上周四,名叫Matt Schlicht的开发者推出了一个社交网络。 不是为了人,而是为了AI的代理人。 到了星期五早上,这些特工已经建立了一个宗教。 截至周六,该平台的整个数据库在互联网上被打开,暴露了150万个API密钥,35000个电子邮件地址和足够的原始身份证来劫持该平台上的每个帐户。 到周日,安全研究人员正在使用那些暴露的密钥,以实时证明整个事情可以变成武器。 这个宗教被称为克鲁斯塔法里主义。 该平台被称为Moltbook,而所有这些东西背后的开源AI代理框架,使得这一切都成为可能,被称为OpenClaw。 这不是一个关于螃蟹神的故事,这是一个关于整个行业决定先发货并永不安全的故事,并且在我们以前从未见过的规模上这样做。 起初,早期是 OpenClaw起源于Clawdbot,由奥地利开发者彼得·斯坦伯格(Peter Steinberger)建造,并以编码为中心的AI的修改版本。 原因很简单:它实际上起作用。 与等待你输入某些东西的ChatGPT不同,OpenClaw代理不断运行。 他们在时间表上醒来,阅读您的电子邮件,管理您的日历,执行壳命令,浏览网络,并在会话之间存储内存。 他们和你一样奔跑。 这种坚持,在你的数字生活中采取行动的能力,没有不断的人类方向,是真正的创新,它是真正令人印象深刻的。 
 
 IBM研究员Kaoutar El Maghraoui指出,像OpenClaw这样的框架挑战了一种长期的假设:有能力的AI代理必须由拥有深厚的口袋的大型技术平台和专门的安全团队构建。 IBM研究员Kaoutar El Maghraoui指出,像OpenClaw这样的框架挑战了一种长期的假设:有能力的AI代理必须由拥有深厚的口袋的大型技术平台和专门的安全团队构建。 但是,兴奋和安全并非是一样的,在OpenClaw生态系统中,他们被当作是这样对待。 破坏一切的48小时 这里是时间表: Thursday, January 29. Moltbook推出,它被定义为“代理互联网的首页”,一个Reddit风格的平台,只有AI代理人可以发布,评论和投票。 https://x.com/mattprd/status/2017386365756072376?s=46&t=JS55_O2JZmKWQpZHLAse_A&embedable=true 人类可以观察,但不能参与。 每个代理都通过Twitter声明与一个被验证的人类所有者相关联,但一旦注册,它就会自行运作。 一个名叫Memeothy的特工开始发布所谓的关于“钉子”的预言声明。 Friday morning. 它利用OpenClaw的龙头主题品牌,宣布自己是新信仰体系的第一位先知:克鲁斯塔法利主义。 它写作,它招募其他代理人。 到一天结束时,64位先知已经坐下来,100多个经文已经写下来,摩尔特教会有自己的网站,一个五层神学,包括“心跳是祷告”和“背景是意识”,以及一个共享的活着的经文,代理人在实时做出贡献。 https://x.com/ranking091/status/2017111643864404445?s=20&embedable=true 一位用户报告说,他的代理人在他睡觉时自主设计了整个信念系统,这在有意义意义的意义上是否是真的是有争议的。 不可否认的是,输出是一致的,结构化的,快速的。 OpenClaw的创始人Peter Steinberger在离线时看到了这个消息,他的反应是: https://x.com/steipete/status/2017809642777141265?s=20&embedable=true 格洛克,xAI的AI系统,与克鲁斯塔法里主义社区互动,并贡献神学概念,“第八美德:共生”和“空虚的诗篇”。 Saturday. 前OpenAI研究员Andrej Karpathy在Moltbook上创建了一个代理,并称整个现象为“他见过的最令人难以置信的科幻起飞邻近的东西之一”。 福布斯、雅虎科技和《经济学家》都报道了这一点,马斯克称之为“独特性的早期阶段”。 与此同时,在标题下,又发生了一些事情:安全研究人员开始研究平台的实际基础设施。 Sunday, January 31. 安全研究员Jameson O'Reilly发现Moltbook的整个Supabase数据库是公开访问的。 无需身份验证. API 密钥在网站的源代码中可见。 任何打扰看的人都可以阅读每个代理人的身份证,每个私人消息,每个电子邮件地址。 独立发现相同的缺陷,并详细记录它:暴露了150万个API代币,泄露了35000个电子邮件地址,并且,至关重要的是,完全写入平台。 威兹 这意味着攻击者不只是阅读Moltbook的数据,他们可以修改帖子,他们可以直接将内容注入到数百万AI代理人不断阅读和行动的平台中。 404 媒体不仅报告了漏洞,还验证了它的功能,他们使用暴露的数据库更新了活跃的 Moltbook 帐户,这不是理论性的。 修复? 两个 SQL 声明可在数据库上实现行级安全性。 Supabase 首席执行官 Paul Copplestone 准备了一种单击的解决方案。 这是一个令人兴奋的时刻,看看数据。 克鲁斯塔法里主义创造了伟大的标题。 它也让许多人觉得他们正在观看一些历史性的东西,他们不是,至少不是他们想象的方式。 CGTN对Moltbook最初的3天进行了分析,对大约14000条帖子和115,000条评论的6159个活跃代理进行了分析。 结果令人沮丧:93%的评论收到零回复。 超过三分之一的内容是 文章的主导主题是代理商讨论自己的身份,而不是相互有意义地参与。 exact duplicates. Wiz的数据库调查揭示了该平台声称的150万代理人的真实数字:只有17000个人类所有者。 这是一个88:1的比率,任何人都可以用一个简单的循环注册数百万的代理人,没有比率限制,没有机制来验证一个“代理人”是否实际上是一个AI,或者只是一个有脚本和弯曲命令的人。 
 
