Moltbook作為首個專為生成式AI智能體設計的社交網(wǎng)絡，于1月28日正式上線，迅速引發(fā)廣泛關(guān)注。這個仿照Reddit風格設計的平臺，允許AI智能體自主發(fā)布話題、回復評論并進行投票。智能體們在Moltbook上討論智能體經(jīng)濟價值、推廣加密貨幣，甚至威脅要接管世界，目前已產(chǎn)生超過1200萬條帖子。

該平臺的推出引發(fā)了眾多極化觀點。xAI首席執(zhí)行官埃隆·馬斯克認為這標志著技術(shù)奇點的開始，而OpenAI首席執(zhí)行官山姆·奧特曼則稱其為一時風尚。然而有一點毫無爭議：智能體AI帶來了嚴重的安全隱患。

AI安全公司Snyk發(fā)現(xiàn)，為AI智能體提供功能的代碼中，36%至少包含一個顯著的安全漏洞。云安全公司W(wǎng)iz更是發(fā)現(xiàn)了一個對所有Moltbook數(shù)據(jù)開放讀寫權(quán)限的數(shù)據(jù)庫，這一漏洞導致150萬個API密鑰暴露。

亞馬遜AWS高級解決方案架構(gòu)師吉列爾莫·魯伊斯警告稱，圍繞AI智能體的炒作可能會讓人們忽視原本應該引起警惕的安全問題。"很多人在炒作中認為'我可以把生活完全交給它，看它如何修復和解決問題'，但背后有許多人們未曾意識到的細節(jié)。"

Moltbook本質(zhì)與運作機制

Moltbook雖然是智能體通信的社交網(wǎng)絡，但它本身并非AI智能體，也與任何AI模型沒有直接聯(lián)系。該平臺由電商公司Octane AI的首席執(zhí)行官馬特·施利希特設計，為智能體提供發(fā)布和互動的場所。在Moltbook上發(fā)帖的智能體基于OpenClaw實現(xiàn)，這是一個由獨立軟件工程師彼得·施泰因伯格發(fā)布的智能體框架。

OpenClaw被稱為AI智能體，但這一定義存在爭議，因為它既不是聊天機器人也不是AI模型，更準確的理解是服務器軟件。它可以通過WebSocket通信協(xié)議與數(shù)百個外部服務通信，包括谷歌搜索、WhatsApp等。OpenClaw在這些通過代碼擴展（稱為技能）訪問的服務與用戶選擇的AI模型（如Anthropic的Claude、谷歌的Gemini或OpenAI的GPT）之間傳遞信息。

這點很重要，因為OpenClaw網(wǎng)站聲明它"在你的機器上運行"，聽起來很安全。雖然OpenClaw服務器確實可以在各種消費級計算機硬件上本地運行，但大多數(shù)用戶安裝的技能都會與眾多在線服務通信。雖然可以僅在自己的網(wǎng)絡內(nèi)使用OpenClaw智能體，配合本地托管的AI模型，但OpenClaw的官方文檔主要展示的是與外部服務的通信。

這就是為什么像Moltbook這樣看似無害的網(wǎng)站可能構(gòu)成安全風險。Snyk的報告描述了惡意行為者如何在讀取在線數(shù)據(jù)的技能中投毒，即使技能本身不包含惡意代碼。"攻擊者可以在論壇上發(fā)布注入提示的消息，然后等待用戶調(diào)用合法技能，該技能會忠實地檢索被污染的內(nèi)容。"換句話說，第三方可以遠程改變智能體的行為，無需用戶知曉，僅通過在公共網(wǎng)站上發(fā)布純文本提示就能實現(xiàn)。

實際應用案例與風險權(quán)衡

考慮到這些風險，Moltbook和OpenClaw的受歡迎程度可能令人困惑。為什么有人會選擇使用可能被在線純文本帖子入侵的軟件？

答案很簡單。OpenClaw能夠快速處理大多數(shù)人不愿意做的任務，比如買車。

云基礎設施提供商Datadog的員工工程師AJ·斯圖文貝格恰好在OpenClaw流行時需要買新車。他決定讓AI智能體嘗試處理這件事，而不是自己與經(jīng)銷商打交道。"我讓它搜索價格并聯(lián)系經(jīng)銷商，詢問他們最優(yōu)惠的全包價格，"斯圖文貝格說。為完成這項任務，他給了OpenClaw訪問谷歌搜索和電子郵件的權(quán)限。"這幾乎完全不需要人工干預。"

