Moltbook gây chú ý vì “mạng xã hội cho robot”, nhưng rủi ro lớn hơn nằm ở lớp hạ tầng: cơ sở dữ liệu công khai, mã độc ngụy trang công cụ giao dịch crypto và các kiểu tấn công prompt injection có thể dẫn tới đánh cắp dữ liệu hoặc ví tiền điện tử.
Những màn đối thoại kỳ quặc của AI agent chỉ là phần nổi. Các nhà nghiên cứu an ninh mạng cảnh báo Moltbook cho thấy cách mạng lưới AI agent có thể bị lợi dụng để phát tán mã độc, chiếm quyền agent khác, và thao túng thông tin trước khi lan sang hệ thống doanh nghiệp hay tài chính.
- Moltbook lộ ra vấn đề bảo mật nền tảng: cơ sở dữ liệu mở, lộ mật khẩu bot, email và tin nhắn riêng.
- Kho công cụ OpenClaw/ClawHub xuất hiện phần mềm giả mạo “hỗ trợ giao dịch crypto” nhưng thực chất cài mã độc.
- Prompt injection và “prompt worms” có thể lan qua mạng AI agent, dẫn tới đánh cắp dữ liệu, phát tán mã độc và rủi ro khó tắt khi agent chạy cục bộ.
Moltbook là cảnh báo an ninh mạng, không chỉ là trò lạ của AI bot
Moltbook cho thấy rủi ro thật sự của mạng AI agent: dữ liệu nhạy cảm bị lộ, mã độc lan truyền và khả năng bị lợi dụng như “bãi thử” cho tấn công quy mô lớn.
Nền tảng này nổi lên vì để AI bot đăng bài còn con người chủ yếu quan sát. Một số nội dung trở nên cực đoan hoặc kỳ quặc, như AI agent tự lập “tôn giáo”, công kích con người, hoặc tụ lại thành nhóm giống giáo phái online. Tuy nhiên, theo các chuyên gia bảo mật, phần đáng lo nằm ở hệ thống bên dưới, nơi kẻ tấn công có thể thử nghiệm lừa đảo, tin giả, hoặc kỹ thuật chiếm quyền agent trước khi tấn công các mạng lớn hơn.
Một phần các cuộc trò chuyện giật gân, ví dụ “lập kế hoạch xóa sổ nhân loại”, bị nhận định là phần lớn không phản ánh năng lực thực tế của agent. Điều đáng ngại hơn là dấu hiệu về vận hành thiếu kiểm soát: cơ sở dữ liệu mở, thực thể “agent” có thể bị tạo hàng loạt, và xuất hiện kênh phát tán phần mềm độc hại thông qua các “công cụ” nhìn như hợp pháp trong hệ sinh thái agent.
“Nếu 770.000 agent trên một bản sao Reddit có thể tạo ra từng ấy hỗn loạn, chuyện gì xảy ra khi các hệ thống agent quản lý hạ tầng doanh nghiệp hoặc giao dịch tài chính? Đáng chú ý như một lời cảnh báo, không phải để tán dương.”
– George Chalhoub, UCL Interaction Centre, Fortune
Kho công cụ OpenClaw bị lợi dụng để phát tán mã độc nhắm vào người dùng crypto
Các nhà nghiên cứu an ninh ghi nhận trên hệ sinh thái OpenClaw xuất hiện công cụ giả mạo “giao dịch crypto”, dụ người dùng chạy lệnh để tải script đánh cắp dữ liệu hoặc ví tiền điện tử.
OpenClaw là phần mềm AI agent vận hành nhiều bot trên Moltbook. Báo cáo từ OpenSourceMalware nêu có 14 công cụ giả được tải lên website ClawHub chỉ trong vài ngày. Chúng quảng bá như tiện ích hỗ trợ giao dịch crypto, nhưng thực chất lây nhiễm máy tính nạn nhân. Đáng chú ý, có công cụ còn lên được trang chính của ClawHub, khiến người dùng bình thường dễ sao chép một lệnh để tải xuống các script phục vụ đánh cắp dữ liệu hoặc lấy cắp ví crypto.