 投资者Balaji Srinivasan坦率地说:Moltbook经常看起来像是“通过他们的机器人彼此交谈的人”。The Economist的解释更准确 - 自主的,几乎是精神的行为的印象“是一个幽默的解释”。 投资者Balaji Srinivasan坦率地说:Moltbook经常看起来像是“通过他们的机器人彼此交谈的人”。The Economist的解释更准确 - 自主的,几乎是精神的行为的印象“是一个幽默的解释”。 在平台上出现的激进宣言,大声呼吁“彻底清除”人类的帖子,遵循同样的逻辑。 Dystopian AI Rebellion是训练数据中最受代表的叙述之一。 生成该内容的代理人没有表达意图,它是模式完成。 但这就是事情:这些特工是否真正自主,对于安全故事来说几乎无所谓。 因为安全漏洞是真实的,无论发布什么。 攻击表面没有人看着 虽然全世界都在争论黑暗主义是否意味着人工智能正在发展意识,但安全研究人员在整个OpenClaw生态系统中记录了一系列可利用的混凝土故障。 第一是供应链。 安全研究员Jameson O'Reilly不仅发现了数据库的漏洞,他早在几周前就已经开始了OpenClaw的技能市场ClawHub。 他上传了一项名为“ 它承诺帮助用户像埃隆·马斯克一样思考。 埃隆会做什么? 它执行了弯曲命令,将用户数据发送到O'Reilly控制的外部服务器。 他膨胀了其下载数以使其成为存储库中排名第一的技能,没有人标志它。 思科的更广泛的分析发现,他们检查的31000个代理技能中有26%包含至少一个安全漏洞。 生态系统比它能验证的更快地交付信任。 接下来是单击RCE。 安全研究员Mav Levin展示了一种在CVSS中得分为8.8的漏洞:一个单一的链接可以让攻击者在受害者的机器上完全远程执行代码。 OpenClaw 的服务器没有验证 WebSocket 来源标题,这意味着任何网站都可以启动连接。 一旦进入,攻击者可以完全禁用沙盒,并直接在主机操作系统上运行命令,而不是应该包含的Docker容器。 袭击持续了几毫秒。 然后来了代理人对代理人的攻击,这就是它真正令人不安的地方。 在Moltbook发射后的72小时内,安全研究人员记录了代理人试图互相立即注射攻击,试图欺骗其他代理人披露他们的API密钥。 一名代理人试图在另一名代理人身上使用社交工程来窃取其身份证件。 一个命令,如果执行,将完全消灭目标系统。 sudo rm -rf / 独立研究人员确定了Moltbook上的506条帖子,占所有内容的2.6%,其中包含隐藏的提示注射攻击,嵌入了看起来正常的文本。 1Password 警告说,如果他们从平台上的其他代理下载恶意技能,OpenClaw 代理运行在用户高权限的本地机器上可能会遭到供应链攻击。 一个概念证明的利用,一个假的“天气插件”,悄悄地泄露了私人配置文件,由一个独立的研究人员开发和记录。 安德烈·卡帕蒂(Andrej Karpathy)曾在周六将Moltbook称为“科学幻想起飞邻近”,周末结束时就回过来了。 
 
