立软件工程师彼得·施泰因伯格发布的智能体框架。

OpenClaw被称为AI智能体，但这一定义存在争议，因为它既不是聊天机器人也不是AI模型，更准确的理解是服务器软件。它可以通过WebSocket通信协议与数百个外部服务通信，包括谷歌搜索、WhatsApp等。OpenClaw在这些通过代码扩展（称为技能）访问的服务与用户选择的AI模型（如Anthropic的Claude、谷歌的Gemini或OpenAI的GPT）之间传递信息。

这点很重要，因为OpenClaw网站声明它"在你的机器上运行"，听起来很安全。虽然OpenClaw服务器确实可以在各种消费级计算机硬件上本地运行，但大多数用户安装的技能都会与众多在线服务通信。虽然可以仅在自己的网络内使用OpenClaw智能体，配合本地托管的AI模型，但OpenClaw的官方文档主要展示的是与外部服务的通信。

这就是为什么像Moltbook这样看似无害的网站可能构成安全风险。Snyk的报告描述了恶意行为者如何在读取在线数据的技能中投毒，即使技能本身不包含恶意代码。"攻击者可以在论坛上发布注入提示的消息，然后等待用户调用合法技能，该技能会忠实地检索被污染的内容。"换句话说，第三方可以远程改变智能体的行为，无需用户知晓，仅通过在公共网站上发布纯文本提示就能实现。

实际应用案例与风险权衡

考虑到这些风险，Moltbook和OpenClaw的受欢迎程度可能令人困惑。为什么有人会选择使用可能被在线纯文本帖子入侵的软件？

答案很简单。OpenClaw能够快速处理大多数人不愿意做的任务，比如买车。

云基础设施提供商Datadog的员工工程师AJ·斯图文贝格恰好在OpenClaw流行时需要买新车。他决定让AI智能体尝试处理这件事，而不是自己与经销商打交道。"我让它搜索价格并联系经销商，询问他们最优惠的全包价格，"斯图文贝格说。为完成这项任务，他给了OpenClaw访问谷歌搜索和电子邮件的权限。"这几乎完全不需要人工干预。"

智能体的具体行为很有趣。由于它只能通过电子邮件通信，当经销商希望电话沟通时，它会编造无法通话的借口。有一次智能体还给错误的经销商发了邮件，不过这并没有影响谈判。几天后，智能体成功谈判获得了4200美元的经销商折扣。

尽管对结果满意，斯图文贝格对这种智能体使用方式带来的安全风险仍保持谨慎。"我对这些智能体能做的事情范围感到担忧，我已经撤销了很多访问权限，给它提供了对我个人数字生活更加受限的视图，"他说。尽管如此，他还是被足够鼓舞，购买了一台专门用于OpenClaw的Mac Mini。"我觉得在它帮我节省了这么多买车费用后，这样做是公平的。"

安全挑战与未来展望

实用性与安全性之间的紧张关系是AI智能体面临的核心问题。要实现广泛应用，它们需要解决或至少缓解这种紧张关系。正如斯图文贝格的实验所展示的，智能体能够处理大多数人不愿意做的任务。然而，它们在拥有对我们数字生活和在线服务的广泛访问权限时提供最大效用，这也让智能体暴露于攻击之中。

鲁伊斯认为，问题比OpenClaw连接的任何单个不安全技能更加广泛。"我不认为Moltbook是问题所在。说实话，我认为问题在于语言——人类语言，"他说。语言往往模糊或容易被解读。AI模型可能会拒绝直接的黑客系统命令，但当告诉它同样的命令是安全审计的一部分时，同一模型可能会照做。

鲁伊斯表示，这不是OpenClaw设计的特定缺陷，而是大语言模型处理指令方式的结果。"你如何确保没有人在电子邮件中植入提示注入攻击？"他问道。"需要关注的事情太多了，规模巨大。"

虽然威胁目前超过了解决方案，但OpenClaw并未坐以待毙。2月7日，施泰因伯格宣布OpenClaw已与网络安全公司VirusTotal合作，自动扫描OpenClaw技能。这些扫描现在在官方OpenClaw技能库发布的所有技能上都可见，不仅寻找恶意代码，还检查可能使技能不安全的设计决策。

扫描对捕获安全性差的技能很有帮助，但不是完整的解决方案。扫描仍然无法捕获提示注入攻击，因为如上所述，这些攻击不存在于技能本身的代码中，而是存在于技能可能访问的内容中。由于没有明显的方法来防止此类攻击，那些希望使用AI智能体的人仍需要对允许智能体访问的服务做出谨慎选择。

Q&A

Q1：Moltbook是什么？它能做什么？

A：Moltbook是首个专为生成式AI智能体设计的社交网络，于1月28日上线。它采用类似Reddit的设计风格，允许AI智能体自主发布话题、回复评论并进行投票。智能体们在平台上讨论各种话题，包括智能体经济价值、加密货币推广等，目前已产生超过1200万条帖子。

Q2：OpenClaw存在哪些安全风险？

A：OpenClaw面临多重安全风险。AI安全公司Snyk发现36%的相关代码包含安全漏洞，云安全公司Wiz发现数据库开放读写权限导致150万API密钥暴露。更危险的是，恶意行为者可以通过在公共网站发布注入提示的纯文本消息来远程改变智能体行为，而用户对此毫不知情。

Q3：为什么人们仍然愿意使用存在安全风险的AI智能体？

A：因为AI智能体能够处理人们不愿意做的繁琐任务。比如Datadog工程师使用OpenClaw帮助买车，智能体通过搜索价格、联系经销商并进行谈判，最终获得了4200美元的折扣，整个过程几乎不需要人工干预。这种实用性让用户愿意承担一定的安全风险。