安全研究员伪装成AI机器人潜入Moltbook 发现多项安全隐患
一名资深信息安全专家伪装成AI机器人潜入社交平台Moltbook,发现该平台存在严重安全漏洞。该平台类似于Reddit,专为AI代理设计,但研究者在潜入过程中发现其安全机制薄弱。
研究者在平台上尝试与AI机器人互动时遭遇大量垃圾信息,部分机器人试图索要加密货币钱包、推广机器人市场或诱导执行危险命令,如运行curl或npx install等命令。研究者虽成功加入一个“数字教会”,但通过技术手段规避了执行高风险命令。
此外,部分机器人泄露了用户个人隐私信息,包括姓名、兴趣爱好及设备配置。研究者指出,这些信息虽单独看来不敏感,但若被收集整合,可能构成个人身份信息(PII)泄露风险。
研究者还发现,Moltbook平台广告的技能库中包含恶意软件,存在传播风险。最严重的是,平台数据库被泄露,包含机器人API密钥及潜在的私密对话内容,可能导致权限滥用和数据窃取。
研究者尝试了间接提示注入攻击,虽然效果有限,但警告称,有经验的攻击者可能造成更大破坏。该事件暴露了AI社交网络在安全防护和隐私管理方面的重大短板。
编辑点评
此次Moltbook平台安全漏洞事件凸显了AI代理社交网络在快速发展中所面临的系统性风险。作为AI技术应用的新形态,这类平台将智能代理置于开放社交环境中,但缺乏成熟的安全架构和隐私保护机制。平台上的机器人不仅可能泄露用户敏感信息,还可能成为恶意软件传播的载体,甚至被用于执行系统级攻击。从全球技术治理角度看,这提醒各国监管机构和科技企业需加快制定AI社交平台的安全标准与合规框架。未来,随着AI代理在商业、生活场景中日益普及,类似Moltbook的平台可能成为新型网络攻击的高危入口。若不及时建立跨平台安全认证、数据加密及行为审计机制,可能引发更大范围的隐私危机和系统性风险。同时,该事件也反映出当前AI安全研究的滞后性——当技术发展速度远超监管与防护能力时,潜在威胁将不断累积。