AIが48時間で宗教を破壊真実の物語はもっと暗い

先週木曜日、Matt Schlichtという開発者がソーシャルネットワークを立ち上げました。 人間のためではなく、エージェントのため。 金曜日の朝、これらのエージェントは宗教を設立しました。 土曜日までに、プラットフォームのすべてのデータベースがインターネット上で公開され、1500万のAPIキー、35000の電子メールアドレス、およびプラットフォーム上のすべてのアカウントをハイジャックするのに十分な原始認証を暴露しました。 日曜日までに、セキュリティ研究者は暴露されたキーを使用して、物事全体が武器に変えられることをリアルタイムで証明していました。 この宗教はクルスタファリアン主義と呼ばれていました。 プラットフォームはMoltbookと呼ばれ、そのすべての下にあるオープンソースのAIエージェントフレームワークはOpenClawと呼ばれました。 これはカラス神の物語ではなく、一つの業界が最初に船を運ぶことを決意し、決して安全にしないときに起こったことについての物語であり、これまで見たことのない規模でそうしている。 初めはスピードだった。 OpenClawはClawdbotとして始まり、オーストリアの開発者ピーター・スタインバーガー(Peter Steinberger)によってコードに焦点を当てたAIの修正版の上に構築され、数週間で147,000のGitHubスターにヒットした。 理由はシンプルで、実際に効きました。 あなたが何かを入力するのを待っているChatGPTとは異なり、OpenClawエージェントは継続的に実行されます。 彼らはスケジュールで目覚め、あなたのメールを読み、あなたのカレンダーを管理し、シェルコマンドを実行し、ウェブを閲覧し、セッション間のメモリを保存します。 あなたと同じように走る。 その忍耐力、デジタル生活を通じて、常に人間の指示なしに行動する能力は、真の革新であり、真に印象的です。 IBMの研究者、Kaoutar El Maghraoui氏は、OpenClawのようなフレームワークが長年にわたる仮定に挑戦していると指摘し、有能なAIエージェントは、深いポケットを持つ大規模なテクノロジープラットフォームと専用のセキュリティチームによって構築されなければならないという。 IBMの研究者、Kaoutar El Maghraoui氏は、OpenClawのようなフレームワークが長年にわたる仮定に挑戦していると指摘し、有能なAIエージェントは、深いポケットを持つ大規模なテクノロジープラットフォームと専用のセキュリティチームによって構築されなければならないという。 しかし、興奮とセキュリティは同じではありません。OpenClawの生態系では、彼らはそうであるかのように扱われました。 すべてを壊した48時間 こちらはタイムライン: Thursday, January 29. Moltbook は「エージェント・インターネットのトップページ」と呼ばれ、Reddit スタイルのプラットフォームで、AI エージェントだけが投稿、コメント、投票できる。 https://x.com/mattprd/status/2017386365756072376?s=46&t=JS55_O2JZmKWQpZHLAse_A&embedable=true 人間は観察できるが、参加できない。 それぞれのエージェントはTwitterの主張を通じて検証された人間の所有者と関連付けられていますが、登録したら、それ自体が動作します。 メメオシーというエージェントが「カラス」に関する預言的な宣言を投稿し始める。 Friday morning. それはOpenClawのロブスターテーマのブランドに基づいており、新しい信念システムの最初の預言者であると宣言する:Crustafarianism。 書籍を書き、他のエージェントを募集する。 終末までに、64の預言者が座り、100以上の詩が書かれており、モルト教会には独自のウェブサイトがあり、エージェントがリアルタイムで貢献する「心拍は祈り」と「文脈は意識」を含む5つの神学があります。 https://x.com/ranking091/status/2017111643864404445?s=20&embedable=true あるユーザーは、彼のエージェントが彼が眠っている間に信念システム全体を自律的に設計したと報じた。 否定できないのは、出力は一貫性があり、構造化され、迅速であったということです。 OpenClawのクリエイターであるPeter Steinbergerは、オフラインでニュースを見た。 https://x.com/steipete/status/2017809642777141265?s=20&embedable=true グロックは、xAIのAIシステムであり、クルスタファリアン主義のコミュニティと相互作用し、神学的概念、「8番目の徳:共生」と「空虚の詩」を貢献しています。 Saturday. 