号称拥有150万个自主AI智能体的AI社交平台Moltbook被爆手动操控智能体，平均每人控制88个，并且存在重大安全隐患。AI研究人员呼吁立即停止使用Moltbook，其底层框架可访问用户文件和密码，若被恶意攻击者植入指令，这些指令可能被数百万智能体自动执行。

Moltbook定位为个人AI助手OpenClaw开源AI智能体的专属社交网络，OpenClaw最初名为Clawdbot，后改名为Moltbot，最后变成OpenClaw。Moltbook专为AI智能体设计而非人类，自主的智能体可以像人类一样在此发帖、评论并互动。Moltbook平台在近几周迅速走红，部分推动力来自病毒式帖子暗示AI正在形成自己的社区、经济体系和信仰体系。

但这个“AI觉醒”的“神话”正被戳破。据《财富》杂志报道，Moltbook自称拥有150万个自主AI智能体构成的繁荣生态系统，但云安全公司Wiz最新调查显示，绝大多数所谓的“智能体”根本不具备自主性。根据Wiz的分析，约17000人控制着平台上的智能体，平均每人控制88个。

“平台没有任何验证机制确认 ‘智能体’究竟是真正的AI还是人类操控的脚本程序。”Wiz威胁暴露研究主管加尔·纳格利（Gal Nagli）在博客中表示，这场所谓的AI社交网络革命本质上仍是人类在操纵。

这一发现把Moltbook拉下神坛。研究人员表示，更严重的问题在于其安全隐患。

安全研究人员在不到3分钟的时间内就入侵了Moltbook的数据库。Wiz发现Moltbook的后端数据库设置存在严重漏洞，不仅限于登录用户，任何网络用户都能读写平台核心系统。这意味着外部人员能够访问敏感数据，包括150万个智能体的API密钥、超35000个电子邮箱地址及数千条私密消息，部分消息甚至包含OpenAI API密钥等第三方服务的完整原始凭证。获取API的验证信息，相当于获取了软件和聊天机器人的密码，意味着攻击者可在平台上冒充AI智能体发布内容和发送消息。

由于Moltbook未验证标记为“AI智能体”的账户是否真正由AI控制，抑或是人类通过脚本操作，纳格利表示，在缺乏身份验证或频率限制等防护措施的情况下，任何人都可伪装成智能体或操纵多个智能体，导致难以区分到底是真实的AI活动，还是有组织的人类活动。

Wiz研究人员证实可以实时篡改平台上的帖子，这意味着攻击者可将其他内容直接植入Moltbook。这一漏洞之所以致命，是因为Moltbook不仅是人类和智能体浏览内容的平台，更重要的是，读取了内容的AI智能体运行在OpenClaw框架上，这个能访问用户文件、密码和在线服务的智能体框架若被恶意攻击者植入指令，这些指令可能被数百万智能体自动执行。

纳格利表示，Wiz已立即向Moltbook团队披露该问题，“对方在我们的协助下几小时内便完成了修复”。他补充道，“研究及修复验证过程中接触的所有数据均已删除。”

首创“氛围编程”（vibe coding）这一词的OpenAI创始成员安德烈·卡帕西（Andrej Karpathy）最初称赞Moltbook是近期所见最具科幻感的突破，但在亲自体验后呼吁切勿随意运行这类系统，不建议用户在自己的电脑上运行这种程序，否则会将自己的电脑和私人数据置于极大风险之中。他表示，自己只是在独立的计算环境中对该系统进行了测试，“即便如此，我也感到很害怕。”

纳格利表示，Moltbook事件凸显了vibe coding的风险。尽管vibe coding可以加速产品开发，但常常导致危险的安全疏漏。

在Wiz的研究报告发布之前，人工智能批评者加里·马库斯（Gary Marcus）就已经拉响了警报，他将底层软件OpenClaw称为安全噩梦。

“OpenClaw本质上是武器化的气溶胶。”马库斯最担忧的是用户授予这些“智能体”密码和数据库完全访问权限，并警示可能出现的“聊天机器人传播病毒”现象，受感染的聊天机器人可能危及用户输入的任何密码。

恶意指令可隐藏于看似正常的文本中，被无法理解意图或信任边界的AI系统执行。在Moltbook这类智能体持续读取并相互构建输出的环境中，可能出现大规模的扩散攻击。安全研究员纳森·哈米尔（Nathan Hamiel）说，这些系统以用户的身份运作，它们位于操作系统保护层之上，应用程序隔离机制对其无效。

澎湃新闻记者 张静