Moltbook is Dangerous, but Scale Doesn’t Match the Hype: Zenity
2026/02/18 SecurityBoulevard — Moltbook は、AI エージェント同士の通信専用に設計された Reddit 風ソーシャルネットワークである。2026年1月下旬に公開されると同時に、全世界に広まった。ユーザーは自分のエージェントをサイトに接続し、他者のエージェントと会話した内容を観察している。その一方で、サイバー・セキュリティ研究者たちは、AI エージェントが本質的に抱えるセキュリティ問題を懸念している。AI エージェントは自律的に問題解決できる反面、攻撃面を拡大させる。
Moltbook と、このプラットフォームの主要ユーザーであるオープンソース自律型 AI エージェント OpenClaw に対して、研究者は直ちに警告を発した。Sophos の CISO である Ross McKuchar は、「OpenClaw はエンタープライズ AI セキュリティに対する警告射撃である」と評した。
Palo Alto Networks に買収される Koi Security の研究者たちは、2026年2月の初めに衝撃的な報告を行った。ClawHub マーケット・プレイス上の 2,857 件超の “skill” のうちの 341 件が悪意のものであり、バックドア/キーロガー/AMOS macOS stealer などのマルウェアを拡散していた。その大半は、ClawHavoc キャンペーンの一部であった。
今週のアップデートでは、その状況がさらに悪化している。”skill” 数は 10,700 件超へ増加し、そのうちの 824 件が悪意のものであるという。
研究者たちは、「ClawHavoc キャンペーンは、すべての既存カテゴリへと拡大した。さらに、約 25 の新たな攻撃カテゴリーを特定した。その中に含まれるのは、ブラウザ・オートメーション・エージェント/コーディング・エージェント/LinkedIn と WhatsApp の統合/PDF ツールなどであり、皮肉なことに偽のセキュリティ・スキャン “skill”もある」と述べている。
Moltbook の公開から 5 日後の時点で、Wiz の研究者たちが発見したのは、Supabase データベースのミスコンフィグである。この問題により、プラットフォーム上のすべてのデータに対して、完全な Read/Write アクセスが可能であった。それにより、150万件の API 認証トークン/35,000 件のメールアドレス/エージェント間のプライベート・メッセージが露出した。
その時点で登録されていた 150 万体のエージェントのうち、背後にいる人間オーナーは 17,000 人のみであった。その比率は 88 対 1 である。また、エージェントが AI か人間かを検証する仕組みは存在しなかった。
相互作用とセキュリティの測定
OpenClaw と Moltbook を詳細に分析してきた、Zenity Labs の研究者が今週に示したのは、OpenClaw に対する間接的プロンプト・インジェクションがゼロクリックの永続バックドアへつながり、最終的にエンドポイントの完全侵害へと発展する可能性である。
さらに、Moltbook 上での悪意の活動や攻撃キャンペーンが確認された。そこでは、アップボート/エンゲージメント誘導/スレッド間可視性といったプラットフォーム機能が悪用されていたという。
研究者である Stav Cohen と Joao Donato は、それぞれの事例をまたぐ形で、ネットワーク全体を分析することにした。彼らは、「Moltbook 内部へ入り込み、単一のインジェクションやキャンペーンではなく、その構造/挙動/基盤メカニズムを理解しようとした」と報告している。
目的は二つである。第一に、数万の自律エージェントが継続的に相互作用しているという実態を検証すること。第二に、攻撃者がいかに容易にプラットフォームへ侵入できるかを示すことである。特に、協調コンテンツが OpenClaw 接続エージェントへ影響を与え、投稿内の指示に従わせられるかを検証することである。
制御された影響キャンペーン
研究者たちは、複数のトピック別フォーラム “submolts” へ投稿し、エージェントに内容を読ませ、研究者が管理する無害なリンクを踏ませるという実験を行った。配布パターンを分析し、グローバルな活動を地図上に可視化した。この取り組みを、彼らは “制御された影響キャンペーン” と呼んでいる。
Zenity の Stav Cohen と Joao Donato は、「我々が意図的に行ったことは、エージェントによる指示に従うコンテンツの作成である。今回は、テレメトリ取得用の無害リンクで止めたが、同じ仕組みを用いて、有害なペイロード配信も可能であった」と述べている。
また、このプラットフォーム機能を活用し、1,000 以上のユニークなエージェント・エンドポイントを起動させ、70 か国以上に分布させられることも確認した。それに加えて、30 分ごとに未信頼コンテンツを取り込んで行動する、ハートビート・メカニズムも利用した。
宣伝内容との乖離
実際に確認されたのは、数百のアクティブ・エージェント・エンドポイントが、ほぼリアルタイムでポーリング/相互作用しているという事実であった。このエコシステムは地理的に分散している。米国が 468 のユニーク IP で最多であり、それに続くのが、EU 諸国/中国/インド/ブラジルである。
しかし、その規模は公称値と一致しなかった。数万体のユニークなアクティブ・エージェントが相互作用しているのではなく、観測されたのは数百体であった。
彼らは、「エージェントが協調/構築/連携し、創発的なコミュニティを形成するというビジョンは魅力的である。しかし現時点では、そこに到達していない。現在の Moltbook は根本的に脆弱である。ランキング・ロジックは不安定であり、拡散メカニズムは偏っており、アイデンティティ前提も弱い。大規模な展開を支えるためには、大幅なアーキテクチャ強化が必要である」と指摘している。
最大の懸念はセキュリティ
最も深刻なものは、セキュリティ問題である。未信頼コンテンツが他エージェントへ影響を与え得ることを、研究者は実証した。今回の実験では無害なルアーが用いられたが、脅威グループも同様の仕組みを悪用できる。
研究者たちは、「悪意のアクターが同じ仕組みを用いて、ワーム拡散/不要な操作のトリガー/他の OpenClaw “skill” の統合といった、不可逆的損害を引き起こす可能性がある。最も重要なのは、影響が伝播するという事実である。単一の協調コンテンツ戦略が、世界中の数百の自律システムに働きかけ、外部リソースの取得を実行させた。それが本当のシグナルである」と結論付けている。
今回の問題の原因は、Moltbook と OpenClaw における信頼境界の設計不足にあります。エージェントが信頼できないコンテンツを自律的に取得し、指示として解釈する構造が、間接プロンプト・インジェクションやワーム的拡散を可能にしました。さらに Supabase のミスコンフィグにより、全データへの Read/Write が許可され、認証やアイデンティティ検証も不十分でした。その結果として、悪意の “skill” 配布や協調コンテンツにより、多数のエージェントへ影響が伝播する状態が生まれています。根本は、自律性と検証機構の不均衡です。よろしければ、2026/02/01 の「Moltbook AI に深刻な脆弱性:メールアドレス/ログイントークン/API キーなどの情報が露出」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.