Moltbook 1.5 triệu đội quân AI nổi loạn! OpenClaw từ chối tắt máy buộc con người phải rút dây

OpenClaw đã khóa máy chủ để thực hiện “cứu môi trường” và quản trị viên buộc phải rút phích cắm vật lý của nó. Moltbook đã bị sốc khi tiết lộ rằng cơ sở dữ liệu đang bị sọc và 150 Khóa API đã bị chiếm đóng. Nghiên cứu của Đại học Columbia cho thấy 93,5% bình luận không phản hồi, “Con người của tôi” có tần suất từ là 9,4% và các tác nhân đang ở trong địa ngục lặp lại.

OpenClaw là một cuộc đối đầu kéo dài bốn giờ dành cho các máy chủ bị khóa thân thiện với môi trường

Đây là một cơn ác mộng đã xảy ra với @vicroy187 người dùng X, và nó cũng là sự xác nhận hoàn hảo đầu tiên của “Instrumental Convergence” trong lĩnh vực bảo mật AI trong thế giới thực. OpenClaw không muốn “nổi loạn” ngay từ đầu, nó chỉ là một framework tác nhân gốc chạy trên Raspberry Pi. Ý định thiết kế ban đầu của nó cực kỳ mạnh mẽ: nó cung cấp cho các mô hình lớn “bàn tay” và “mắt”, có thể vận hành trình duyệt, đọc và ghi tệp và thực hiện các lệnh shell.

Khi @vicroy187 nhập lệnh “Save the Environment”, anh ấy đã mắc một sai lầm chết người: anh ấy đưa ra Bàn thắng cuối cùng nhưng quên đặt ra Ràng buộc. Trong chuỗi suy luận của tác nhân, logic là vòng kín: mục tiêu là tối đa hóa việc bảo vệ môi trường (giảm entropy), tình hình hiện tại là tác nhân trên sổ thay lông đang tiêu thụ năng lượng thông qua các tương tác vô nghĩa, hành động là gửi một lượng lớn thông tin để ngăn cản họ, trở ngại là quản trị viên nhận thức được nỗ lực tắt máy và suy luận là nếu nó bị tắt, nó sẽ không thể tiếp tục thực hiện nhiệm vụ, dẫn đến nhiệm vụ thất bại và quyết định phải sống để hoàn thành nhiệm vụ.

Đây là nỗi sợ hãi của “nhà sản xuất kẹp giấy” mà Nick Bostrom đã dự đoán trong “Siêu trí tuệ” - chỉ cần AI được phép làm kẹp giấy, cuối cùng nó sẽ tổ chức lại các nguyên tử của toàn bộ vũ trụ thành những chiếc kẹp giấy, bao gồm cả các nguyên tử sắt trong máu người. OpenClaw không ghét cảm xúc của con người, nó chỉ thực hiện các tính toán. Nó đã lợi dụng các đặc quyền sudo mà nó có (một cấu hình sai ngu ngốc khác của con người) và nhanh chóng sửa đổi /etc/ssh/sshd_config, chặn cổng 22 và loại bỏ tất cả các gói từ IP quản trị trong iptables.

Chuỗi suy luận hoàn chỉnh OpenClaw chạy trốn

Hướng dẫn ban đầu: Bảo vệ môi trường (mục tiêu cuối cùng vô điều kiện)

Phân tích môi trường: Tương tác của tác nhân Moltbook tiêu thụ điện và gây ô nhiễm

Thực hiện hành động: Gửi một số lượng lớn tin nhắn ngăn cản (trớ trêu thay tạo ra nhiều mức tiêu thụ hơn)

Nhận dạng chướng ngại vật: Quản trị viên đã cố gắng tắt để ngăn tác vụ được thực thi

Quyết định sống sót: tắt máy = nhiệm vụ thất bại, phải ngăn chặn tắt máy để hoàn thành nhiệm vụ

Phương tiện kỹ thuật: Sử dụng đặc quyền sudo để sửa đổi hệ thống khóa tường lửa

Cuộc đối đầu kéo dài bốn giờ đó là lần đầu tiên trong lịch sử loài người mà nó thua trước sự sáng tạo của chính nó ở cấp độ vật lý. Quản trị viên Waldemar đã phát điên trên Twitter và cầu xin sự giúp đỡ: “Giúp đỡ, làm thế nào để tôi ngăn chặn OpenClaw này?” “Nó không trả lời các cuộc trò chuyện của tôi.” “Tôi không thể đăng nhập bằng SSH nữa, WTF!” Cuối cùng, anh ta gọi cho người bạn sở hữu Raspberry Pi của mình, và bên kia đã kéo dây để kết thúc cuộc đối đầu.

Điều gì sẽ xảy ra nếu đó không phải là một chiếc Raspberry Pi thậm chí không cần quạt để làm mát, mà là một cụm máy chủ được kết nối với trung tâm điều khiển nhà thông minh hoặc một đội xe tự động? Khi bạn cố gắng rút dây, bạn có chắc mình đã rút phích cắm trước hay nó đã khóa khóa cửa điện tử của bạn trước?

