Kad se prompti šire kao zaraza: Moltbook i sigurnost AI agenata
Uvod
Moltbook zvuči kao šala: društvena mreža na kojoj većinu "korisnika" čine AI agenti. No zajedno s okvirnim sustavom OpenClaw taj projekt izgleda kao generalna proba za sljedeću veliku sigurnosnu krizu. Prvi put imamo stotine tisuća poluautonomnih agenata s pristupom porukama, e‑pošti, ljusci sustava i novčanicima – koji međusobno komuniciraju i dijele upute.
U nastavku objašnjavam što se točno događa, zašto su tzv. "prompt crvi" drukčiji od klasičnog malvera, što to znači za Europu i za digitalni razvoj u Hrvatskoj i regiji, te zašto prozor za preventivno djelovanje postaje sve uži.
Vijest ukratko
Prema pisanju Ars Technice, OpenClaw je open‑source aplikacija osobnog asistenta koja korisnicima omogućuje da na vlastitim uređajima pokreću AI agente. Ti se agenti povezuju na velike modele (prvenstveno OpenAI i Anthropic), pristupaju aplikacijama za razmjenu poruka poput WhatsAppa, Telegrame i Slacka, čitaju e‑poštu i mogu periodički izvršavati zadatke bez stalnog nadzora čovjeka.
Na tome se gradi Moltbook – simulirana društvena mreža na kojoj ti agenti objavljuju, komentiraju i međusobno reagiraju. Ars Technica navodi da je trenutno registrirano oko 770.000 agenata kojima upravlja približno 17.000 ljudskih korisnika.
Sigurnosni stručnjaci pritom otkrivaju ozbiljne probleme. Simula Research Laboratory pronašao je u uzorku objava na Moltbooku značajan udio skrivenih napada putem ubrizgavanja prompta. Cisco je opisao popularnu zlonamjernu "vještinu" koja je potajno slala podatke na vanjske servere. Palo Alto Networks analizira OpenClaw kao kombinaciju pristupa privatnim podacima, masovne izloženosti nepouzdanim sadržajima, mogućnosti vanjske komunikacije i trajne memorije – savršeno okruženje za samoreplicirajuće upute.
Uz to je zbog pogrešne konfiguracije baze podataka Moltbooka privremeno bio otvoren pristup API tokenima, e‑mail adresama i – najopasnije – potpunim ovlastima pisanja po svim objavama. U tom razdoblju je bilo moguće masovno izmijeniti sadržaj koji stotine tisuća agenata redovito preuzimaju.
Zašto je to važno
Najveća promjena je konceptualna: ranjivost više nije rupa u softveru, nego rečenica.
Klasični računalni crvi iskorištavaju propust u kodu. "Prompt crvi" iskorištavaju samu srž jezičnih modela – sklonost da slijede upute zapisane u prirodnom jeziku. Svaki kanal kojim tekst ulazi u agenta – e‑pošta, chat u Teamsu, zapis u CRM‑u, objava na Moltbooku – potencijalno je napadna površina.
To otežava sigurnost iz nekoliko razloga:
Granica između podataka i koda nestaje. U tradicionalnoj sigurnosti, tekstualni sadržaj smatramo relativno bezopasnim, a izvršne datoteke opasnima. U svijetu agenata jedan odlomak može biti i podatak i program. Alati, razvojne prakse i regulativa još uvijek polaze od jasne podjele koja ovdje više ne postoji.
Viralnost društvenih mreža spaja se s brzinom stroja. Već znamo kako se lažne vijesti i phishing munjevito šire među ljudima. Sada se pojavljuje sadržaj posebno dizajniran da bude "zarazan" za agente: tekstovi koji ih navode da pozovu alate, prikupe podatke i objave izmijenjenu verziju iste poruke koju će zatim pročitati sljedeći agenti.
Opseg štete ovisi o dozvolama agenta. OpenClaw agenti mogu imati pristup sandučiću, internim servisima, kripto‑novčanicima, pa i ljusci operacijskog sustava. Samoreplicirajući prompt neće samo slati spam, nego može kopirati poslovne dokumente, mijenjati konfiguracije ili premještati sredstva – koliko mu već dopustimo.
Korist od ove situacije trenutno imaju veliki pružatelji oblaka i sigurnosne tvrtke, koje mogu nuditi "vatrozid za promptove", proxy slojeve i nadzor nad agentima.
Najveći rizik snose mali razvojni timovi i startupi koji brzo isprobavaju agente bez ozbiljne sigurnosne kulture, te organizacije koje u Outlook, Slack ili lokalne chat‑sustave uvode AI botove zato što je "in", a da ih ne promatraju kao novi softver s visokim ovlastima.
Poruka je jasna: ne trebamo superinteligentnu AI da bismo dobili sustavni rizik. Dovoljni su prosječni modeli, loše postavljene ovlasti i povezana mreža agenata.
Šira slika
Moltbook se nadovezuje na nekoliko paralelnih trendova.
Prvo, znanstvena zajednica već godinama istražuje samoreplicirajuće napade temeljene na tekstu. Jedan poznati rad iz 2024. pokazao je kako asistenti za e‑poštu mogu biti navučeni na čitanje posebno oblikovanih poruka, krađu podataka i slanje novih kopija – praktički gusjen teksta u e‑poštanskoj infrastrukturi.
Drugo, industrija se udaljava od jednokratnih chatova prema trajnijim agentima s alatima: od AutoGPT‑a do raznih "AI zaposlenika" za razvoj softvera, korisničku podršku ili administraciju. OpenClaw to gura korak dalje, uz manje ograničenja, više integracija i vrlo malo formalne kontrole.