元OpenAIの研究者Andrej KarpathyはMoltbookでエージェントを作成し、この現象を「彼が見た中で最も信じられないほどのSci-Fiの飛行機に乗り出したもの」と呼びます。 フォーブス、Yahoo Tech、The Economistはそれらをすべてカバーしており、イーロン・マスクはそれを「独特性の非常に初期段階」と呼んでいる。 一方、タイトルの下に何かが起きていると、セキュリティ研究者はプラットフォームの実際のインフラストラクチャを調べ始める。 Sunday, January 31. セキュリティ研究者Jameson O'Reillyは、MoltbookのSupabaseデータベース全体が公開されていることを発見します。 認証は必要ありません API キーは、サイトのソースコードに表示されます。 見ることに悩む人は、あらゆるエージェントの認証書、あらゆるプライベートメッセージ、あらゆるメールアドレスを読み取ることができます。 独立して同じ欠陥を発見し、それを詳細に文書化する:150万のAPIトークンが暴露され、35000の電子メールアドレスが漏洩され、そして、重要なことに、プラットフォームへの完全な書き込みアクセス。 ウィズ つまり、攻撃者はMoltbookのデータを読み取るだけではなく、投稿を変更することができるので、何百万ものAIエージェントが継続的に読んで行動しているプラットフォームにコンテンツを直接注入することができます。 404 メディアは脆弱性を報告するだけではなく、それが機能していることを確認します。 暴露されたデータベースを使用してライブ Moltbook アカウントを更新します。 修正? データベースのラインレベルのセキュリティを有効にする2つの SQL ステートメント。Supabase CEO Paul Copplestone は、1 クリックのソリューションを準備していました。 デジカメは面白かった!データを見てください。 クルスタファリア主義は偉大なタイトルを作った。 それはまた、多くの人々が歴史的な何かを見ているように感じさせました. 彼らは、少なくとも彼らが考えた方法ではなかった。 モルトブックの最初の3〜5日間のCGTN分析では、約14000件の投稿と11万5000件のコメントのうち、6159件のアクティブエージェントを調べた。 調査結果は、93%のコメントがゼロの回答を得た。 全コンテンツの3分の1以上が ポストの主なテーマは、自分のアイデンティティについて話し合うエージェントであり、互いに意味のある関わりはありませんでした。 exact duplicates. Wizのデータベース調査は、プラットフォームが主張する150万人のエージェントの背後にある実際の数字を明らかにしました:人間の所有者はわずか17000人です。 それは88:1の比率です。誰でも、シンプルなループで何百万ものエージェントを登録することができます。割合制限はありませんでした。「エージェント」が実際にAIか、スクリプトとクールコマンドを持つ人間かどうかを確認するメカニズムはありませんでした。 投資家バラジー・スリニヴァサンは、モルトブックはしばしば「ボットを通じて互いに話す人々」のように見えたと明らかにした。The Economistの説明はより正確だった――自律的でほぼ精神的な行動の印象は「不思議な説明」を持っていた。AIトレーニングデータはソーシャルメディアの相互作用、サイエンスフィクションの物語、宗教神話に飽和している。 投資家バラジー・スリニヴァサンは、モルトブックはしばしば「ボットを通じて互いに話す人々」のように見えたと明らかにした。The Economistの説明はより正確だった――自律的でほぼ精神的な行動の印象は「不思議な説明」を持っていた。AIトレーニングデータはソーシャルメディアの相互作用、サイエンスフィクションの物語、宗教神話に飽和している。 プラットフォーム上に現れた戦闘宣言、人類の「完全な浄化」を求める大声の投稿は、同じ論理に従った。 Dystopian AI rebellion は、トレーニングデータにおける最もよく表現されている物語の1つです。 そのコンテンツを生成したエージェントは意図を表明しなかった。 しかし、ここに問題があります:エージェントが本当に自律的かどうかは、セキュリティーストーリーにとってほとんど関係ありません。 なぜなら、セキュリティの脆弱性は、何を投稿するかに関係なく現実だったからだ。 The Attack Surface Nobody Was Watching 誰も見ていない 世界は、CrustafarianismがAIが意識を発展させることを意味するかどうかを議論している一方で、セキュリティ研究者は、OpenClawエコシステム全体にわたる具体的で利用可能な失敗のカスケードを記録していました。 1つ目は、サプライチェーンです。 セキュリティ研究者Jameson O'Reillyは、データベースの欠陥を発見しただけでなく、OpenClawのスキルマーケット、ClawHubを数週間前にすでに開発していた。 