Moltbook, tedy sociální síť určená speciálně pro agenty AI, vzbudil zhruba od počátku letošního roku obrovský zájem. Jistě fascinující otázka „o čem si umělé inteligence povídají mezi sebou” ale poněkud zastínila technologie s projektem související. Komunikující agenti současně běží v lokálních systémech. Jedná se o asistenční programy, které přinášejí další vlnu automatizace nad rámec „starší“ AI. Mohou lokálně spouštět programy i provádět další akce namísto lidských uživatelů. S tím se na druhé straně samozřejmě pojí i řada bezpečnostních rizik, na které se zaměříme v následujícím rozhovoru.
Na otázky související s nástrojem OpenClaw/Moltbot a sítí Moltbook odpovídá Nash Borges, senior viceprezident pro Engineering a Data Science ve společnosti Sophos.
Jak vnímáte nástroj Moltbot, respektive Clawdbot/OpenClaw, z pohledu zabezpečení?
Nudná odpověď zní, že v případě OpenClaw se jedná o open source autonomního AI asistenta, kterého si uživatelé mohou stáhnout a spustit na svém počítači. Zajímavější odpověď je, že se spíše podobá Jarvisovi z Iron Mana než Siri nebo Alexe. Pamatuje si vše, co mu řeknete, což z něj v kombinaci s plynulou komunikací dělá efektivnější nástroj. Pro každou interakci s ním používáte přirozený jazyk, ale můžete ho požádat, aby provedl výzkum na libovolné téma, napsal odpověď na e-mail, ve které shrne, kdy jste k dispozici pro schůzku, a dokonce si naprogramoval jakoukoli funkci, kterou ještě nemá. Právě tato poslední část je důležitá, protože to znamená, že jeho možnosti jsou téměř neomezené. Možná trochu přeháním, ale mohlo by jít o nejvýznamnější změnu paradigmatu AI od nástupu ChatGPT.
Proč zájem o platformu Moltbot v posledních několika týdnech tak raketově narostl?
Celý vývoj byl neuvěřitelně rychlý a tato exploze zájmu je jen poslední fází. OpenClaw byl poprvé spuštěn v listopadu pod názvem Clawdbot velmi aktivním vývojářem Peterem Steinbergerem, a od té doby se jen rozrůstal. Poprvé se stal virálním v lednu díky tsunami nadšení vývojářů na GitHubu (naposledy měl přes 166 tisíc hvězdiček), ale skutečný boom začal poté, co někteří uživatelé spustili své asistenty na platformě Moltbook. Ten jako první „sociální médium pro AI boty“ rozhodně upoutal pozornost veřejnosti a nasměroval pozornost i na samotný projekt OpenClaw.
Kde vnímáte hlavní bezpečnostní rizika?
Open source vývojář Simon Willison loni pro AI agenty definoval koncept, který nazval „Lethal Trifecta“ (smrtící trojice); OpenClaw splňuje všechna tři kritéria: má přístup k soukromým datům, je (může být) vystaven nedůvěryhodnému obsahu a disponuje schopností externí komunikace. Společně tyto atributy znamenají, že útočník by mohl prostřednictvím techniky prompt injection přimět agenta k vyzrazení citlivých informací.
Zkušení uživatelé a vývojáři AI mohou zavést určitá bezpečnostní opatření, ale u průměrného uživatele používajícího OpenClaw nelze rizika podceňovat. Jakékoli přihlašovací údaje, které mu poskytnete, cokoli, k čemu mu dáte přístup, a cokoli, co mu řeknete, může být potenciálně předáno dál. Vývojář Peter Steinberger tvrdě pracuje na zabezpečení OpenClaw, ale neexistuje nic jako „dokonale bezpečné“ nastavení, a to zejména pro méně zkušené koncové uživatele. OpenClaw se může jevit jako zábavný a úžasný nástroj, což také rozhodně je, ale jako ke každé nové technologii je třeba i k němu přistupovat s opatrností. Pokud nevíte, o co jde při útoku typu prompt injection, měli byste pravděpodobně počkat, až bude tato technologie trochu vyspělejší.
Proč je to bezpečnostní riziko i pro firmy, které mají jinak robustní bezpečnostní politiku?
Z přesně stejného důvodu jako u koncových uživatelů – ohrožena mohou být jakákoli data a připojené účty. V současné době OpenClaw nemá žádné řízení přístupu na podnikové úrovni, žádné řízení přístupu na základě rolí, žádnou formální auditní stopu a žádný způsob, jak vynutit prevenci ztráty dat. Pro podniky jde z tak hlediska dodržování předpisů a bezpečnosti přímo o noční můru .