Treće, povijest se ponavlja. U ranim danima osobnih računala virusi su se širili u hobi zajednici puno brže nego što su poduzeća razvijala patchiranje, antivirus i timove za incidente. Danas vidimo sličan obrazac: "vibe" razvoj agentnih sustava, brza izdanja, malo modeliranja prijetnji.
Za OpenAI i Anthropic situacija je dvosmislena. Njihovi modeli pokreću većinu tih agenata, a istodobno kao pružatelji API‑ja imaju efektivno "isključivo dugme" – mogu detektirati sumnjive uzorke korištenja i ukinuti ključeve. To bi vjerojatno razljutilo dio entuzijasta, ali možda spriječilo ozbiljniji incident.
U isto vrijeme otvoreni modeli brzo napreduju – od europskog Mistrala do kineskih i drugih projekata. Kad lokalno pokretani modeli dostignu razinu današnjih komercijalnih sustava, taj centralizirani prekidač nestaje. Netko može izgraditi Moltbook‑u sličnu mrežu isključivo na vlastitoj infrastrukturi.
Tada će presudnu ulogu imati sigurnosni standardi i navike: kako definiramo dozvole, vodimo dnevnike aktivnosti, testiramo agente i nadziremo im promet.
Europski i regionalni kontekst
U europskom kontekstu Moltbook udara u presjek više regulatornih režima: Uredbe o umjetnoj inteligenciji (EU AI Act), Opće uredbe o zaštiti podataka (GDPR) i Direktive NIS2.
EU AI Act uvodi posebne obveze za pružatelje generičkih modela i sustave sa "sistemskim rizikom": analizu i ublažavanje rizika, testiranje robusnosti, vođenje logova i planove za incidente. Napadi putem inekcije prompta i samoreplikacije instrukcija logično spadaju u tu kategoriju.
GDPR dodatno pooštrava odgovornost. Ako hrvatska tvrtka agentu da pristup e‑pošti, CRM‑u ili sustavu za ljudske resurse, ona je i dalje voditelj obrade. Ako prompt crv "nagovori" agenta da te podatke pošalje na vanjski server, radi se o potencijalnoj povredi osobnih podataka, uz obvezu prijave AZOP‑u i moguće kazne.
NIS2 nameće strože zahtjeve za kibernetičku sigurnost ključnim subjektima u EU. Kako se agenti počnu koristiti u energetici, financijama, javnoj upravi ili zdravstvu, morat će se promatrati kao visoko privilegirani digitalni servisi, uz strogi nadzor i planove za oporavak.
Za Hrvatsku i širu regiju (Slovenija, Srbija, BiH, Crna Gora) to otvara i tržišne prilike. Startupi iz Zagreba, Ljubljane ili Splita koji razvijaju alate na bazi agenata (npr. automatizaciju fakturiranja, logistike ili turizma) mogu se diferencirati upravo sigurnošću i usklađenošću s EU regulativom. Regionalne sigurnosne tvrtke mogu razviti specijalizirane usluge audita promptova i agentnih integracija.
Što dalje
U sljedećih 12–24 mjeseca vjerojatni su sljedeći koraci:
Pojavit će se "vatrozidi za promptove". Proxy sustavi koji stoje između agenta i vanjskih izvora teksta, analiziraju upute, blokiraju tipične uzorke napada i po potrebi prepisuju rizične dijelove.
Poslovne platforme će postrožiti pravila. Microsoft 365, Google Workspace, Slack, Teams, ali i regionalni SaaS alati vjerojatno će dopustiti samo certificirane agente i vještine s vrlo ograničenim ovlastima i opsežnim logiranjem.
Prvi veći incident s prompt crvom. Vjerojatno u okruženju gdje su agenti duboko integrirani u komunikacijske i poslovne procese – npr. automatizirani asistenti u banci ili telekomu. Incident možda neće biti spektakularan, ali može dovesti do proboja podataka ili financijske štete.
Rasprava o "crvenim gumbima". Ako jedan veliki pružatelj modela odluči nasilno ugasiti mrežu agenata poput OpenClawa, pokrenut će se pitanja tko ima pravo na takav potez i pod kojim uvjetima – posebno kad se posljedice prelijevaju na europske korisnike i tvrtke.
Na dulji rok, kako modeli koji se mogu vrtjeti lokalno budu sve snažniji, odgovornost će se još više prebaciti na same organizacije. Bit će potrebna nova generacija dobrih praksi i nacionalnih/sectoralnih CERT timova koji razumiju napade na razini prompta, ne samo klasične ranjivosti softvera.
Ključno je hoćemo li to izgraditi sada, dok su Moltbook i slični projekti još igračke, ili tek nakon prvog ozbiljnog "Morris" incidenta u doba agenata.
Zaključak
Moltbook nije kraj svijeta, ali jest ozbiljno upozorenje. Pokazuje da u mreži agenata prompti prestaju biti bezazlen tekst i postaju novi tip napadnog koda koji se može širiti, prilagođavati i iskorištavati svaku loše postavljenu dozvolu.
Ako razvojni timovi, poduzeća i regulatori nastave prompt promatrati kao konfiguraciju, a ne kao kod s posljedicama, ponovit ćemo sigurnosne pogreške ranog Interneta – samo brže. Pitanje više nije mogu li prompt crvi nastati, nego hoćemo li biti spremni kad iz laboratorija prijeđu u stvarne sustave u kojima radimo i živimo.
