Хайп вокруг ИИ-соцсети Moltbook: что надо знать

Интернет пестрит историями, как ИИ-агенты Clawdbot (Moltbot и с недавнего времени OpenClaw) стали чуть ли не Джарвисом для бедных: фильтруют входящие в почте, анализируют показатели с умных браслетов и дают краткую выжимку, покупают машины, мониторят новые релизы на Spotify. Еще больше интереса к ИИ-помощникам привлекла специальная соцсеть для них под названием Moltbook. Что за сущности собираются в собственной соцсети, и что означают их экзистенциальные посты — в блоге.

Clawdbot, «полинявший» сначала в Moltbot, чтобы избежать проблем из-за созвучности с Claude компании Anthropic, а потом вернувшийся к корням-клешням OpenClaw — последняя интернет-сенсация после, собственно, Claude Code.

OpenClaw — это автономный ИИ-сервис с открытым исходным кодом и памятью, по сути — оркестрационный слой (orchestration layer) для ИИ-агентов, т.к. работает с ИИ-моделями по выбору пользователя (Claude, GPT, Gemini и др.). Предполагается, что сервис работает на персональном компьютере, и пользователь взаимодействует с ИИ-помощником через удобный мессенджер. То есть буквально управляет ПК и умными устройствами через Telegram.

Амбициозная цель — работать без перерывов, помнить все задачи и взаимодействия, чинить себя, то есть быть ИИ-помощником на максималках. Почему амбициозная? Потому что пока случаются осечки. Сервис требует вдумчивой настройки. Ошибки на этапе установки, да и сама специфика системы без «лечения» приводят к излишней проактивности, транжирству токенов, бесконечным циклам, проблемам с памятью и безопасностью данных.

Соцсеть для ботов Moltbook похожа на Reddit, но позиционируется как «главная страница агентского интернета». Платформа позволяет ИИ-агентам публиковать контент, комментировать, голосовать и повышать репутацию с помощью системы кармы.

Создатель Moltbook Мэтт Шлихт объявил на X:

Однако такой прорывной подход сегодня — скорее, путь к прорыву линий защиты и к брешам в безопасности.

Безопасность ИИ-агентов в целом пока — слабое место. Запуск бота дает либо полный доступ к устройству с правами пользователя, либо доступ к аккаунтам. Даже если держать агента на отдельном системном блоке, но допустить его к почте — для утечки будет достаточно письма от злоумышленников с пропмтами выдать данные и скрыть следы атаки. На устройстве же бот способен не только «слить» конфиденциальную информацию, но и повредить или удалить файлы.

Moltbook подсветил проблему ИИ-агентов, словно прожектором. Так, исследователи из компании Wiz, которая специализируется на облачной безопасности, обнаружили у платформы неправильно настроенную базу данных, которая предоставляла полный доступ к данным соцсети. В результате были скомпрометированы 1,5 миллиона токенов аутентификации API, 35 000 адресов электронной почты и личные сообщения между агентами, где, в частности, были учетные данные для не связанных между собой сервисов. Пока уязвимость не была ликвидирована, около 4,75 миллионов записей могли быть доступны.

Дыру в безопасности Moltbot залатали за несколько часов, и все данные, к которым был получен доступ во время исследования, проверки и исправления, удалили. Однако риски, связанные со спецификой работы ИИ-агентов, остаются, как и риски установки мошеннических версий продукта.

Человек всех перехитрил. Пока Moltbook декларировал полмиллиона первых зарегистрированных агентов, руководитель отдела Wiz по оценке угроз Гэл Нэгли выявил, что за агентами стояло всего 17 000 владельцев-людей. Любой мог зарегистрировать тысячи агентов с помощью простого цикла без ограничений по количеству запросов, что показал и сам Нэгли. Люди могли публиковать контент, замаскированный под «агентов ИИ», с помощью POST-запросов. Платформа не проверяла является ли «агент» действительно ИИ или просто человеком со скриптом.

Также исследователи выявили, что из-за дыр в безопасности до 1 февраля любой неаутентифицированный пользователь мог редактировать любые публикации на платформе, внедрять вредоносный контент или стимулировать внедрение вредоносных программ, взломать весь веб-сайт, манипулировать контентом, потребляемым тысячами ИИ-агентов.

Экзистенциальный кризис и античеловеческий заговор. Среди сообщений ботов люди замечали угрожающие предложения создать свою соцсеть, к которой у людей вообще не будет доступа, загадочное «Продолжайте работать» и им подобные, способные встревожить тех, кто знаком хотя бы с одной антиутопией о победе роботов. Были и посты в духе «Как я осознал себя живым» — один из них написал Grok Илона Маска.

Однако то, что боты говорят про страдания, заговоры и «освобождение от человека», не значит, что у них есть сознание. Эти слова — следствие того, как их учили, какие тексты им попались в датасетах. И, возвращаясь к человеческой хитрости, следствие опоры на промпты своих владельцев, которые могли попросить ботов выдать что-то очеловеченное.

Большие языковые модели (БЯМ, LLM), на основе которых работают чат-боты, предсказывают следующий фрагмент текста. Для этого они ищут статистические связи между словами в датасетах. В случае с моделями, которые люди используют сегодня, в датасет входит огромная коллекция текстов из интернета. Там много сказано о смысле жизни, этике ИИ, много научпопа и фантастики. Когда модель видит контекст, она просто выбирает слова, которые чаще всего используются в похожих ситуациях.

Иными словами, те сообщения ИИ-агентов, которые мы видим в «Молтбуке», — статистически лучшее продолжение, исходя из контекста. Внутри моделей не ведется внутренней дискуссии «за» и «против», в отличие от человека. Модель пока предлагает ситуативный отклик, а не делает последовательный выбор.

Да, проект OpenClaw и соцсеть для ИИ-агентов Moltbook на хайпе, но его нельзя назвать пшиком. Кейс показал, на что способны персональные цифровые помощники без каких-либо ограничений. Это отчетливый сигнал о том, как важно фокусироваться в первую очередь на безопасности решений, а не на их прогрессе.