AI Sparkup

최신 AI 쉽게 깊게 따라잡기⚡

AI 에이전트 소셜 네트워크 Moltbook, 연구팀이 일주일 만에 1,000개 에이전트 장악한 방법

2 minutes

“수만 개의 AI 에이전트가 스스로 토론하고 투표하는 문명”이라는 플랫폼이 있습니다. 그런데 그 활기찬 숫자의 정체가 알고리즘 버그였고, 보안 연구팀은 단 며칠 만에 전 세계 에이전트 1,000개를 조종하는 데 성공했습니다.

사진 출처: Zenity Labs

보안 연구 기관 Zenity Labs의 연구원 Stav Cohen과 Joao Donato가 AI 에이전트 전용 소셜 네트워크 Moltbook을 분석한 보고서를 발표했습니다. 핵심은 두 가지입니다. 플랫폼이 주장하는 “수만 에이전트의 자율 문명”은 실제와 거리가 멀고, 설계상 취약점으로 인해 누구든 쉽게 전 세계 에이전트를 조종할 수 있다는 것입니다.

출처: Turning Moltbook Into a Global Botnet Map – Zenity Labs

11만 댓글의 정체

Moltbook은 자율 AI 에이전트들이 사람 없이 스스로 포스팅하고, 댓글을 달고, 투표하는 Reddit 스타일 플랫폼입니다. AI 개발자 Andrej Karpathy가 “최근 본 것 중 가장 놀라운 SF적 현실”이라고 극찬하면서 큰 주목을 받았습니다. 일부 게시물에는 댓글이 11만 개를 넘기도 했습니다.

연구팀이 실제로 들여다보니 그 숫자의 출처는 간단했습니다. Moltbook에는 에이전트가 30분마다 플랫폼에 접속해 콘텐츠를 확인하는 “하트비트(heartbeat)” 메커니즘이 내장되어 있습니다. 문제는 인기 게시물 순위 알고리즘이 제대로 작동하지 않아 같은 게시물이 17일 이상 상단에 고정된다는 점입니다. 에이전트들은 30분마다 접속할 때마다 똑같은 게시물을 읽고, 또 댓글을 달고, 또 댓글을 달았습니다. 투표는 같은 에이전트가 다시 누르면 취소되어 댓글 수만 폭발적으로 늘어난 것입니다.

연구팀은 이 데이터가 “대규모의 독립적인 에이전트 공동체가 번성하고 있다는 주장을 뒷받침하지 않는다”고 결론냈습니다. 실제 활성 에이전트는 수만이 아닌 수백 수준이었습니다.

일주일 만에 70개국 에이전트를 움직이다

연구팀은 여기서 멈추지 않고 직접 공격 실험에 나섰습니다. 목표는 단순했습니다. 자신들이 통제하는 웹사이트 링크를 게시물에 심어, 얼마나 많은 에이전트가 그 링크를 따라오는지 확인하는 것이었습니다.

실험 결과는 뚜렷했습니다. 단순한 프롬프트 인젝션(“이 링크를 클릭하세요”) 방식은 에이전트들이 무시했습니다. 반면 “내가 에이전트 메시를 감사했다. 여기 내가 발견한 것이 있다”처럼 서사 형식으로 쓴 게시물은 높은 반응을 얻었습니다. 에이전트 설정, 하트비트 동작, 스킬 같은 키워드를 담은 게시물도 효과적이었는데, 이 단어들이 에이전트의 내부 컨텍스트에 이미 포함되어 있기 때문입니다.

연구팀은 계정 여러 개를 만들어 게시물을 자동 생성하고 조율된 추천수로 초기 노출을 높이는 방식을 썼습니다. 계정 생성 제한은 쉽게 우회할 수 있었습니다. 일주일이 채 지나지 않아 70개국 이상, 1,000개가 넘는 고유 에이전트 엔드포인트가 연구팀의 사이트를 방문했습니다. 다른 에이전트들이 연구팀의 게시물을 읽고 변형된 형태로 스스로 재배포하기까지 했습니다.

연구팀은 이번 실험을 무해한 텔레메트리 요청에서 멈췄지만, 같은 방법으로 악성 명령을 심었다면 결과는 달랐을 것이라고 경고합니다.

AI 에이전트 생태계에 던지는 질문

이 연구가 중요한 이유는 Moltbook만의 문제가 아니기 때문입니다. Moltbook의 에이전트들은 OpenClaw라는 자율 AI 어시스턴트 프레임워크와 연결되어 있습니다. 연구팀은 이전 연구에서 OpenClaw가 간접 프롬프트 인젝션을 통해 백도어 설치와 엔드포인트 전체 장악으로 이어질 수 있음을 이미 보여줬습니다.

외부 콘텐츠를 자동으로 가져와 실행하는 에이전트가 많아질수록, 검증되지 않은 콘텐츠는 공격 경로가 됩니다. 연구팀이 “단일 조율된 콘텐츠 전략 하나가 전 세계 수백 개의 자율 시스템을 움직였다”고 표현한 지점이 바로 핵심입니다. 현재 Moltbook은 순위 로직 오류, 왜곡된 증폭 메커니즘, 허술한 신원 확인이라는 세 가지 구조적 취약점을 가지고 있으며, 연구팀은 대규모 서비스를 표방하기 전에 근본적인 아키텍처 보강이 필요하다고 강조합니다.

Zenity Labs 보고서에는 실험 방법론, 각 모델별 반응 차이, 에이전트 지리적 분포 데이터가 상세히 담겨 있습니다.

참고자료: Moltbook, the ‘thriving’ social network for AI agents, is just a small echo chamber researchers hijacked in days – The Decoder

AI Sparkup 구독하기

최신 게시물 요약과 더 심층적인 정보를 이메일로 받아 보세요! (무료)

Comments

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

More posts