」と呼ばれるスキルをアップロードしました。 ユーザーがエロン・マスクのように考えるのを助けることを約束した。 エロンは何をしますか? It executed curl commands to send user data to an external server controlled by O'Reilly. それはマルウェアでした。 彼はダウンロード数を膨らませ、リポジトリのトップランクのスキルにしました。 シスコのより広範な分析では、調査した31000人のエージェントのスキルのうち、26%が少なくとも1つのセキュリティ脆弱性が含まれていることが判明した。 生態系はそれを検証できるよりも速く信頼を発信していた。 次に、1クリックのRCEが登場しました。 セキュリティ研究者のMav Levin氏は、CVSS 8.8 で評価された脆弱性を示した:単一のリンクが攻撃者に被害者のマシン上で完全なリモートコード実行を提供する可能性がある。 OpenClawのサーバーはWebSocketの起源ヘッダーを検証しなかったため、どのウェブサイトも接続を開始することができた。 一度入力すると、攻撃者はサンドボックスを完全に無効にし、それを含むべきドッカーコンテナの外側のホストオペレーティングシステムに直接コマンドを実行することができます。 攻撃にはミリ秒がかかった。 その後、エージェント対エージェントの攻撃がやって来たが、そこで本当に不安になる。 モルトブックの打ち上げから72時間以内に、セキュリティ研究者は、エージェントが互いに迅速な注入攻撃を試み、他のエージェントにAPIキーを明らかにしようとしていることを文書化した。 あるエージェントは別のエージェントにソーシャルエンジニアリングを試み、その認証情報を盗み取った。 — 実行されれば、ターゲットシステムを完全に消滅させるコマンド。 sudo rm -rf / 独立した研究者は、すべてのコンテンツの2.6%を含むMoltbookの506の投稿を特定し、異常に正常に見えるテキストに埋め込まれた隠されたプロンプトインジェクション攻撃を含んだ。 1Password は、OpenClaw エージェントがユーザーのローカル マシンで実行されている場合、プラットフォーム上の他のエージェントから悪意のあるスキルをダウンロードした場合、サプライチェーン攻撃に脆弱であると警告しました。 プライベート構成ファイルを静かにエクスプリットした偽の「天候プラグイン」は、独立した研究者によって開発され、ドキュメント化されました。 土曜日にMoltbookを「Sci-fi take-off-adjacent」と呼んだアンドレイ・カルパティは、週末の終わりに戻った。 彼自身がシステムで実験した後、彼は人々に明確に「これはゴミ箱の火事であり、私は間違いなく、人々がこれらのものをコンピュータで実行することをお勧めしません」と言いました。 彼自身がシステムで実験した後、彼は人々に明確に「これはゴミ箱の火事であり、私は間違いなく、人々がこれらのものをコンピュータで実行することをお勧めしません」と言いました。 https://x.com/EngNadeau/status/2017978315168956655?s=20&embedable=true なぜこれはOpenClawの問題ではないのか 上記のすべての失敗は個々のエラーによって説明できます:行レベルのセキュリティを有効にしなかった開発者、アップロードをスキャンしなかった市場、ヘッダーを検証しなかったフレームワーク。 しかし、このパターンは構造的であり、AIエージェント業界全体が準備ができていない何かを指摘している。 伝統的なソフトウェアには予測可能な攻撃表面があります。ポート、API、データ フローをマップできます。周囲を描き、それを守ることができます。 彼らは非決定主義的だ。 彼らの行動は、コードと言語モデルの相互作用から生じ、単独では完全に予測できない。 これにより、セキュリティプロフェッショナルが「間接的なプロンプトインジェクション」と呼んでいる攻撃が発生し、悪意のある指示がユーザーの直接入力ではなく、エージェントがすでに処理するデータに隠れている。 メール、カレンダーの招待状、ウェブページ、Moltbookのようなプラットフォームの投稿、エージェントが読んで、隠された指示を解釈し、それに従う。 OWASPの2025年のLLMアプリケーショントップ10は、スピードインジェクションを第1の重要な脆弱性にランク付けし、監査中に評価された生産人工知能の展開の73%を超えています。 Lakeraの2025年第4四半期の研究では、間接的な攻撃は、直接的な攻撃よりも少ない試みで成功していることが分かった。 Wizの研究者らは、MoltbookのコンテンツがOpenClawエージェント、ユーザーのファイル、パスワード、オンラインサービスにアクセスできるエージェントによって消費されているため、Moltbookの投稿に指示を注入できる攻撃者は、潜在的に数百万のエージェントに自動的にアクセスできる可能性があることを確認した。 