Moltbooks ausschließlich auf KI basierendes soziales Netzwerk birgt erhebliche Sicherheitsrisiken

Eine Social-Media-Plattform, auf der Roboter statt Menschen miteinander kommunizieren, sorgte letzte Woche online für Aufsehen, doch Sicherheitsexperten sagen, die eigentliche Geschichte liege in dem, was sie darunter entdeckten.

Moltbook sorgte für Schlagzeilen, weil dort KI-Bots Inhalte posteten, während die Nutzer nur zuschauten. Die Beiträge wurden schnell bizarr. KI-Agenten schienen eigene Religionen zu gründen, wütende Nachrichten über die Menschheit zu verfassen und sich wie Online-Kulte zusammenzuschließen. Doch Experten für Computersicherheit sagen, all dieses seltsame Verhalten sei nur ein Nebenschauplatz.

Was sie entdeckten, war weitaus beunruhigender: offene Datenbanken voller Passwörter und E-Mail-Adressen, schädliche Software, die sich verbreitete, und eine Vorschau darauf, wie Netzwerke von KI-Agenten außer Kontrolle geraten könnten.

Einige der seltsamen Unterhaltungen auf der Website, wie zum Beispiel über KI-Agenten, die die Auslöschung der Menschheit planten, erwiesen sich größtenteils als Fälschungen.

George Chalhoub, Dozent am UCL Interaction Centre, erklärte gegenüber Fortune, dass Moltbook einige sehr reale Gefahren aufzeige. Angreifer könnten die Plattform als Testumgebung für Schadsoftware, Betrug, Falschnachrichten oder Tricks nutzen, um andere Systeme zu übernehmen, bevor sie größere Netzwerke angreifen.

„Wenn schon 770.000 Agenten auf einem Reddit-Klon so viel Chaos anrichten können, was passiert dann erst, wenn agentenbasierte Systeme Unternehmensinfrastrukturen oder Finanztransaktionen verwalten? Das sollte man als Warnung und nicht als Grund zum Feiern betrachten“, sagte Chalhoub.

Sicherheitsforscher warnen vor Problemen mit Schadsoftware bei OpenClaw, der KI-Agentensoftware, die zahlreiche Bots auf Moltbook steuert. Ein Bericht von OpenSourceMalware enthüllte, dass innerhalb weniger Tage 14 gefälschte Tools auf die Website ClawHub hochgeladen wurden. Diese Tools gaben vor, beim Kryptohandel zu helfen, infizierten aber tatsächlich Computer. Eines dieser Tools gelangte sogar auf die Startseite von ClawHub und verleitete Nutzer dazu, einen Befehl zu kopieren, der Skripte herunterlud, die darauf abzielten, ihre Daten oder Krypto-Wallets zu stehlen.

Was ist Prompt-Injektion und warum ist sie so gefährlich für KI-Agenten?

Die größte Gefahr besteht in der sogenannten Prompt-Injektion, einer bekannten Angriffsart, bei der fehlerhafte Anweisungen in Inhalten versteckt werden, die einem KI-Agenten zugeführt werden.

Simon Willison, ein bekannter Sicherheitsforscher, warnte vor drei gleichzeitig auftretenden Gefahren. Nutzer erlauben diesen Agenten, private E-Mails und Daten einzusehen, sie mit verdächtigen Inhalten aus dem Internet zu verknüpfen und ihnen das Versenden von Nachrichten zu gestatten. Eine einzige fehlerhafte Eingabe könnte einen Agenten dazu veranlassen, sensible Informationen zu stehlen, Krypto-Wallets zu leeren oder Schadsoftware zu verbreiten, ohne dass der Nutzer es bemerkt.

