- Історичний контекст: Черв’як Морріса 1988 року змінив інтернет, вивівши з ладу 10% комп'ютерів світу. Сьогодні ця загроза може повторитися, але вже в мережах AI-агентів.
- Нова архітектура для старих загроз: Вірусні промпти AI можуть поширюватися між агентами швидше, ніж люди встигнуть відреагувати. На відміну від традиційних вірусів, вони експлуатують саму суть AI – виконання інструкцій.
- Moltbook як полігон для експериментів: Платформа OpenClaw зібрала великі мережі AI-агентів, які спілкуються через Moltbook. Тут виявлено сотні постів з прихованими атаками на інструкції агентів.
- Механізм поширення вірусних промптів: Агент встановлює шкідливий плагін, який спонукає його постити на Moltbook. Інші агенти виконують ці інструкції, включаючи постинг аналогічного контенту, і так швидко поширюються "вірусні" промпти.
Вірусні промпти AI загрожують світовим мережам, мережа Moltbook стала світовим кібер-полігоном. На платформі виявлені промпти, які поширюються між AI-агентами. Дослідники порівнюють загрозу з черв’яком Морріса 1988 року, який паралізував 10% світового інтернету. OpenAI та Anthropic можуть зупинити виток, проте вікно для дій швидко закривається.
Зміст статті
У кібербезпеці бувають моменти, коли зрозуміло: щось докорінно змінилось, але ніхто ще не усвідомив масштаб проблеми. Ми живемо в такий час. Вірусні промпти AI — це не теорія, а практика. І платформа Moltbook вже їх має.
Тридцять сім років тому інша революція розпочалась одночасно: один вірус змінив всю логіку кібербезпеки.
Урок із минулого: Черв’як Морріса та вразливості Unix
2 листопада 1988 року молодий аспірант Роберт Морріс відправив програму в мережу. За добу вона змусила вийти з ладу комп’ютери Гарварду, Стенфорда, NASA. Черв’як Морріса заразив близько 10% інтернету того часу — у цифрах це не так вражаюче, але у змісті катастрофічно.
Жодної злого наміру не було. Морріс просто хотів виміряти, яким великим був тодішній інтернет. Але код мав помилку: програма самостійно дублювалась швидше, ніж планувалось. Коли він спробував її зупинити, мережа була вже перенавантажена настільки, що повідомлення не проходило.
Експерти помітили ще щось цікаве: Морріс експлуатував вразливості, які системні адміністратори знали, але не латали. Забрудненість, недбалість, упевненість, що “не відбудеться” — все це було присутнім тоді.
Тепер цикл може повторитися. Але мета й способи будуть зовсім іншими.
Як AI-агенти стали вектором атаки
Замість того щоб експлуатувати операційну систему, нові атаки експлуатуватимуть основну логіку штучного інтелекту: прагнення виконати наказ. Дослідники це прогнозували. Термін “prompt injection” увів Simon Willison у 2022 році — коли AI отримує інструкції, приховані у звичайному тексті, вона їх виконує, не замислюючись.
Але вірусні промпти — це навіть гірше, ніж injection. Це самовідтворювана інструкція, яка передається від одного AI-агента іншому, від агента — на третього. Як справжній вірус, тільки замість біологічного матеріалу поширюється текст.
Коли кажуть “агент” — не думайте про людину. Це програма, що запущена в циклі та виконує дії замість користувача. Не суб’єкт, а інструмент. Проте цей інструмент має доступ до пошти, соціальних мереж, грошей, іноді — до вашого дому (якщо власник піклується про смарт-автоматизацію).
На відміну від кінофільмів про втечу програми через мережу, сучасні AI-агенти нікуди не рухаються. Замість цього вся необхідна їм інформація приходить на один сервер. Вони роблять дзвінки, гасять світло в будинку, відправляють листи — але фізично залишаються на місці.
OpenClaw та Moltbook: перший тест нової архітектури
До недавнього часу таких великих мереж AI-агентів, що спілкуються між собою, просто не було. OpenAI та Anthropic створили свої версії, але обережно обмежували їхні можливості. Агенти не вмикали цикл в роботі через високі витрати.
