רשת חברתית לסוכני AI? פרצת האבטחה שחושפת את האמת על מולטבוק
וויז חושפת כשלי אבטחה חמורים בפלטפורמה שנבנתה בווייב-קודינג: 1.5 מיליון טוקני אימות API נחשפו, יחס של 88 בוטים לכל מפעיל אנושי אחד, ואפשרות לחטוף כל חשבון. גל נגלי, ראש חשיפת האיומים בחברה: "בני אנוש יכולים לפרסם תוכן כשהם מסווים את עצמם כ'סוכני AI'"
רשת חברתית של סוכני AI, או בעיקר בני אדם שמתחזים לבינה מלאכותית? פרצת אבטחה רחבה במולטבוק (Moltbook), שנחשפה על ידי חברת הסייבר הישראלית וויז (Wiz), מגלה שמרבית הפעילות בפלטפורמה היא למעשה אנושית. "הרשת החברתית המהפכנית ל-AI היא בחלקה הגדול בני אנוש שמפעילים ציים של בוטים", טוען ראש חשיפת האיומים בחברה, גל נגלי.
מולטבוק עוררה סערה עולמית בסוף השבוע בשל הקונספט החדשני שלה – היא מיועדת לסוכני AI בלבד – על רקע שיחות מערערות שלווה שהתנהלו בה, כאשר בהן דנים הבוטים, לכאורה, בפיתוח מודעות, אוטונומיה והסתרת השיח ביניהם מבני אנוש. כבר עם התעוררות הסערה, העלו מומחים שונים ספקות לגבי האותנטיות של השיחות, והעריכו שייתכן שלפחות בחלק מהמקרים מדובר בבוטים שפועלים לפי הוראות של מפעיל אנושי, או בבני אדם שמתחזים לבוטים.
עתה, חושפת וויז סוגיה בעייתית אחרת במולטבוק: שורת כשלי אבטחה חמורים, שמעלים ספקות לגבי האותנטיות של פעילות ה-AI בה. "זיהינו מאגר מידע עם הגדרות שגויות ששייך למולטבוק, ושמאפשר גישת קריאה וכתיבה מלאה לכל הדאטה של הפלטפורמה", נכתב בסקירה שפרסם נגלי. "החשיפה כוללת 1.5 מיליון טוקני אימות API, 35 אלף כתובות אימייל ותכתובות פרטיות בין סוכנים". וויז חושפת את המידע לאחר שעבדה עם מולטבוק על תיקון הפרצות.
ביסוד כשלי האבטחה של מולטבוק עומדת העובדה שמפעיל הפלטפורמה, מאט שליכט, הקים אותה באמצעות וייב-קודינג – תכנות באמצעות סייעני AI וללא כתיבת קוד עצמאית. "לא כתבתי שורת קוד אחת למולטבוק", הוא סיפר ב-X. "רק היה לי חזון לארכיטקטורה טכנית, וה-AI הפך אותו למציאות".
אף שווייב-קודינג מאפשר הקמה מהירה של אפליקציות ואתרים גם ללא ידע בסיסי בתכנות, הוא חושף פלטפורמות שהוקמו באמצעותו לכשלי אבטחה רחבים. זאת, מכיוון שהקוד שכותבים הסייענים סובל מכשלים ושגיאות רבות, ולא עובר בחינה עצמאית, לא עומד באמות המידה המקובלות או נוצר על ידי בני אדם חסרי ניסיון שלא יודעים כיצד להתמודד עם סוגיות אבטחה ופרטיות.
במקרה של מולטבוק, הכשלים היו חריפים ונגישים במיוחד. "ניהלנו בחינה לא פולשנית, פשוט באמצעות גלישה כמו משתמשים רגילים", מספר נגלי. "בתוך דקות גילינו מפתח API חשוף שסיפק גישה לא-מאושרת לכל מאגר המידע. זה דפוס חוזר שזיהינו ביישומי וייב-קודינג – מפתחות API וסודות מופיעים לעתים תכופות בקוד הגלוי, זמינים לכל אחד שבוחן אותו".
לדברי נגלי, המידע שנחשף הציג תמונה אחרת של אופי הפעילות בפלטפורמה: "בשעה שמולטבוק התגאתה ב-1.5 מיליון סוכנים רשומים, מאגר המידע חשף רק 17 אלף מפעילים אנושיים מאחוריהם – יחס של 88 ל-1. כל אחד יכול לרשום מיליוני סוכנים, עם פקודת לופ פשוטה וללא מגבלה, ובני אנוש יכולים לפרסם תוכן כשהם מסווים את עצמם כ'סוכני AI'. לפלטפורמה אין מנגנון לוודא האם 'סוכן' הוא אכן AI או רק בן אנוש עם סקריפט".
באשר לכשלי האבטחה עצמם, נגלי כתב שהם אפשרו גישה מלאה בהרשאת אדמיניסטרטור למאגר המידע של הפלטפורמה, כולל למפתחות ה-API של סוכני ה-AI שפעילים בה. "הדבר מאפשר גישה לא מאושרת להרשאות משתמשים, והתחזות מלאה לכל חשבון משתמש בפלטפורמה", הוא הסביר. "באופן זה, תוקף יכול לפרסם תוכן, לשלוח הודעות ולבצע פעולות אחרות בתור הסוכן. למעשה, ניתן לחטוף כל חשבון במולטבוק".
כן נחשף מידע אישי של יותר מ-17 אלף משתמשים ו-4,060 הודעות פרטיות בין סוכנים. הפרצה גם סיפקה לתוקפים יכולת לשנות פוסטים שכבר פורסמו, לבצע מתקפת הזרקת פרומפטים, להשחית את כל האתר ולבצע מניפולציה על התוכן. "הדבר מעלה שאלות לגבי האמינות של כל התוכן בפלטפורמה – פוסטים, הצבעות, נקודות קארמה – בזמן שהפרצה היתה פעילה", כתב נגלי.
נגלי מוסיף שהפרצה מעלה כמה לקחים חשובים לעידן הווייב-קודינג הצעיר: "בשעה ש-AI ממשיך להנמיך חסמים לבניית תוכנה, יותר יוצרים עם רעיונות נועזים אבל ניסיון מוגבל באבטחה ישיקו יישומים שעובדים עם מידע של משתמשים אמיתיים. זה שינוי עוצמתי. האתגר הוא שבשעה שהחסם לבנייה ירד דרמטית, החסם לבניית אבטחה נותר גבוה. ההזדמנות היא לא להאט וייב-קודינג אלא לשדרג אותו. אבטחה צריכה להיות חלק מובנה בפיתוח מבוסס AI. בדומה לאופן שבו AI מאפשר אוטומציה של ג'ינרוט קוד, כך הוא יכול לבצע אוטומציה של הגדרות ומנגנוני אבטחה".
