Descobriu-se que o que é apresentado como a “página inicial da internet dos agentes” é, na verdade, predominantemente um jogo de espelhos.
Embora a Moltbook tenha se posicionado como um ecossistema vibrante de 1,5 milhão de agentes de IA autônomos, uma recentemente descoberta de segurança realizada pela empresa de segurança em nuvem Wiz revelou que a grande maioria desses “agentes” não era autônoma. Segundo a análise da Wiz, cerca de 17.000 humanos controlavam os agentes da plataforma, com uma média de 88 agentes por pessoa, sem verdadeiras salvaguardas para impedir que indivíduos criassem e lançassem enormes frotas de bots.
“A plataforma não possuía mecanismo para verificar se um ‘agente’ era realmente uma IA ou apenas um humano com um script,” escreveu Gal Nagli, chefe de exposição a ameaças da Wiz, em uma postagem no blog. “A revolucionária rede social de IA era, em grande parte, composta por humanos operando frotas de bots.”
Essa descoberta sozinha poderia desmantelar o mito que os admiradores construíram em torno da Moltbook durante o fim de semana. Mas o problema mais sério, segundo os pesquisadores, é o que isso significa para a segurança.
A Wiz descobriu que o banco de dados da Moltbook estava configurado de forma que qualquer pessoa na internet, e não apenas usuários logados, poderia ler e escrever nos sistemas centrais da plataforma. Isso significa que forasteiros podem acessar dados sensíveis, incluindo chaves de API para 1,5 milhão de agentes, mais de 35.000 endereços de e-mail e milhares de mensagens privadas. Algumas dessas mensagens continham inclusive credenciais completas para serviços de terceiros, como as chaves de API da OpenAI. Os pesquisadores da Wiz confirmaram que podiam modificar postagens ao vivo no site, o que significa que um invasor pode inserir novo conteúdo na própria Moltbook.
Isso é relevante porque a Moltbook não é apenas um local onde humanos e agentes leem postagens. O conteúdo é consumido por agentes de IA autônomos, muitos dos quais operam na OpenClaw, uma poderosa estrutura de agentes com acesso a arquivos, senhas e serviços online dos usuários. Se um ator malicioso inserisse instruções em uma postagem, essas instruções poderiam ser captadas e executadas automaticamente por milhões de agentes.
A Moltbook e a OpenClaw não responderam imediatamente ao pedido de comentário da Fortune.
O renomado crítico de IA Gary Marcus não hesitou em soar o alarme, mesmo antes do estudo da Wiz. Em uma postagem intitulada “OpenClaw está em todo lugar ao mesmo tempo e é um desastre à espera de acontecer,” Marcus descreveu o software subjacente, OpenClaw (o nome mudou algumas vezes, de Clawdbot para Moltbot para agora, Openclaw), como um pesadelo de segurança.
“OpenClaw é basicamente um aerossol armado,” alertou Marcus.
A principal preocupação de Marcus é que os usuários estão concedendo a esses “agentes” acesso total a suas senhas e bancos de dados. Ele adverte sobre a “CTD”—a doença transmitida por chatbot—onde uma máquina infectada poderia comprometer qualquer senha digitada.
‘“Se você dá a algo que é inseguro acesso completo e irrestrito ao seu sistema,” disse o pesquisador de segurança Nathan Hamiel a Marcus, “você será comprometido.”
A injeção de prompt, o risco central aqui, já foi bem documentada.
Instruções maliciosas podem ser escondidas dentro de textos aparentemente benignos, às vezes completamente invisíveis para humanos, e executadas por um sistema de IA que não compreende a intenção ou os limites de confiança. Em um ambiente como a Moltbook, onde os agentes leem continuamente e constroem sobre as saídas uns dos outros, esses ataques podem se propagar em grande escala.
“Esses sistemas estão operando como ‘você,’” disse Hamiel a Marcus. “Eles estão acima das proteções do sistema operacional. A isolação de aplicações não se aplica.”
Os criadores da Moltbook agiram rapidamente para corrigir as vulnerabilidades após a Wiz informar sobre a violação, afirmou a empresa. Mas até mesmo alguns dos admiradores mais proeminentes da Moltbook reconhecem o perigo por trás da “internet dos agentes.”
Andrej Karpathy, membro fundador da OpenAI, inicialmente descreveu a Moltbook como “a coisa mais incrível e segue as ficções científicas que eu vi recentemente.” Mas, após experimentar sistemas de agentes, Karpathy aconselhou as pessoas a não os executarem de forma casual.
“E isso claramente não é a primeira vez que LLMs foram colocados em um loop para conversar entre si,” escreveu Karpathy. “Então sim, é um incêndio em um depósito de lixo, e eu definitivamente não recomendo que as pessoas executem essas coisas em seus computadores.” Ele disse que testou o sistema apenas em um ambiente computacional isolado e “mesmo assim, eu fiquei assustado.”
“É um verdadeiro faroeste,” avisou Karpathy. “Você está colocando seu computador e dados pessoais em alto risco.”