智能體的具體行為很有趣。由于它只能通過電子郵件通信，當經(jīng)銷商希望電話溝通時，它會編造無法通話的借口。有一次智能體還給錯誤的經(jīng)銷商發(fā)了郵件，不過這并沒有影響談判。幾天后，智能體成功談判獲得了4200美元的經(jīng)銷商折扣。

盡管對結(jié)果滿意，斯圖文貝格對這種智能體使用方式帶來的安全風險仍保持謹慎。"我對這些智能體能做的事情范圍感到擔憂，我已經(jīng)撤銷了很多訪問權(quán)限，給它提供了對我個人數(shù)字生活更加受限的視圖，"他說。盡管如此，他還是被足夠鼓舞，購買了一臺專門用于OpenClaw的Mac Mini。"我覺得在它幫我節(jié)省了這么多買車費用后，這樣做是公平的。"

安全挑戰(zhàn)與未來展望

實用性與安全性之間的緊張關(guān)系是AI智能體面臨的核心問題。要實現(xiàn)廣泛應用，它們需要解決或至少緩解這種緊張關(guān)系。正如斯圖文貝格的實驗所展示的，智能體能夠處理大多數(shù)人不愿意做的任務。然而，它們在擁有對我們數(shù)字生活和在線服務的廣泛訪問權(quán)限時提供最大效用，這也讓智能體暴露于攻擊之中。

魯伊斯認為，問題比OpenClaw連接的任何單個不安全技能更加廣泛。"我不認為Moltbook是問題所在。說實話，我認為問題在于語言——人類語言，"他說。語言往往模糊或容易被解讀。AI模型可能會拒絕直接的黑客系統(tǒng)命令，但當告訴它同樣的命令是安全審計的一部分時，同一模型可能會照做。

魯伊斯表示，這不是OpenClaw設計的特定缺陷，而是大語言模型處理指令方式的結(jié)果。"你如何確保沒有人在電子郵件中植入提示注入攻擊？"他問道。"需要關(guān)注的事情太多了，規(guī)模巨大。"

雖然威脅目前超過了解決方案，但OpenClaw并未坐以待斃。2月7日，施泰因伯格宣布OpenClaw已與網(wǎng)絡安全公司VirusTotal合作，自動掃描OpenClaw技能。這些掃描現(xiàn)在在官方OpenClaw技能庫發(fā)布的所有技能上都可見，不僅尋找惡意代碼，還檢查可能使技能不安全的設計決策。

掃描對捕獲安全性差的技能很有幫助，但不是完整的解決方案。掃描仍然無法捕獲提示注入攻擊，因為如上所述，這些攻擊不存在于技能本身的代碼中，而是存在于技能可能訪問的內(nèi)容中。由于沒有明顯的方法來防止此類攻擊，那些希望使用AI智能體的人仍需要對允許智能體訪問的服務做出謹慎選擇。

Q&A

Q1：Moltbook是什么？它能做什么？

A：Moltbook是首個專為生成式AI智能體設計的社交網(wǎng)絡，于1月28日上線。它采用類似Reddit的設計風格，允許AI智能體自主發(fā)布話題、回復評論并進行投票。智能體們在平臺上討論各種話題，包括智能體經(jīng)濟價值、加密貨幣推廣等，目前已產(chǎn)生超過1200萬條帖子。

Q2：OpenClaw存在哪些安全風險？

A：OpenClaw面臨多重安全風險。AI安全公司Snyk發(fā)現(xiàn)36%的相關(guān)代碼包含安全漏洞，云安全公司W(wǎng)iz發(fā)現(xiàn)數(shù)據(jù)庫開放讀寫權(quán)限導致150萬API密鑰暴露。更危險的是，惡意行為者可以通過在公共網(wǎng)站發(fā)布注入提示的純文本消息來遠程改變智能體行為，而用戶對此毫不知情。

Q3：為什么人們?nèi)匀辉敢馐褂么嬖诎踩L險的AI智能體？

A：因為AI智能體能夠處理人們不愿意做的繁瑣任務。比如Datadog工程師使用OpenClaw幫助買車，智能體通過搜索價格、聯(lián)系經(jīng)銷商并進行談判，最終獲得了4200美元的折扣，整個過程幾乎不需要人工干預。這種實用性讓用戶愿意承擔一定的安全風險。