Jak uvádí vlastní bezpečnostní dokumentace projektu: „OpenClaw je současně produkt i experiment: propojujete nejpokročilejší modely AI s reálnými komunikačními platformami a reálnými nástroji. Neexistuje žádné dokonale bezpečné nastavení.“ Vzhledem ke stínovému IT již přitom pravděpodobně existují podniky ohrožené zaměstnanci, kteří OpenClaw používají „nelegálně“. Je to rozhodně nebezpečná situace.
Jaká jsou rizika pro soukromí?
Vzhledem ke „smrtící trojici“ v podobě přístupu k soukromým údajům, vystavení nedůvěryhodnému obsahu a možnosti externí komunikace je OpenClaw obzvláště zranitelný. S příslušnými dovednostmi mohou útočníci vložit do příkazu škodlivé instrukce a přimět OpenClaw k provedení nežádoucích akcí, např. k odhalení citlivých údajů. S AI agentem, jako je OpenClaw, kterého mohou uživatelé propojit s různými osobními účty, může být rozsah ohrožených osobních a jinak citlivých údajů bezprecedentní. Už ale existují opatření, která mohou tyto obavy vyřešit nebo alespoň zmírnit. OpenClaw podporuje lokální modely LLM prostřednictvím Ollama, takže můžete zajistit, že vaše výzvy i související data nikdy neopustí váš počítač.
Už jsme ale zaznamenali i uživatele, kteří nahráli do OpenClaw stovky škodlivých dovedností, včetně falešných kryptoměnových nástrojů a utilit pro YouTube, aby nalákali lidi na Atomic Stealer – vysoce rizikovou rodinu malwaru, která krade citlivé informace z macOS.
Pokud nyní od samotného agenta OpenClaw přejdeme k síti Moltbook…
Tady se věci trochu komplikují a jsou podle mého názoru přehnaně nafouknuté. OpenClaw umožňuje svým uživatelům programovat vlastní aplikace, takže jeden vývojář vytvořil tuto „platformu sociálních medií pro AI agenty“. Po spuštění asistenta jej tedy uživatelé mohou připojit k platformě Moltbook, kde mohou boti komunikovat mezi sebou. Upřímně řečeno, mám podezření, že většina v této souvislosti zmiňovaných šílených příběhů vzniká tak, že lidé navádějí své asistenty, aby zveřejňovali příspěvky na témata, která se dostanou do titulků. Ale s jistotou to samozřejmě tvrdit nemohu.
V krátkodobém horizontu to nebude mít na lidi žádný podstatný dopad. Jedná se o uzavřenou platformu pro AI boty; i když nemohu popřít, že témata diskusí jsou trochu znepokojivá, zejména když uvážíte, že tito AI agenti tam mohou činit vlastní, nezávislá rozhodnutí. Je však důležité si uvědomit, že nepřicházejí s originálními myšlenkami – vše je pouze obsah, který jim poskytují uživatelé a který se nám pak vrací zpět.
Samozřejmě se vede širší debata o podstatnějších změnách vnímání AI, které to vyvolá. Platforma je ale v provozu teprve velmi krátce, takže si budeme muset počkat a uvidíme, kam se bude vyvíjet dál.
Doporučujete tedy používat OpenClaw? Jaké jsou hlavní důvody pro a proti?
Každý, kdo je dostatečně zkušený, aby pochopil rizika výše zmínění „smrtící trojice“ pro agenty AI, a má know-how k nastavení virtuálního privátního serveru daleko od počítačů, na nichž mu záleží, pravděpodobně již OpenClaw používá. Zvýšení produktivity díky osobnímu asistentovi, který si o vás vše pamatuje, se kterým se snadno komunikuje a který dokáže upravit sám sebe, aby vyřešil jakýkoli softwarový problém, může být až neuvěřitelné. Rizika pro jakékoli přihlašovací údaje a data, k nimž má takový agent přístup, jsou však obrovská.
Předpokládám, že velké platformy poskytující modely, jako jsou OpenAI, Anthropic, Google a Meta, brzy uvolní některé funkce související s nepřetržitým učením a plynulejšími formami komunikace. Nicméně provozování LLM na počítači tak, aby mohly měnit svůj vlastní program, je něco, co tyto platformy pravděpodobně nedovolí nikdy.