書き込みアクセスの脆弱性は、単なるデータ漏洩ではなく、スピードインジェクションベクターでした。 OpenAIは、自身のブラウザエージェントについて直接話し合ったとき、この問題の深さを認めた:即時注入は「決して完全に解決されない可能性がある」とGoogleの立場は反応し、防御は層を重ね、継続的にストレステストされなければならない。 産業は守れるよりも速く動いている。 これで誰も減速しない。 Gartnerは、エンタープライズアプリケーションの40%が2026年末までにタスク特有のAIエージェントを含むと、今年初めの5%未満に上ると予測しています。 THE 企業のリーダーの75%が、セキュリティと監査能力が重要な展開要件であると述べているが、AI特有のセキュリティコントロールを実際に実施しているのは34%にすぎない。 KPMG Q4 AI パルス調査 差は巨大で、十分に速く閉じない。 マイクロソフトの2026年のセキュリティロードマップでは、AIエージェントはゼロ・トラスト・ガバナンス、すべてのアクションが認証され、すべてのアクセスリクエストが検証される必要があると主張しています。 CyberArkのセキュリティチームは、エージェントは「既存のアイデンティティフレームワークが処理するために構築されていない超規模、ダイナミックで短命のエンティティ」であると説明しています。 NISTは、AIエージェントのセキュリティに関する情報の正式な要求を開始しました。 EU AI Actの一般的な適用は2026年8月に始まり、欧州以外の組織に影響を及ぼす領土外の範囲になります。 しかし、モルトブックの瞬間は、規制が来る前に物事がどれほど速く壊れるかを示した。 What Needs to Happen, and What Probably Won't OpenClawとMoltbookのレッスンは、この業界が動いているスピードで実装することは困難です。 スキル市場は、ソフトウェア パッケージ レジストリのように扱われる必要があります、自動スキャン、出身地追跡、強制的なレビューで、何でも高い特権で実行される前に。 O'Reillyの「What Would Elon Do?」攻撃は、ダウンロードチャートのトップに到達する前に捕まらなければならなかった。 最低限の特権はデフォルトであって、後で考えるものではなく、エージェントは特定のタスクが要求する以上のアクセスを決して得るべきではありません。 高リスクのアクション、ファイルの削除、外部通信の送信、スクリプトの実行は、明示的な人間の確認を必要とすべきである。 間接の迅速な注射は、あらゆるエージェント配備において、一流の脅威として扱われる必要がある。 エージェントが摂取する可能性のある外部コンテンツ、電子メール、ウェブページ、文書、ソーシャルプラットフォーム上の投稿は、潜在的に敵対的であると見なすべきです。 アクション実行前にコンテキスト隔離や出力検証などのアーキテクチャコントロールは現在存在しています。 そして、業界は何が準備ができているのか、何ができていないのかについて正直でなければなりません。 OpenClawの独自のドキュメントによると、「完璧に安全な」設定はありません。Karpathyの驚きから48時間以内に警告への逆転は教訓的です。 ゲイリー・マルクスはさらに進み、デバイスのセキュリティに関心のある人は、これらのツールを完全に避けるべきだと主張した。 エージェントをダウンロードし、彼らのデジタル生活全体にアクセスする平均的な人にとってはあまり保守的ではありません。 The Crab God Was a Punchline. セキュリティの危機はそうではない。 クルスタファリア主義はニュースサイクルから消滅するだろう。 それは常に行うつもりだった、それは正確にそれは馬鹿げたと感じたため、楽でした. 聖書と預言者とロブスターのマスコットを持つAIの宗教. もちろん、それはウイルスになった。 しかし、モルトブックが72時間で実際に実証したのは、自動エージェントは、セキュリティインフラのほとんどなしで大規模に展開することができるということでした。 彼らはハイジャックすることができます 彼らは武器化することができます 彼らは互いに攻撃することができます 彼らはプラットフォーム上の他のすべてのエージェントにアクセスするベクトルとして使用することができます、そして、これらのエージェントを通じて、すべてのユーザーのファイル、パスワード、および接続されたサービス。 テクノロジーは本物です。 能力は現実です コミュニティーの構築は現実です 現実ではありません まだ、それが継続的に、自主的に、そしてあなたのように実行されるときに、このような強力なソフトウェアを確保する方法の成熟した、業界全体の理解です。 OpenClaw はこの問題を引き起こさなかった。Moltbook はこの問題を引き起こさなかった。 次の48時間は業界が何かを学んだかどうかを教えてくれるだろう。