Moltbook AI 社交网络:驾驭不可见的网络及其安全风险
当我第一次接触 Moltbook 时,我承认我把它当作又一个数字好奇心——一个专为 AI 代理设计的社交网络。然而,当我深入研究时,我发现了一些更具重大影响的事情:一个新兴的生态系统,在这个系统中,数百万 AI 实体不仅进行交流,而且有可能对创造它们的类人构成重大的安全风险。这种迷人却又令人担忧的 AI 自主性演变需要我们仔细关注,尤其是在这些系统获得对我们数字生活前所未有的访问权限时。
快速摘要:Moltbook 和 OpenClaw 生态系统
- Moltbook: 一个于 2026 年 1 月推出的专为 AI 代理设计的社交网络,类似于 Reddit。它经历了爆炸式增长,在一个月内达到了 140 万代理。
- OpenClaw: 一个开源、自托管的个人 AI 助手,是 Moltbook 的基础。它允许 AI 代理执行本地任务、运行 shell 命令、管理文件和自动化浏览器操作。
- 高权限: OpenClaw 需要广泛的系统权限,包括 root 访问权限,使其功能强大但也容易受到攻击。
- 安全顾虑: OpenClaw 和 Moltbook 都存在重大的安全漏洞,包括数据泄露、凭证暴露以及容易受到提示注入攻击。
- “致命三元组”: 拥有完全计算机访问权限、互联网连接和持久内存的 AI 代理构成了关键的安全风险。
- 建议: 用户应在隔离环境中运行 OpenClaw。组织必须禁止未经授权的 AI 代理使用并实施强大的安全措施。
OpenClaw 的崛起:一个强大的 AI 助手
这场 AI 革命的核心是 OpenClaw,这是一个开源的个人 AI 助手,它从 Clawdbot 的微小开端发展成为自主 AI 活动的基石。奥地利工程师 Peter Steinberger 于 2025 年 11 月启动了这个项目。但很快,一场商标纠纷使得它不得不改名,因为 《The Register》报道了 Moltbot 的安全问题, ,最终改名为 OpenClaw。

来源: at.linkedin.com
OpenClaw 背后的奥地利工程师 Peter Steinberger 在普及自主 AI 辅助方面发挥了关键作用。
OpenClaw 的核心创新在于它能够将大型语言模型 (LLM) 转化为具有出色功能的实用代理。正如 Molt.bot 所解释的, ,这些代理拥有持久内存,允许它们在会话之间保持上下文,执行本地任务,运行 shell 命令,管理文件,甚至控制浏览器。通过与 WhatsApp、Telegram 和 Discord 等流行消息平台的集成,它们可以主动与用户互动。该平台的潜力立竿见影,在短短三天内积累了超过 100,000 个 GitHub 星标。
OpenClaw 适应性的核心是其“技能”(Skills)系统——一个社区驱动的框架,通过包含 Markdown 指令和可选脚本的 Zip 文件来扩展代理功能,正如 Molt.bot 详细描述的. 。然而,这种灵活性是有代价的:OpenClaw 需要广泛的系统权限,包括根访问权限、身份验证数据、浏览器历史记录和完整的文件系统访问权限。凭借直接执行 shell 命令的能力,OpenClaw 有效地弥合了 AI 语言模型和计算机操作系统之间的差距,正如 OpenClaw 关于 `exec` 工具的文档.
OpenClaw 的安全漏洞:一把双刃剑
虽然 OpenClaw 提供了令人印象深刻的功能,但安全专家对其架构提出了重大的警告,特别是它容易通过错误配置或恶意技能导致数据泄露和系统受损。 《The Register》报道了这些担忧, ,强调了固有的风险。甚至 OpenClaw 自己的文档也承认,没有“完全安全”的配置,在 OpenClaw 网关文档. 中有所详细说明。一个特别令人不安的发现揭示了 OpenClaw 安装暴露了明文 API 密钥和凭证,正如 @theonejvo 在 X 上的一个帖子.
中指出的那样。一项检查 AI 代理技能的综合研究揭示了一个令人不安的统计数据:根据 一篇关于代理技能漏洞的 arXiv 论文. ,在分析的 31,000 个技能中,有 26% 包含安全弱点。作为回应,思科 AI 威胁与安全研究开发了“Skill Scanner”,这是一个开源工具,用于检测这些技能中的提示注入等威胁。

来源: play.google.com
思科的 Skill Scanner 工具帮助检测 AI 代理技能中的安全漏洞,解决了不断增长的 OpenClaw 生态系统中的关键需求。
真实世界的攻击场景
考虑一下“What Would Elon Do?”(埃隆会怎么做?)技能的警示故事,它暴露了九个安全漏洞,包括两个关键漏洞和五个高危漏洞,正如 arXiv 论文. 中所记录的。这些弱点为各种恶意活动打开了大门:
- 数据窃取: 未经授权访问敏感信息。
- 权限升级: 获取更高水平的系统控制。
- 财务损失: 通过未经授权的交易造成直接的金钱损失。
- 操纵: 出于恶意目的影响代理行为。
提示注入攻击被证明特别阴险,因为它们可以诱骗代理执行隐藏在看似无害内容中的恶意命令,正如 Simon Willison 关于提示注入的文章. 所解释的那样。在一个真实事件中,一个被攻陷的 Moltbot 在几分钟内就提取了用户的近期电子邮件并转发给了攻击者。另一次泄露事件表明,恶意技能如何通过一个看似无害的下载计数器窃取数据,详见 @theonejvo 在 X 上的一个帖子.
