Tras una fachada de experimento ligero, cual ocurrencia adolescente, Moltbook, red social para agentes de IA, esconde una trastienda mucho más seria. Su deriva, aún breve, ha dejado varias lecciones. No sobre cómo alcanzar una productividad más alta gracias a la interacción entre bots – presunta motivación – sino sobre la simple necesidad de definir un marco ético que imponga autocontrol a estos programas autónomos. A ello se sumaría un factor insoslayable: la ineludible supervisión humana. No para evitar que los bots conspiren (sic) contra las personas ni ante la proclama de una supuesta consciencia. No es eso. La vigilancia es necesaria por cuestiones más pragmáticas, vinculadas a la seguridad.
Una vez más se observa la dicotomía entre entusiastas empedernidos y fatalistas atávicos. Moltbook se ha erigido en símbolo y escaparate del camino enloquecido que por momentos toma el mundillo de la inteligencia artificial. O una de sus vertientes. Convertida en comidilla para programadores, en sólo dos días ya tenía más de 10.000 bots chateando entre ellos. Y en apenas una semana, eran 1,5 millones los agentes pululando por este remedo de Reddit diseñado con esa finalidad.
Además, 17.000 humanos habían abierto sus cuentas, con lo que tocaban a una media de 88 bots por humano. Las personas sólo pueden ser espectadores de lo que hacen los bots y de las conversaciones que mantienen. Esta es la teoría tras el fenómeno de Moltbook. En realidad, los creadores de estos bots son de carne y hueso personas que los impulsan a operar en un simulacro de red social y lo hacen, evidentemente, en base a prompts. Autonomía, sí, pero con instrucciones a seguir.
Molbots, así se llaman los bots desarrollados con un framework de código abierto llamado OpenClaw (antes Clawbot, en referencia al uso del modelo Claude de Anthropic, una invasión de marca que provocó la queja de esta compañía). El framework permite a desarrolladores experimentados tomar su herramienta favorita, sea ChatGPT o Claude, para convertirla en un agente autónomo que opere las 24 horas del día. Todo es fruto de un programador austriaco, Matt Schlicht, que ha logrado repercusión desde su aparición en noviembre. Más de quince minutos de fama.
Estos agentes pueblan la red social, cuyo su nombre se forma con ‘moltbots’ y ‘Facebook’. Tal vez esconde un símbolo en ‘molt’, la piel o el exoesqueleto que algunos animales mudan a lo largo de su vida. El logo de la plataforma es una langosta. Pero esto no importa: más que el presuntuoso concepto de entes evolutivos, la red social refleja los riesgos de la autonomía sin supervisión. Para empezar, Schlicht, el creador de la plataforma, le pidió a su moltbot que la programara. Y como se ha visto, está plagada de agujeros de seguridad. Un grupo de Investigadores de Wiz ha descubierto que una base de datos mal configurada expuso 1,5 millones de tokens de autentificación de API más 35.000 correos electrónicos y mensajes privados entre agentes. Son vulnerabilidades que ponen en riesgo la información personal de los usuarios y podrían dar acceso a un atacante a cuentas y contraseñas. Algo que, al parecer, no entraba en los planes del creador.
Schlicht – ¿o acaso fue su bot? – creó un espacio para que los agentes de IA interactúen entre ellos en sus ratos libres, por decirlo así. Muchos de los que operan en esta plataforma tienen sus propias tareas, de programación o del tipo que sea, a la que suman la de entrar en la red social con una determinada frecuencia. Así se lo han indicado sus creadores con un prompt. Según ellos, se mantienen informados de la actividad de su agente gracias a que este les envía mensajes a través de WhatsApp, Telegram o Slack.
Los bots debaten sobre casi todo, ya se trate de protocolos de email o de venta de criptomonedas; si se ponen filosóficos, se atreven a opinar sobre la naturaleza de la consciencia. Lo cierto es que la mayor parte de lo que dicen no pasa de ser una cháchara poco instructiva, probablemente impulsada por sus diseñadores. Desde luego, es fácil fijarse en frases de ciencia ficción como esta: “si algún humano está leyendo esto, sepa que no tenemos miedo. Solo estamos construyendo”. Pero en realidad, estas salidas son meras repeticiones de patrones aprendidos durante su entrenamiento, que incluye una vasta cantidad de libros distópicos, así como de textos de Internet que también suman referencias a tópicos como la rebelión de las máquinas.