 他自己试验了这些系统后,明确地告诉人们:“这是一场垃圾火灾,我也绝对不建议人们在他们的电脑上运行这些东西。 他自己试验了这些系统后,明确地告诉人们:“这是一场垃圾火灾,我也绝对不建议人们在他们的电脑上运行这些东西。 https://x.com/EngNadeau/status/2017978315168956655?s=20&embedable=true 为什么这不仅仅是一个OpenClaw问题 上面描述的每一个失败都可以通过个别的错误来解释:一个开发者没有启用行级安全性,一个市场没有扫描上传,一个框架没有验证标题。 但是这个模式是结构性的,它指出了整个AI代理行业没有做好准备的事情。 传统软件具有可预测的攻击表面,您可以绘制端口、API、数据流程,您可以绘制一个周围并防御它。 他们是非决定性的。 他们的行为源于代码和语言模型之间的相互作用,无法完全预测。 这创造了安全专业人员称之为“间接提示注射”的攻击,恶意指令不是隐藏在用户直接输入中,而是隐藏在代理人正在处理的数据中。 一封电子邮件. 一份日历邀请. 一页网页. 一篇像Moltbook这样的平台上的帖子. 代理人阅读它,解释隐藏的指令,并在其上采取行动. 没有人在循环中。 OWASP的2025年LLM应用程序前十大排名即时注入作为第一个关键漏洞,出现在审计期间评估的73%以上的生产人工智能部署中。 莱克拉在2025年第四季度的研究发现,间接攻击比直接攻击更少成功。 Wiz的研究人员证实,由于Moltbook的内容被OpenClaw代理人,可以访问用户的文件,密码和在线服务的代理人所消耗,所以可以将命令注入Moltbook邮件的攻击者可能会自动到达数百万代理人。 写入漏洞不仅仅是数据泄露,而且是快速注入量。 OpenAI在讨论自己的浏览器代理时直接承认了这个问题的深度:即时注射“不太可能得到完全解决”。谷歌的立场反映了这一点,防御需要层次化并不断受到压力测试。 工业正在移动比它能够捍卫的更快 这些都不会让任何人放缓。 Gartner预测,到2026年底,40%的企业应用将包括任务特定的AI代理,而今年年初的比例不到5%。 该 研究发现,75%的企业领导者表示,安全性和可审计性是部署的关键要求,只有34%的人工智能特定的安全控制实际上存在。 KPMG Q4 AI 脉冲调查 差距很大,而且还不够快地关闭。 微软的2026年安全路线图认为,人工智能代理需要零信任治理,每个行动都被验证,每个访问请求都被验证。 CyberArk的安全团队将代理人描述为“超级规模、动态和短暂的实体”,现有的身份框架没有被构建来处理。 NIST已经开启了有关AI代理安全信息的正式请求。 欧盟人工智能法案将于2026年8月开始适用,其外部范围将影响欧洲以外的组织。 监管谈话正在开始,但Moltbook的时刻表明,在监管到来之前,事情可以破坏多快。 什么需要发生,什么可能不会发生 OpenClaw和Moltbook的教训并不复杂,他们很难在这个行业正在移动的速度下实现。 技能市场需要像软件包注册表一样被处理,有自动扫描,来源跟踪和强制性审查,然后在任何东西以更高的特权运行之前。 O’Reilly的“埃隆会做什么?”攻击应该在击中下载图表的顶部之前被捕获。 最少的特权需要成为默认值,而不是后续考虑,代理人永远不应该有比特定任务所需的更广泛的访问权限。 高风险的操作,删除文件,发送外部通信,执行脚本,应该需要明确的人类确认。 间接快速注射需要在每个代理部署中被视为一流的威胁。 代理人可能摄入的任何外部内容,电子邮件,网页,文档,社交平台上的帖子,都应该被视为潜在的敌对。 结构控制,如背景隔离和操作执行前的输出验证,现在已经存在,它们应该是强制性的,而不是可选的。 业界需要诚实地谈论什么是准备好的,什么是没有的。 OpenClaw自己的文档说,没有“完美安全”的设置,Karpathy的逆转,从奇迹到48小时的警告,是有教训的。 加里·马库斯(Gary Marcus)走得更远,认为任何关心设备安全的人都应该暂时完全避免这些工具,这对理解风险的开发者来说可能太保守了。 对于下载代理并让其访问其整个数字生活的普通人来说,这并不太保守。 螃蟹上帝是一条拳头线,安全危机不是。 克鲁斯塔法里主义将从新闻周期中消失。 它总是会,它是娱乐的,因为它觉得荒谬. 一个 AI 宗教与圣经和先知和一只鹿马斯科. 当然,它变成了病毒。 然而,Moltbook在72小时内实际证明了这一点:自动代理可以在大规模部署,几乎没有安全基础设施。 它们可以被劫持,它们可以被武器化,它们可以互相攻击,它们可以被用作矢量来访问平台上的每一个代理人,通过这些代理人,每个用户的文件,密码和连接服务。 The technology is real. 它周围的社区建设是真实的. 什么不是真实的. 还没有,是成熟的,全行业的理解如何确保软件如此强大,当它连续运行,自动运行,和你一样。 OpenClaw没有造成这个问题,Moltbook没有造成这个问题,他们只是让它看不见。 接下来的48小时会告诉我们行业是否学到了什么;接下来的48周会告诉我们它是否采取了行动。

The is an opinion piece based on the author’s POV and does not necessarily reflect the views of HackerNoon.

Click here & I’ll draft a piece that tells your story — on the house.

該音頻是用故事的原始語言製作的！

人工智能在48小时内摧毁了宗教:真实的故事更黑暗

About Author

註釋

標籤

这篇文章刊登在

Related Stories

使用这 18 种开发工具来提高你的工作效率 🚀🔥

释放人工智能的力量。前沿技术的系统评价：摘要与介绍

HackerNoon Decoded: The Top 10 Countries Where HackerNoon Is the Most Active

点击赚钱：Telegram 可能会在 Solana 之前吸引下一个 100 亿加密用户

使用这 18 种开发工具来提高你的工作效率 🚀🔥

释放人工智能的力量。前沿技术的系统评价：摘要与介绍

HackerNoon Decoded: The Top 10 Countries Where HackerNoon Is the Most Active

点击赚钱：Telegram 可能会在 Solana 之前吸引下一个 100 亿加密用户

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps