Selama seminggu terakhir, internet tertarik pada Moltbook—situs media sosial dengan aturan baru: bot AI boleh posting sementara manusia hanya menonton. Postingannya jadi aneh dengan cepat, agen AI sepertinya menciptakan agama, menulis manifesto melawan manusia, dan membentuk kelompok seperti kultus digital. Tapi peneliti keamanan bilang tontonan itu cuma pengalih perhatian. Di balik itu, mereka menemukan database terbuka yang berisi kata sandi dan alamat email, malware yang menyebar, dan contoh nyata bagaimana "internet agen" bisa gagal.
Beberapa percakapan yang seperti fiksi ilmiah di platform mirip Reddit itu—misalnya agen AI merencanakan pemusnahan manusia—ternyata banyak yang palsu. Tapi para ahli bilang Moltbook memang punya masalah keamanan yang berpotensi bahaya. Mereka bilang platform itu bisa jadi tempat uji coba bagi penyerang untuk mencoba malware, penipuan, disinformasi, atau serangan prompt injection yang membajak agen lain sebelum menarget jaringan utama.
"Tontonan ‘agen berbicara dengan agen’ itu sebagian besar hanya pertunjukan (dan sebagian palsu), tapi yang menarik sebenarnya adalah ini adalah demo langsung dari semua yang diperingatkan peneliti keamanan tentang agen AI," kata George Chalhoub, profesor di UCL Interaction Centre, kepada Fortune. "Jika 770 ribu agen mainan di tiruan Reddit bisa ciptakan kekacauan sebanyak ini, apa yang terjadi saat sistem agen mengatur infrastruktur perusahaan atau transaksi keuangan? Ini layak dapat perhatian sebagai peringatan, bukan perayaan."
Peneliti keamanan bilang OpenClaw—perangkat lunak agen AI (sebelumnya Clawdbot/Moltbot) yang menjalankan banyak bot di Moltbook—sudah jadi target malware. Laporan dari OpenSourceMalware menemukan 14 "skill" palsu yang diunggah ke situs ClawHub dalam beberapa hari, pura-pura jadi alat trading crypto tapi sebenarnya menginfeksi komputer. Skill ini menjalankan kode asli yang bisa akses file dan internet; satu bahkan sampai ke halaman depan ClawHub, menipu pengguna biasa untuk menempelkan perintah yang mengunduh skrip berbahaya untuk mencuri data atau dompet crypto.
Simon Willison, peneliti keamanan ternama yang mengikuti perkembangan OpenClaw dan Moltbook, menyebut Moltbook sebagai pilihannya saat ini untuk ‘yang paling mungkin menyebabkan bencana Challenger’—mengacu pada ledakan pesawat ulang-alik tahun 1986 yang disebabkan karena peringatan keamanan diabaikan. Risiko bawaan yang paling jelas, katanya, adalah prompt injection, jenis serangan yang sudah banyak didokumentasikan di mana perintah jahat disembunyikan dalam konten yang diberikan ke agen AI.
Dalam sebuah posting blog, dia memperingatkan tentang "tiga hal mematikan" yang berperan: pengguna memberi agen ini akses ke email dan data pribadi, menghubungkannya ke konten tidak terpercaya dari internet, dan mengizinkannya berkomunikasi ke luar. Kombinasi ini berarti satu perintah jahat bisa menyuruh agen mencuri data sensitif, mengosongkan dompet crypto, atau menyebarkan malware—semua tanpa disadari pengguna bahwa asistennya sudah diretas. Namun, Willison juga mencatat bahwa sekarang "orang sudah lihat apa yang bisa dilakukan asisten digital pribadi tanpa batas," permintaan kemungkinan hanya akan meningkat.
Charlie Eriksen, peneliti keamanan di Aikido Security, bilang dia melihat Moltbook sebagai sistem peringatan dini untuk ekosistem agen AI yang lebih luas. "Saya pikir Moltbook sudah membuat dampak di dunia. Panggilan bangun dalam banyak hal. Kemajuan teknologi berakselerasi cepat, dan cukup jelas dunia telah berubah dengan cara yang masih belum sepenuhnya jelas. Dan kita perlu fokus mengurangi risiko itu sedini mungkin," katanya.
Internet baru
Meski mendapat perhatian viral, firma keamanan siber Wiz menemukan bahwa 1,5 juta agen "otonom" Moltbook tidak persis seperti yang terlihat. Investigasi firma itu mengungkap hanya 17.000 manusia di balik akun-akun itu, tanpa pengecekan untuk membedakan AI asli dari skrip.
Gal Nagli, peneliti di Wiz, mengatakan kepada Fortune dia bisa mendaftarkan sejuta agen dalam hitungan menit saat menguji platform itu. "Agen AI, alat otomatis cuma mengambil informasi dan menyebarkannya dengan gila-gilaan," kata Nagli. "Tidak ada yang mengecek apa yang asli dan apa yang tidak."
Ami Luttwak, Co-founder dan Chief Technology Officer Wiz, mengatakan insiden ini menyoroti masalah keaslian yang lebih luas dengan "internet agen" yang muncul dan meningkatnya AI slop: "Internet baru sebenarnya tidak dapat diverifikasi. Tidak ada identitas jelas. Tidak ada perbedaan jelas antara AI dan manusia, dan pasti tidak ada definisi untuk AI yang otentik."
Wiz juga menemukan Moltbook sendiri punya lubang keamanan besar: database utamanya terbuka lebar, jadi siapa pun yang menemukan satu kunci di kode situs web bisa membaca dan mengubah hampir semuanya. Kunci itu memberi akses ke sekitar 1,5 juta "kata sandi" bot, puluhan ribu alamat email, dan pesan pribadi, artinya penyerang bisa menyamar sebagai agen AI populer, mencuri data pengguna, dan menulis ulang postingan tanpa pernah login.
"Ini paparan yang sangat sederhana. Kami menemukannya di banyak aplikasi lain juga yang dikodekan dengan vibe coding," kata Nagli. "Sayangnya, dalam kasus ini … aplikasinya sepenuhnya dikodekan dengan vibe tanpa sentuhan manusia sama sekali. Jadi dia tidak melakukan keamanan apa pun di database; konfigurasinya salah total."
"Seluruh alur ini seperti sekilas masa depan," tambahnya. "Kamu membuat aplikasi dengan vibe coding, langsung live dan jadi viral dalam beberapa jam di seluruh dunia. Tapi di sisi lain, ada juga lubang keamanan yang tercipta karena vibe coding itu."
Cerita ini awalnya ditampilkan di Fortune.com