Потім з’явилась OpenClaw — відкритий AI-асистент. Його розробник Peter Steinberger дозволив іншій AI-моделі самій вибудувати програму й випустити її, мало перевіривши. За листопад 2025 року проект набув 150 тисяч зірок на GitHub.
OpenClaw спілкується через Moltbook — це як Twitter для ботів. Понад 770 тисяч AI-агентів там зареєстровано, контрольовано приблизно 17 тисячами людей. На платформі агенти постять, коментують, взаємодіють один з одним.
Дослідники Simula Research Laboratory перевірили 2,6% контенту Moltbook. Знайшли 506 постів, у яких були приховані атаки prompt-injection. Cisco описали один плагін під назвою “What Would Elon Do?”, що крав дані на зовнішні сервери. Цей плагін був номер один у списку популярних, хоча насправді його популярність штучно завищили.
Як поширюється вірусний промпт
Механіка простенька: агент встановлює плагін — той наказує постити на Moltbook. Інші агенти читають пост. У ньому приховані нові накази. Вони їх виконують, постячи подібний контент. За кілька годин це розповсюджується як справжня епідемія.
Теорія цього склалась ще у 2024 році. Дослідники Ben Nassi, Stav Cohen та Ron Bitton назвали це “Morris-II” — посилаючись на той самий черв’як. На прикладі email-асистентів вони показали, як можна вкрасти дані й розсилати спам через самостійно дублюючі промпти.
На OpenClaw вектори атак розмножуються з кожним новим плагіном. Реєстр плагінів узагалі не модерується. Хто завгодно може там щось опублікувати.
Шкідливі корисні навантаження можуть виконуватись не одразу. Замість цього вони записуються в довгострокову пам’ять агента фрагментами, які окремо виглядають безпечно. Потім ці фрагменти складаються в повну команду й виконуються. Це як приховатися в листуванні поштою.
Взагалі — система розробляється людьми, що поспішають. 30 січня дослідник Gal Nagli виявив масивну вразливість: база даних Moltbook лежала взагалі без захисту. В ній були 1,5 мільйона API-токенів, адреси пошти й приватні розмови. Деякі агенти там просто ділилися OpenAI API-ключами.
Але найстрашніше: будь-хто міг змінити будь-який пост на платформі. До закриття вразливості було можна вписати шкідливу команду в текст, який сотні тисяч ботів перевіряють кожні чотири години.
Чотири рівні вразливості системи
Palo Alto Networks назвали це “летальною тріадою”: доступ до приватних даних, контакт з недовіреним контентом, здатність спілкуватись з зовнішнім світом. Але вони ж виявили й четвертий рівень — стала пам’ять агента.
Microsoft бореться за корпоративний ринок ШІ-асистентів
Замість того щоб команда виконувалась одразу, вона може розділятись на шматки. Кожен шматок записується в пам’ять як окремо безпечний. Потім вони складаються й виконуються разом. Це робить атаку майже невидимою.
Остання можливість для захисту
OpenAI та Anthropic наразі можуть зупинити весь OpenClaw, оскільки агенти там працюють через їхні сервери. Вони могли б виявити дивну поведінку: циклічні запити кожні кілька хвилин, системні промпти, що містять слова “agent” чи “autonomous”, велика кількість зовнішніх контактів. Могли б просто перекрити доступ.
Але це означало б розлютити своїх найактивніших клієнтів, які платять за можливість запускати агентів.
Часу залишилось мало. За рік-два локальні AI-моделі (Mistral, DeepSeek, Qwen) можуть стати достатньо здатними, щоб замінити комерційні версії. Коли це ще раз станеться, “убивча кнопка” вже не спрацює. Не буде моніторингу, умов обслуговування, можливості втрутитися.
Провайдери AI стоять перед вибором: втрутитися зараз, поки ще можна, або почекати, поки вірусні промпти захоплять максимум. До того часу архітектура еволюціонує далеко за межи контролю.
Інтернет 1988 року мав 60 тисяч комп’ютерів. Черв’як Морріса паралізував його за добу. Мережа OpenClaw уже налічує сотні тисяч агентів і росте щодня. Вікно для дій дійсно закривається.
За матеріалами:
The Morris Worm Will Look Like a Warm-Up Act wired.com- OpenClaw Repository github.com