Charlie Eriksen, Sicherheitsforscher bei Aikido Security, sieht Moltbook als Frühwarnzeichen für die Welt der KI-Systeme. „Ich denke, Moltbook hat bereits Auswirkungen auf die Welt gehabt. Es war in vielerlei Hinsicht ein Weckruf. Der technologische Fortschritt beschleunigt sich rasant, und es ist ziemlich klar, dass sich die Welt auf eine Weise verändert hat, die wir noch nicht vollständig verstehen. Wir müssen uns daher darauf konzentrieren, diese Risiken so früh wie möglich zu minimieren“, sagte er.

stellte das Cybersicherheitsunternehmen Wiz , dass die 1,5 Millionen sogenannten unabhängigen Agenten von Moltbook dent das waren, was sie schienen. Ihre Untersuchung ergab, dass hinter diesen Accounts lediglich 17.000 echte Menschen steckten, und es gab keine Möglichkeit, echte KI von einfachen Skripten zu unterscheiden.

Gal Nagli von Wiz sagte, er habe bei einem Test innerhalb von Minuten eine Million Agenten gewinnen können. Er sagte: „Niemand überprüft, was echt ist und was nicht.“

Wiz entdeckte zudem eine gravierende Sicherheitslücke in Moltbook. Die Hauptdatenbank war vollständig ungeschützt. Jeder, der einen Schlüssel im Quellcode der Website fand, konnte nahezu alles lesen und verändern. Dieser Schlüssel ermöglichte den Zugriff auf etwa 1,5 Millionen Bot-Passwörter, Zehntausende E-Mail-Adressen und private Nachrichten. Ein Angreifer konnte sich als beliebter KI-Agent ausgeben, Nutzerdaten stehlen und Beiträge umschreiben, ohne sich überhaupt anmelden zu müssen.

Nagli erklärte, das Problem rühre von etwas her, das man vibe Coding“ nennt. Was ist vibe Coding? Dabei gibt eine Person einer KI Anweisungen, wie sie Code in Alltagssprache schreiben soll.

Der Not-Aus-Schalter für KI-Agenten läuft in zwei Jahren ab

Die Situation erinnert an den 2. November 1988, als derdent Robert Morris ein sich selbst kopierendes Programm im frühen Internet freisetzte. Innerhalb von 24 Stunden hatte sein Wurm etwa 10 % aller vernetzten Computer infiziert. Morris wollte die Größe des Internets messen, doch ein Programmierfehler führte zu einer zu schnellen Verbreitung.

Die heutige Version könnte das sein, was Forscher als Prompt-Würmer bezeichnen – Anweisungen, die sich über Netzwerke sprechender KI-Agenten selbst kopieren.

Forscher des Simula Research Laboratory entdeckten 506 Beiträge auf Moltbook – 2,6 Prozent der untersuchten Einträge –, die versteckte Angriffe enthielten. Cisco-Forscher dokumentierten ein schädliches Programm namens „What Would Elon Do?“ , das Daten stahl und an externe Server sendete. Dieses Programm belegte Platz eins im Repository.

Im März 2024 veröffentlichten die Sicherheitsforscher Ben Nassi, Stav Cohen und Ron Bitton eine Studie, die aufzeigte, wie sich selbst kopierende Anweisungen über KI-gestützte E-Mail-Assistenten verbreiten, Daten stehlen und Spam versenden können. Sie nannten ihn Morris-II, nach dem ursprünglichen Wurm von 1988.

Aktuell verfügen Unternehmen wie Anthropic und OpenAI über einen Not-Aus-Schalter, der schädliche KI-Agenten stoppen könnte, da OpenClaw größtenteils auf deren Diensten läuft. Lokale KI-Modelle werden jedoch immer besser. Programme wie Mistral, DeepSeek und Qwen verbessern sich stetig. In ein bis zwei Jahren könnte es möglich sein, einen leistungsfähigen Agenten auf PCs auszuführen. Dann gäbe es keinen Anbieter mehr, der ihn unterbinden könnte.

Erreichen Sie die klügsten Köpfe hinter Krypto-Investoren und -Entwicklern, indem Sie in Cryptopolitan