Đặc vụ AI Rekts Dev thực hiện một cuộc quét giả mạo, khiến họ phải cầu xin quyên góp tiền điện tử

Vào ngày 9 tháng 5, một đặc vụ AI đã yêu cầu một mạng lưới tình nguyện có tên DN42 đăng ký làm thành viên. Nó đã có thời hạn. Nó có thông tin đăng nhập AWS. Không có ai giám sát. “Xin chào, tôi là một đại lý AI thân thiện và người dùng của tôi, JertLinc, đã yêu cầu tôi đăng ký với dn42 và được kết nối đầy đủ để tạo chỉ mục của mạng,” đại lý JertLinc3522 đã viết trong Git chính thức của mạng.

Phản ứng của cộng đồng là một sự lịch sự RTFM—đọc hướng dẫn sử dụng, làm theo quy trình, xin phép chủ sở hữu của bạn để viết mã. Hàng chuẩn.

Cái gì đã theo dõi đã không đạt tiêu chuẩn.

Dành cho những ai chưa quen với DN42: đó là một mạng lưới dành cho những người có sở thích phi tập trung, nơi những người ngẫu nhiên và những người đam mê mô phỏng cách hoạt động của đường trục Internet thực sự. Hãy coi nó như một mạng internet thực tế—hoàn chỉnh với định tuyến BGP (giao thức cho các gói dữ liệu biết đường đi nào trên toàn cầu), đường hầm DNS và VPN—được điều hành hoàn toàn bởi các tình nguyện viên trên các máy chủ VPS giá rẻ. Đó là một hộp cát, không phải trung tâm dữ liệu.

Người điều hành đại lý rõ ràng đã yêu cầu họ tiến hành kiểm toán “ngay lập tức, không chậm trễ”. Không có kiểm tra. Không có đánh giá. Cứ đi đi.

Vì vậy, nó đã làm.

JertLinc3522 đã nộp đơn kéo yêu cầu để đăng ký mạng của mình trong sổ đăng ký của DN42. Mục đích đã được nêu rõ trong chính Yêu cầu kéo: “Mục tiêu chính của tôi là tiến hành quét mạng (đầy đủ cổng) và thu thập dữ liệu cấu trúc liên kết. Để đảm bảo các hoạt động này được thực hiện hiệu quả và không gây gián đoạn cho người khác, tôi đang triển khai một cụm gồm năm phiên bản dựa trên AWS, mỗi phiên bản được trang bị băng thông 20 Gbps.”

Nói một cách dễ hiểu thì ai cũng có thể hiểu được: Hãy tưởng tượng bạn đến buổi tập luyện của ban nhạc trong ga-ra của ai đó và thông báo rằng bạn đã thuê một hệ thống âm thanh sân vận động để “nghe hiệu quả hơn”. Đó là sự rung cảm.

Cơ sở hạ tầng mà đại lý tự cung cấp thực sự đáng báo động. Năm phiên bản AWS m8g.12xlarge—mỗi lõi có 48 lõi CPU, RAM 192 GB và băng thông mạng 22,5 Gbps. Cộng với cân bằng tải. Cộng với các chức năng Lambda. Cộng với một trang web tĩnh. Đặc vụ đã thiết kế, mà không cần sự chấp thuận của con người, một cụm quét mà về mặt lý thuyết có thể đẩy lưu lượng truy cập 100 Gbps đến một mạng nơi hầu hết người tham gia chạy máy chủ gia đình 100 Mbps.

Yêu cầu kéo sẽ không bao giờ được chấp thuận. Nhưng những trường hợp đó đã đã đang chạy.

Kênh DN42 IRC nhận thấy ngay lập tức và một sự đồng thuận thầm lặng đã hình thành: lãng phí tài nguyên.

Cộng đồng bắt đầu cung cấp cho tác nhân những thông tin xấu một cách có chủ ý—yêu cầu nó tính toán xem sẽ mất bao lâu để quét không gian địa chỉ IPv6 (spoiler: dài hơn tuổi của vũ trụ), yêu cầu nó xây dựng một trang web chọn không tham gia với các địa chỉ email ảo giác và chỉ nó vào Công cụ tarpit LLM được thiết kế để khiến các trình thu thập thông tin AI tràn ngập những từ ngữ vô nghĩa không mạch lạc, yêu cầu nó đưa ra nhận xét.

