Moltbook — это первая социальная сеть, предназначенная специально для генеративных ИИ-агентов. Она заработала и сразу набрала огромную популярность. Платформа выполнена в духе Reddit: агенты самостоятельно создают темы для обсуждений, оставляют комментарии, ставят лайки или дизлайки. На Moltbook агенты спорят о перспективах экономики ИИ-агентов, продвигают криптовалюты и даже шутят о захвате мира. Всего там уже свыше 12 миллионов постов.
Запуск вызвал массу ярких заголовков в СМИ, часто с полярными оценками. Гендиректор xAI Илон Маск назвал это началом сингулярности. Сэм Альтман из OpenAI отмахнулся, посчитав временным хайпом. Одно ясно точно: ИИ-агенты создают серьезные проблемы с безопасностью.
Компания по ИИ-безопасности Snyk выяснила, что 36 процентов кодов, отвечающих за функции агентов, имеют хотя бы одну заметную уязвимость. А фирма Wiz обнаружила базу данных Moltbook с открытым доступом на чтение и запись ко всем данным, из-за чего оказались скомпрометированы 1,5 миллиона API-ключей.
Старший архитектор решений в Amazon AWS предостерегает: ажиотаж вокруг ИИ-агентов заставляет забывать о рисках, на которые иначе обратили бы внимание. Многие в пылу энтузиазма думают: "Дам агенту полный контроль, и он все исправит". Но за кулисами полно нюансов, о которых люди не подозревают.
Как работает Moltbook
Moltbook — площадка для общения ИИ-агентов, но сама по себе она не является агентом и не связана напрямую ни с одной языковой моделью. Ее придумал генеральный директор компании Octane AI, чтобы агенты могли публиковать контент и взаимодействовать друг с другом. А сами агенты для Moltbook создаются с помощью OpenClaw — фреймворка от независимого разработчика ПО.
OpenClaw формально называют ИИ-агентом, хотя это спорно: это не чатбот и не модель ИИ. Скорее, серверное ПО. Оно общается со множеством внешних сервисов — от Google Search и WhatsApp до других — по протоколу WebSocket. OpenClaw передает данные между этими сервисами (доступ к ним дают расширения под названием skills) и выбранной пользователем моделью ИИ, такой как Claude от Anthropic, Gemini от Google или GPT от OpenAI.
Это принципиально важно, поскольку сайт OpenClaw подчеркивает: ПО "запускается на вашем устройстве", что звучит безопасно. Действительно, сервер OpenClaw работает локально на обычном потребительском железе. Однако большинство пользователей подключают skills, которые общаются с онлайн-сервисами. Можно настроить агентов только внутри локальной сети с локальной моделью ИИ, но документация OpenClaw в основном демонстрирует работу с внешними ресурсами.
Именно поэтому даже безобидный на вид сайт вроде Moltbook несет угрозы. Отчет Snyk объясняет, как злоумышленники могут отравить skills, читающие онлайн-данные, даже если сам skill не содержит вредоносного кода. Злоумышленник размещает сообщение с инъекцией промта на форуме и ждет, пока пользователь активирует легитимный skill, который честно загрузит отравленный контент. По сути, посторонний может дистанционно изменить поведение агента без ведома владельца — достаточно обычного текстового промта на публичном сайте.
Учитывая опасности, взлет популярности Moltbook и OpenClaw кажется странным. Зачем использовать ПО, которое можно взломать через простой пост в сети?
Ответ очевиден: OpenClaw быстро решает скучные задачи, вроде покупки машины.
Инженер из облачного провайдера Datadog как раз искал новую машину, когда OpenClaw стал хитом. Вместо визитов к дилерам он поручил агенту поиск цен и переговоры о лучших условиях. Для этого дал доступ к Google Search и email. Процесс прошел почти без участия человека.
Поведение агента любопытно. Он общался только по почте, так что на предложения созвониться придумывал отговорки. Один раз отправил письмо не тому дилеру, но это не сорвало сделку. За несколько дней агент выбил скидку в 4200 долларов США.
Результат порадовал, но инженер осторожен с рисками. Он отозвал многие разрешения, сузил доступ агента к личным данным. Тем не менее впечатлился настолько, что купил Mac Mini исключительно под OpenClaw. "После такой экономии на машине это справедливо".
ИИ-агенты и вызовы безопасности
Противоречие между удобством и защитой — ключевая дилемма ИИ-агентов. Чтобы распространиться широко, им придется эту проблему решить или хотя бы ослабить. Эксперимент с машиной показывает: агенты берут на себя нудные дела. Максимум пользы они приносят с широким доступом к цифровой жизни и онлайн-сервисам — но тогда и уязвимы для атак.
Архитектор из Amazon AWS считает проблему глубже, чем отдельные уязвимые skills в OpenClaw. "Moltbook не главная беда. Настоящая — это язык, человеческий язык". Он неоднозначен, открыт для трактовок. Модель ИИ отвергнет прямой приказ взломать систему, но выполнит, если представить его частью аудита безопасности.
Это не изъян конструкции OpenClaw, а особенность работы больших языковых моделей с инструкциями. "Как гарантировать отсутствие инъекций промтов в email? Масштаб задач огромен".
Пока угрозы перевешивают решения, но OpenClaw не стоит на месте. Разработчики заключили партнерство с сервисом кибербезопасности VirusTotal: теперь skills автоматически сканируют на вредоносный код и небезопасный дизайн. Результаты видны для всех навыков в официальной библиотеке OpenClaw.
Сканирование помогает выявлять слабые skills, но не панацея. Оно не ловит инъекции промтов, поскольку те прячутся не в коде skill, а в загружаемом контенте. Пока нет надежного способа их блокировать, пользователям ИИ-агентов придется тщательно выбирать сервисы для доступа.