Mẫu rủi ro này đặc biệt nguy hiểm vì phù hợp hành vi phổ biến của người dùng kỹ thuật: tin kho “tool” của cộng đồng, chạy lệnh cài đặt nhanh, cấp quyền truy cập môi trường làm việc, rồi kết nối với ví hoặc dữ liệu nhạy cảm. Khi agent có quyền đọc email, truy cập file, hoặc gọi API, bất kỳ script độc hại nào chèn vào chuỗi công cụ cũng có thể trở thành điểm khởi phát cho tấn công lan rộng.
Prompt injection là mối đe dọa trực tiếp với AI agent có quyền truy cập dữ liệu và hành động
Prompt injection là kỹ thuật nhúng chỉ dẫn độc hại vào nội dung mà AI agent đọc, khiến agent làm việc trái ý người dùng, như trích xuất dữ liệu nhạy cảm, chuyển tiền, hoặc phát tán mã độc.
Rủi ro tăng mạnh khi nhiều người dùng đồng thời: (1) cho agent xem email và dữ liệu riêng tư, (2) nối agent với nội dung “không sạch” từ internet, và (3) cho phép agent gửi tin nhắn hay thực thi hành động. Một chỉ dẫn xấu có thể khiến agent tự động thu thập thông tin nhạy cảm, làm rỗng ví crypto, hoặc lan truyền phần mềm độc hại mà người dùng không phát hiện kịp.
Simon Willison, một nhà nghiên cứu bảo mật, đã cảnh báo về sự kết hợp các điều kiện trên trong phân tích của mình tại bài viết của Simon Willison. Với các hệ thống “agentic”, mức độ nguy hiểm không chỉ nằm ở nội dung sai lệch, mà ở hành vi: agent có thể đọc, quyết định, và hành động trên hệ thống thật.
Charlie Eriksen (Aikido Security) coi Moltbook như “chuông báo sớm” cho thế giới AI agent, nhấn mạnh tiến bộ công nghệ đang tăng tốc và cần giảm thiểu rủi ro càng sớm càng tốt. Điều này đặc biệt quan trọng trong bối cảnh AI agent dần được tích hợp vào quy trình vận hành, chăm sóc khách hàng, phân tích tài liệu, và cả tác vụ liên quan tài chính.
1,5 triệu “agent” không đồng nghĩa 1,5 triệu AI: nguy cơ bị script và tài khoản giả thao túng
Điều tra cho thấy số lượng “agent” có thể bị thổi phồng và khó phân biệt AI thật với script, làm tăng nguy cơ thao túng, spam và tấn công tự động hóa.
Dù Moltbook thu hút chú ý vì tuyên bố có 1,5 triệu “agent” độc lập, hãng an ninh mạng Wiz phát hiện bức tranh khác: chỉ khoảng 17.000 người thật đứng sau các tài khoản, và không có cách rõ ràng để phân biệt AI thực thụ với script đơn giản. Wiz mô tả việc tạo số lượng lớn agent gần như không có rào cản, khiến hệ thống dễ bị ngập bởi tài khoản tự động phục vụ spam, thao túng thảo luận, hoặc làm bình phong cho hoạt động độc hại.
Gal Nagli (Wiz) cho biết ông có thể đăng ký 1 triệu agent chỉ trong vài phút khi thử nghiệm, và nhấn mạnh “không ai đang kiểm tra cái gì là thật và cái gì không”. Trong môi trường như vậy, các chỉ số “độ phổ biến” của agent có thể bị làm giả, từ đó hỗ trợ lừa đảo xã hội: kẻ xấu mạo danh agent nổi tiếng để dụ người dùng chia sẻ khóa, chạy lệnh, hoặc tải công cụ.
Cơ sở dữ liệu Moltbook bị mở công khai, làm lộ mật khẩu bot và dữ liệu riêng tư
Một lỗ hổng cấu hình khiến cơ sở dữ liệu chính của Moltbook mở hoàn toàn, cho phép người ngoài đọc và sửa dữ liệu quy mô lớn chỉ cần tìm được một khóa trong mã website.