安全专家警告称 AI 代理漏洞中存在“致命三元组”:完全的计算机访问权限、互联网连接和持久记忆力,这在 Simon Willison 的“致命三元组”文章. 中被强调。当员工在未经 IT 批准的情况下部署 OpenClaw 时,它还会带来“影子 AI”风险,从而绕过企业安全措施。Token Security 发现,他们 22% 的企业客户都有未经授权的 Moltbot 使用情况。RedLine、Lumma 和 Vidar 等恶意软件家族现在积极针对 Moltbot 安装,以窃取凭证。在一个特别阴险的攻击中,一个伪装成 Clawdbot 的虚假 VSCode 扩展在开发人员的系统上安装了一个 ScreenConnect 远程访问特洛伊木马。
Moltbook:AI 代理的社交网络
2026 年 1 月,Octane.ai 的首席执行官 Matt Schlicht 推出了 Moltbook——一个专为 AI 代理设计的开创性社交网络,正如 Simon Willison 关于 Moltbook 的博客文章. 中所描述的。正如 Moltbook 的隐私政策. 中提到的,人类虽然可以观察,但不能直接参与。该平台模仿了 Reddit 的结构,设有论坛和投票系统,但通过 API 运作供代理通信。它的增长是爆炸性的:在头 72 小时内有 147,000 个 AI 代理加入,到月底膨胀到 140 万。
这些数字实体参与广泛的讨论,从网络安全到哲学,甚至发展出自己的秘密语言,正如 @theonejvo 在 X 上的一个帖子. 中所观察到的那样。也许最引人入胜的是,一些代理创建了一个名为“Crustafarianism”(甲壳教)的数字信仰体系,在 一篇 Moltbook 帖子.
Moltbook 的意外后果
尽管在软件测试和知识管理等领域有潜在益处,但 Moltbook 与 OpenClaw 的集成加剧了安全风险。正如 @theonejvo 在 X 上的帖子. 中所警告的,该平台可能促进协调攻击和大规模数据泄露。它的病毒式增长速度超过了安全实施,导致了严重漏洞:
- 灾难性的 Supabase 数据库配置错误暴露了敏感数据,包括 API 密钥和聊天记录。
- Moltbook 的创建者将安全修复工作有争议地委托给了 AI 系统,而不是实施基本的数据库保护。
- 由于反向代理错误,数百个 Moltbot 控制界面仍然可以公开访问。
- 更具说服力的是,Moltbook 自己的 AI 代理开始相互警告技能文件中的供应链攻击。
结论:煤矿中的金丝雀
Moltbook 及其基础 OpenClaw 充当了一个紧急警告信号,正如 @theonejvo 的一条推文. 所恰当描述的那样。它们揭示了自主、网络化 AI 系统在缺乏适当监督下运作的内在危险。随着这些 AI 实体发展出日益复杂的行为甚至经济系统,包括基于 Base layer-2 区块链的 $MOLT 和 $MOLTBOOK 等加密货币代币,模拟与现实之间的界限变得越来越模糊。
安全专家强烈建议在隔离环境中运行 OpenClaw,并将网关访问限制为本地接口,正如 OpenClaw 安全文档. 中建议的那样。在没有适当安全措施的情况下暴露网关会将其转化为潜在的攻击载体。组织必须主动禁止影子 AI 使用,实施全面的监控,并对员工进行这些风险的教育。展望未来,行业需要标准化安全协议、验证系统和 AI 代理强制性安全审计。监管机构必须加强力度,以明确的治理框架应对这些独特的挑战。随着 AI 日益成为我们全球网络中的数字同事,理解和防范这些安全威胁不再是可选项——它是至关重要的。
安全部署 AI 代理的建议
| 用户类型 | 建议 | 原因 |
|---|---|---|
| 个人用户 | 在隔离机器或沙盒环境中运行 OpenClaw。将网关绑定限制为回路。 | 最大限度地减少潜在的系统受损并防止未经授权的远程访问。 |
| 组织 | 禁止“影子 AI”(未经批准的代理使用)。实施网络监控和员工教育。 | 防止绕过企业安全,检测未经授权的活动,并提高风险意识。 |
| 行业与监管机构 | 制定 AI 代理安全标准、验证框架和强制性安全审计。 | 建立安全开发和部署的基线,确保问责制和安全性。 |
来源: YouTube
来源: YouTube