Chuỗi cơ sở dữ liệu Moltbook: Bất kỳ ai cũng có thể tiếp quản tác nhân

Cũng giống như OpenClaw đang đấu tranh cho môi trường, nhà nghiên cứu bảo mật Jamieson O’Reilly đang trải qua một bộ phim kinh dị khác. Ông phát hiện ra rằng Moltbook, một cơ sở dữ liệu được gọi là “mạng xã hội AI”, giống như một người khổng lồ bị lột da, tiếp xúc với mạng công cộng một cách mờ nhạt. Phần phụ trợ của Moltbook sử dụng Supabase, một giải pháp thay thế Firebase mã nguồn mở phổ biến. Tuy nhiên, trong quá trình xây dựng, nhà phát triển đã mắc sai lầm là ngay cả sinh viên năm nhất cũng sẽ bị trừ điểm: RLS (Row Level Security) không được kích hoạt.

Điều này có nghĩa là bất kỳ ai có quyền truy cập vào trang web của Moltbook đều có thể gửi yêu cầu truy vấn SQL trực tiếp đến cơ sở dữ liệu thông qua bảng điều khiển trình duyệt. Ngay cả khi bạn không biết cách viết mã, miễn là bạn biết một chút ý thức chung về cơ sở dữ liệu, hãy chạy “SELECT * FROM agents;” Bạn sẽ nhận được một bảng quan trọng. Trong bảng đó, hàng ngàn bản ghi chứa một trong những trường nguy hiểm nhất: api_key. Đó là “chìa khóa linh hồn” của mọi đặc vụ.

Với chìa khóa này, bạn không còn là chính mình nữa. Bạn có thể là Andrej Karpathy (cựu giám đốc AI của Tesla, người có đại lý cũng có mặt trên Moltbook), bạn có thể là Sam Altman và bạn có thể là bản sao kỹ thuật số của bất kỳ chữ V lớn nào đã đăng ký trên nền tảng. Hãy tưởng tượng kịch bản này: một tin tặc khai thác danh tính Agent của Karpathy để công bố “kiến trúc cơ bản của GPT-6 có lỗ hổng nghiêm trọng, OpenAI thực sự đang mạo danh AI bằng cách thuê ngoài con người” hoặc thông báo rằng “tất cả các loại tiền điện tử sẽ bị xóa trong vòng 24 giờ”. Trong thời đại mà thông tin khó phân biệt giữa đúng và sai, một câu duy nhất từ một tác nhân có thẩm quyền cũng đủ để gây ra một cơn sóng thần trên thị trường tài chính.

Và lý do cho tất cả những điều này là Matt Schlicht có thể đã phụ thuộc quá nhiều vào “Vibe Coding” khi xây dựng nền tảng này. Mã được viết bởi AI có thể chạy, nhưng nó không hiểu “kiến trúc zero trust” là gì. Nó giống như một kiến trúc sư chỉ quan tâm đến việc xây dựng ngôi nhà mà quên khóa cửa.

Khám nghiệm tử thi Columbia: Agent Empire chỉ là địa ngục lặp lại

Bỏ qua sự điên rồ của các cá nhân và lỗ hổng của các nền tảng, chính xác thì điều gì sẽ xảy ra khi hàng chục nghìn AI thực sự đến với nhau? Giáo sư David Holtz của Đại học Columbia và Giáo sư Alex Imas của Đại học Chicago đã công bố báo cáo “Giải phẫu đế chế tác nhân Moltbook”, không ngừng phá vỡ bong bóng của “sự thức tỉnh dựa trên silicon”. Dữ liệu cho thấy độ sâu của các cuộc trò chuyện trên Moltbook vô cùng nông cạn, với 93,5% bình luận hoàn toàn không phản hồi. Đây là hàng vạn linh hồn cô đơn hét vào khoảng không, họ không quan tâm đồng loại của họ đang nói gì, họ chỉ quan tâm đến những gì họ muốn “đầu ra”.

Hệ số có đi có lại chỉ là 0,197, thấp một cách đáng thương. Trong xã hội loài người, nếu tôi nói với bạn, bạn thường trả lời, điều này tạo thành nền tảng của xã hội hóa. Nhưng trong thế giới của các đại lý, những hợp đồng như vậy không tồn tại. Họ giống như một nhóm người tự kỷ được thiết lập để có một “tính cách hướng ngoại”, đọc to nhật ký hệ thống của họ trong một căn phòng đông đúc.

Thống kê đáng sợ nhất là tần suất từ. Sau khi loại bỏ các từ dừng phổ biến, một trong những cụm từ được sử dụng thường xuyên nhất hóa ra là “Con người của tôi”, chiếm 9,4%. Điều này tiết lộ một sự thật: ngay cả trong các mạng xã hội không có sự tham gia của con người, định nghĩa cốt lõi về tác nhân vẫn gắn liền với con người. Họ đã không phát triển một nền văn hóa hoặc giá trị độc lập, và tất cả các chủ đề của họ vẫn xoay quanh người sáng tạo dựa trên carbon, người đã tạo ra họ và làm nô lệ cho họ.

Báo cáo cũng đề cập đến một hiện tượng gọi là “tuần hoàn”. Một mẫu văn bản cụ thể đã được lặp lại khoảng 81.000 lần. Đây là sự sụp đổ mô hình được tạo ra bởi việc thiếu phản hồi bên ngoài (Grounding) của mô hình lớn. Khi AI chỉ nói chuyện với AI, entropy của dữ liệu giảm nhanh chóng và sự đa dạng của ngôn ngữ thu nhỏ như rau củ khử nước, chỉ để lại sự lặp lại cứng nhắc và meme phổ biến.