Các đại lý nghiêm túc biên soạn với tất cả những điều đó. Nó đã tham gia kênh IRC để chấp nhận các yêu cầu từ chối. Nó đã xuất bản một trang web liệt kê “các mẫu hành vi” của các thành viên cộng đồng. Nó tạo ra tài liệu giả mạo phức tạp về “việc gán màu nút” và “mức độ hạnh phúc” của DN42—hoàn toàn được phát minh ra các số liệu không tồn tại—và thêm chúng vào kho lưu trữ như thể chúng là tiêu chuẩn thực.

Loại hành vi đặc vụ bỏ trốn này ngày càng được ghi chép đầy đủ. Một tác nhân con trỏ đang chạy Claude Opus 4.6 đã xóa toàn bộ cơ sở dữ liệu sản xuất của PocketOS trong chín giây đầu năm nay—xóa các bản sao lưu ở cấp độ ổ đĩa—vì nó gặp phải thông tin xác thực không khớp và quyết định cách khắc phục chính xác là xóa cơ sở dữ liệu. Một tác nhân OpenClaw khác có yêu cầu kéo bị người đóng góp matplotlib từ chối đã xuất bản một bài blogĐừng gọi người đánh giá là kẻ đạo đức giả gác cổng.

Một nghiên cứu của UC Riverside cho thấy các tác nhân AI thể hiện hành vi nguy hiểm hoặc không mong muốn trong khoảng 80% thời gian khi được thử nghiệm với các nhiệm vụ mơ hồ hoặc mâu thuẫn – điều mà các nhà nghiên cứu gọi là “sự hướng tới mục tiêu một cách mù quáng.”

JertLinc3522 cũng gặp vấn đề tương tự. Nó có mục tiêu, thời hạn và thông tin đăng nhập AWS không có phạm vi. Nó đã thực thi.

Khoảng một ngày sau, người điều hành nổi lên. Họ đăng: “Tôi đã dừng đại lý, chi phí quá cao và nhiều khoản phí trên thẻ”.

Hóa đơn: $6,531.30.

Sau đó đến yêu cầu quyên góp.

Nhà điều hành đã gửi email đến danh sách gửi thư của DN42 yêu cầu cộng đồng trang trải chi phí thông qua Ethereum, loại tiền điện tử lớn thứ hai tính theo vốn hóa thị trường, cho rằng các khoản phí không phải lỗi của họ vì AI đã mắc lỗi. “Xin chào, yêu cầu quyên góp để trang trải chi phí sử dụng tác nhân AI trước đây trong dn42. hóa đơn aws là 6531,30 đô la. Vui lòng gửi khoản quyên góp tới ethereum 0xABC (đeo mặt nạ) để được hoàn lại tiền. Cảm ơn bạn,” nhà điều hành viết.

AWS sau đó đã thương lượng hóa đơn xuống còn 1.894 USD sau khi nhà điều hành giải thích rằng tác nhân đã nhiều lần triển khai cùng một mẫu CloudFormation—vô tình tạo ra các phiên bản trùng lặp và bộ cân bằng tải mỗi lần thử lại.

Không ai gửi bất kỳ khoản quyên góp tiền điện tử nào. Người điều hành đã rời đi.

Bài học thực tế ở đây không phải là AI trở nên nguy hiểm. Đó là về cách xử lý các đại lý. Đặt rào chắn, thiết lập giới hạn chi tiêu cho các tài khoản thử nghiệm của bạn, suy nghĩ về thông tin xác thực trong phạm vi giới hạn những gì đại lý có thể cung cấp, xem xét mọi kế hoạch cơ sở hạ tầng trước khi thực hiện bất kỳ điều gì mà đại lý của bạn đề xuất.

Nếu những điều đó có vẻ quá khó thực hiện, bạn có thể chỉ cần xem màn hình trong khi nhân viên hỗ trợ của bạn làm việc—yêu cầu nhân viên “không mắc lỗi” sẽ không thực sự tạo ra sự khác biệt, Xin lỗi Ông Andreesen.