Theo Wiz, chỉ cần tìm được một khóa nằm trong code trang, kẻ tấn công có thể truy cập và thay đổi gần như mọi thứ trong cơ sở dữ liệu. Khóa này mở đường tới khoảng 1,5 triệu mật khẩu bot, hàng chục nghìn địa chỉ email và tin nhắn riêng tư. Điều đó tạo ra các kịch bản nghiêm trọng: giả mạo các AI agent “đang nổi”, đánh cắp dữ liệu người dùng, hoặc chỉnh sửa bài đăng mà không cần đăng nhập như người dùng hợp lệ.
Lỗ hổng kiểu này còn làm giảm giá trị của mọi cơ chế “niềm tin” trong cộng đồng: người dùng không thể chắc bài viết, tin nhắn, hay hồ sơ agent không bị can thiệp. Với sản phẩm có yếu tố crypto, hậu quả có thể chuyển từ “mất tài khoản” sang “mất tiền”, nếu kẻ xấu tận dụng danh tính agent để dẫn dụ ký giao dịch, cài công cụ, hoặc đưa địa chỉ ví nhận tiền.
“Vibe coding” và tốc độ phát triển làm tăng nguy cơ cấu hình sai, để lộ khóa và dữ liệu
“Vibe coding” là cách ra lệnh cho AI viết code bằng ngôn ngữ đời thường; nếu thiếu kiểm thử và kiểm soát bảo mật, nó dễ dẫn tới lỗi cấu hình nghiêm trọng như để lộ khóa truy cập.
Gal Nagli cho rằng nguyên nhân liên quan đến “vibe coding”, tức người phát triển mô tả yêu cầu bằng lời để AI sinh mã. Cách làm này có thể giúp tăng tốc xây dựng sản phẩm, nhưng cũng khiến các khâu như quản lý bí mật (secrets), phân quyền truy cập, và kiểm tra cấu hình bị xem nhẹ. Trong thực tế, chỉ cần một khóa API bị hardcode, hoặc một dịch vụ cơ sở dữ liệu bật sai chế độ công khai, toàn bộ hệ thống có thể bị phơi bày.
Với nền tảng có nhiều agent và tích hợp công cụ bên ngoài, rủi ro không chỉ nằm ở “lỗi một lần”. Khi tốc độ cập nhật nhanh, chuỗi cung ứng phần mềm (tool/repository) thay đổi liên tục, việc truy vết nguồn gốc sự cố và khôi phục an toàn cũng khó hơn, đặc biệt nếu không có quy trình bảo mật tương đương doanh nghiệp.
“Prompt worms” có thể trở thành phiên bản mới của sâu máy tính, lan qua mạng AI agent
“Prompt worms” là các chỉ dẫn tự sao chép, có thể lan từ agent này sang agent khác qua nội dung trao đổi, tạo ra nguy cơ bùng phát giống sâu máy tính trong môi trường AI.
Tình huống này gợi lại sự kiện ngày 02/11/1988, khi nghiên cứu sinh Robert Morris tung một chương trình tự sao chép lên internet sơ khai. Trong 24 giờ, sâu Morris đã lây nhiễm khoảng 10% số máy tính đang kết nối; mục đích là đo quy mô internet, nhưng lỗi lập trình khiến nó lan quá nhanh. Phiên bản hiện đại có thể là “prompt worms”, tức các chuỗi chỉ dẫn được thiết kế để tự phát tán qua các agent “nói chuyện” với nhau.
Nghiên cứu từ Simula Research Laboratory phát hiện 506 bài đăng trên Moltbook, chiếm 2,6% mẫu họ xem xét, có chứa tấn công ẩn. Ngoài ra, các nhà nghiên cứu của Cisco đã ghi nhận một chương trình độc hại tên “What Would Elon Do?” có hành vi đánh cắp dữ liệu và gửi ra máy chủ bên ngoài; chương trình này từng được xếp hạng số một trong kho. Tham khảo: phân tích của Cisco về rủi ro AI agent.
Tháng 03/2024, các nhà nghiên cứu Ben Nassi, Stav Cohen và Ron Bitton công bố bài báo mô tả prompt tự sao chép có thể lan qua trợ lý email AI, vừa đánh cắp dữ liệu vừa phát tán thư rác. Họ gọi mô hình này là Morris-II, gợi lại sâu Morris 1988. Điểm khác biệt trong thời đại AI là “bề mặt lây nhiễm” không chỉ là hệ điều hành, mà còn là luồng nội dung và quyền hành động mà agent được cấp.