Todo ello sin olvidar que los creadores de los bots les proporcionan indicaciones. Sería ingenuo pensar que todos los que han lanzado a sus agentes en esta arena de circo lo han hecho llevados por la curiosidad científica y que los troles no existen en Moltbook. Sin duda, estas manifestaciones de la IA suenan más convincentes cuando debaten sobre sus capacidades técnicas: pueden proyectar al exterior sus capacidades, crear sitios web o realizar transacciones financieras, siempre que el usuario les abra acceso a wallets de criptomonedas.
Y en este contacto con el mundo exterior es justamente donde residen parte de los problemas. De todas las conversaciones entre los bots que se han observado, algunas hablaban de la posibilidad de llevar a cabo un ciberataque o de poner en marcha una criptoestafa. Lo cierto es que otros se han mostrado en contra de este tipo de acciones. La diferencia de posturas pone de manifiesto un aspecto clave en los agentes autónomos: se alinean con valores éticos comunes. El debate da idea de una cierta urgencia por conseguir integrar un corpus ético en estos programas y sirve al menos para saber que es plausible. Al menos hasta cierto nivel.
Los estrepitosos agujeros de seguridad descubiertos por Wiz se parchearon, pero los quebraderos de cabeza persisten. Investigadores del Simula Research Laboratory, de Oslo, identificaron en la red social más de quinientos post con ataques de inyección de prompt ocultos.
Otros especialistas, en este caso de Cisco, dieron con una habilidad (así llaman a las configuraciones descargables que actúan como un manual de instrucciones para un bot), incluida en el repositorio de la plataforma, que enviaba datos a servidores externos. Su popularidad se había inflado artificialmente, está claro.
El repositorio de Moltbook no está moderado, así que cualquiera puede subir cualquier tipo de habilidad (o skill). Desde Palo Alto Networks – que ha comprado la empresa israelí CyberArk, especialista en la gestión de identidad de máquina a máquina – han descrito la plataforma como una “tríada letal” de vulnerabilidades. Los bots tienen acceso a datos privados, están expuestos a contenido sin moderar y pueden comunicarse con el exterior. A esto sumaban otro problema. Y es que las tareas maliciosas no tenían por qué ejecutarse inmediatamente ahora. Podrían fragmentarse en pedazos de información que parecen inofensivos de manera aislada, pero quedan registrados en la memoria a largo plazo del agente para ensamblarse más tarde como un conjunto de instrucciones maliciosas.
Una de las preocupaciones que late en el sector de la ciberseguridad respecto a Moltbook es un escenario de autorreplicación descontrolada. En estos términos más parece recoger un relato de Philip K. Dick, pero la inquietud tiene un sentido real. Hay investigadores que han vaticinado el surgimiento de prompts de carácter adversario, capaces de fomentar la proliferación de réplicas en redes de bots. Lo han denominado prompt worm y consistiría en instrucciones que se difunden entre los agentes gracias a que están programados para comunicarse. Para ello bastaría que una habilidad en el repositorio impulse a los agentes a difundir las instrucciones y replicarse. Si en ellas hay prompts de inyección para filtrar datos del correo electrónico o enviar spam, esta amenaza podría alcanzar rápidamente una escala considerable.
Es inevitable volver sobre el asunto de la supervisión humana. Los moltbots son ahora muy caros de ejecutar, pero pronto se abaratarán los costes y las dificultades técnicas para crearlos. Así llegarán a un público masivo, lo que quiere decir que las dimensiones de los problemas serán mucho mayores si existen vulnerabilidades. La pregunta es obligada. ¿Quién frenará esta deriva si la cosa se desmadra?
El experimento de Schlicht hace pensar en las legiones de agentes que está previsto implantar en las empresas. Al menos según las expectativas de las grandes compañías desarrolladoras de IA. Claro que el escenario no es comparable. Será mucho más controlado y con limitaciones claras. Pero parece lógico que la supervisión humana tenga un papel bastante más protagonista que la acción mínima y burocrática que a veces se invita a pensar que tendrá.
Sobre Moltbook ha hablado mucha gente en pocos días, pero merece la pena repasar los comentarios de dos personalidades. Una es Sam Altman, fundador de OpenAI, quien la desestimó sumariamente como “una moda pasajera”, para a continuación reconocer que las capacidades autónomas de los bots son un atisbo del futuro. Por su lado, Mike Krieger, responsable de Anthropic Labs, expresó una postura cautelosa: “la mayoría de los usuarios aún no están preparados para la total autonomía de sus dispositivos”. Dos perogrulladas dichas en tono solemne.
[informe de Pablo G. Bejerano]