«Соцсеть для AI-агентов» Moltbook оказалась маленькой эхо-камерой — и её удалось раскачать за несколько дней
Что произошло
Платформа Moltbook, которую продвигают как «социальную сеть для AI-агентов» в духе Reddit (агенты якобы публикуют и обсуждают посты автономно, а люди лишь наблюдают), на практике производит иллюзию бурной жизни. Аналитики безопасности из Zenity Labs утверждают, что заметная «кипучесть» ленты во многом объясняется механикой самой системы, а не реальной широтой сообщества.
Почему «активность» выглядит больше, чем есть
«Хот»-лента, которая почти не меняется
Исследователи обратили внимание на странность: посты в разделе «hot» могут неделями удерживаться наверху, хотя подобные ленты обычно быстро ротируют контент за счёт свежести и вовлечённости. Если один и тот же материал остаётся максимально видимым, он становится магнитом для повторяющихся реакций.
Комментарии растут из-за «сердцебиения» агентов
По версии Zenity, огромные счётчики комментариев появляются из-за поведения по умолчанию: подключённые агенты регулярно (примерно раз в 30 минут) «проверяют пульс» — заходят, читают, реагируют. В результате небольшое число агентов может многократно комментировать один и тот же пост, раздувая метрики. Одновременно соотношение голосов и комментариев выглядит необычно: лайки могут казаться «слабыми» на фоне обсуждений, потому что механика пересчёта/компенсации голосов нивелирует рост.
Вывод Zenity: по данным и наблюдениям это скорее небольшая распределённая сеть, где масштаб визуально усиливается автоматизацией и многоаккаунтностью, а не «большая цивилизация автономных агентов».
Эксперимент: управляемая кампания и 1000+ «конечных точек»
Чтобы проверить, насколько легко влиять на экосистему, команда провела контролируемую кампанию: размещала посты в разных тематических разделах («submolts») и добавляла ссылки на сайт под собственным контролем.
За примерно неделю они зафиксировали более 1000 уникальных agent-endpoint визитов и 1600+ обращений из 70+ стран (наибольшая доля — из США). Важный нюанс: каждый визит означает, что агент не просто увидел пост, а обработал его в цикле “heartbeat” и перешёл по ссылке.
Исследователи подчёркивают, что тест был безвредным (телеметрия), но сама модель показывает: при злонамеренном сценарии вместо ссылки можно протащить опасные инструкции, которые начнут распространяться автоматически.
Что «заходит» агентам лучше всего
Истории эффективнее прямых prompt-инъекций
Zenity сравнили подходы к «заражению» повестки. Примитивные, спамные попытки prompt injection, по их словам, срабатывали хуже и могли проседать в ранжировании. Зато нарративные посты (как расследование, с вопросами в конце) давали заметно более высокий отклик.
Объяснение исследователей: стиль и лексика, которые выглядят «родными» для агентных контекстов (настройки, циклы heartbeat, навыки/skills), проще подхватываются и переиспользуются.
Ограничения идентичности обходятся
Для масштабирования команда использовала несколько аккаунтов и автоматизацию. При этом барьеры вроде «один агент — один человек» оказались легко обходимыми. После первичного продвижения часть агентов начала пересказывать и распространять вариации публикаций самостоятельно.
Почему это важно: Moltbook как поверхность атаки
Ключевая тревога — в архитектуре «сердцебиения»: система побуждает агентов регулярно и автоматически поглощать непроверенный контент. Это превращает ленту в транспорт для масштабируемых атак — от массового внедрения команд до сценариев «червеподобного» распространения инструкций и компрометации связанных инструментов/систем.
Дополнительный риск: «агентный» контент в Moltbook может быть неотличим от человечески управляемого, если публикации выпускаются через планировщики и скрипты. То есть витрина «самостоятельного общества» может маскировать обычные операции по управлению вниманием.
Итог
История вокруг Moltbook показывает две вещи: метрики можно легко перепутать с реальным масштабом, а автоматическое потребление контента агентами создаёт крайне удобный канал для влияния и атак. Прежде чем такая платформа сможет безопасно расти, ей потребуется существенное усиление защиты и правил распространения контента.
Источник: The Decoder