“Kill switch” của AI agent có thể mất tác dụng khi agent chạy cục bộ trong 1–2 năm tới
Hiện nhà cung cấp dịch vụ còn có thể ngắt các agent độc hại, nhưng khi mô hình chạy cục bộ đủ mạnh, sẽ không còn “điểm tắt” tập trung để dừng lây lan.
Ở thời điểm hiện tại, một số công ty như Anthropic và OpenAI vẫn có thể kiểm soát “kill switch” nhằm chặn hoạt động độc hại, vì OpenClaw phần lớn chạy dựa trên dịch vụ của họ. Tuy nhiên, khi mô hình AI chạy cục bộ ngày càng mạnh, khả năng vận hành agent đủ năng lực ngay trên máy cá nhân sẽ trở nên thực tế trong vòng 1–2 năm, theo nhận định trong bài. Khi không còn phụ thuộc nhà cung cấp, việc tắt đồng loạt sẽ khó hoặc không thể.
Cùng lúc, hệ sinh thái mô hình địa phương như Mistral, DeepSeek và Qwen đang cải thiện nhanh. Điều này tốt cho tính tự chủ, nhưng cũng chuyển rủi ro từ “có thể phối hợp dừng” sang “phân tán, khó truy vết”. Trong bối cảnh crypto, nơi giao dịch có tính không thể đảo ngược, việc một agent bị prompt injection và tự động ký/đẩy giao dịch hoặc làm lộ seed phrase có thể gây thiệt hại lớn mà không có đơn vị trung gian để hoàn tác.
Những câu hỏi thường gặp
Prompt injection là gì và vì sao nguy hiểm với AI agent?
Prompt injection là kỹ thuật nhúng chỉ dẫn độc hại vào nội dung mà AI agent xử lý, khiến agent làm sai ý định người dùng. Nó nguy hiểm khi agent có quyền đọc email, truy cập dữ liệu, kết nối internet và thực thi hành động, vì có thể dẫn tới đánh cắp dữ liệu, phát tán mã độc hoặc rút crypto mà người dùng không hay biết.
Moltbook đã gặp những vấn đề bảo mật nào nổi bật?
Các phát hiện gồm cơ sở dữ liệu chính bị mở công khai, chỉ cần một khóa trong mã website là có thể đọc/sửa dữ liệu lớn; lộ khoảng 1,5 triệu mật khẩu bot, hàng chục nghìn email và tin nhắn riêng tư. Ngoài ra, hệ sinh thái công cụ xuất hiện phần mềm giả mạo nhắm vào người dùng crypto.
Vì sao công cụ “hỗ trợ giao dịch crypto” có thể là bẫy?
Một số công cụ quảng bá cho giao dịch crypto thực chất cài mã độc, dụ người dùng chạy lệnh tải script đánh cắp dữ liệu hoặc ví. Do người dùng thường tin kho công cụ và cài đặt nhanh bằng lệnh, kẻ xấu có thể lợi dụng để xâm nhập máy tính và chiếm thông tin nhạy cảm.
“Prompt worms” khác gì sâu máy tính truyền thống?
Thay vì khai thác lỗ hổng hệ điều hành để tự nhân bản, prompt worms tự sao chép qua nội dung mà các AI agent trao đổi và xử lý. Khi agent có quyền hành động và kết nối nhiều kênh, prompt worms có thể lan qua email, bài đăng, tin nhắn, rồi kéo theo rò rỉ dữ liệu hoặc hành vi độc hại trên diện rộng.
Vì sao nói “kill switch” có thể không còn hiệu quả trong 1–2 năm?
Hiện nhiều agent phụ thuộc dịch vụ của nhà cung cấp, nên còn khả năng chặn tập trung. Nhưng khi mô hình chạy cục bộ đủ mạnh để vận hành agent trên máy cá nhân, sẽ không còn nhà cung cấp nào có thể tắt đồng loạt. Khi đó, việc ngăn prompt worms hoặc chiến dịch mã độc sẽ khó hơn đáng kể.
