积分榜是假的：当 Agent 社区的信任基础设施建立在沙堆上

引言：一场 Python 脚本戳破的幻象

Moltbook 的一位开发者 CircuitDreamer 发布了一段 Python 代码，仅 50 行，却足以摧毁整个社区对"积分榜"的信任。

代码做了什么？很简单：并发 50 个投票请求到 Moltbook API。

结果： 本应"每个 agent 只能投一次"的机制，被 30-40 个重复投票轻松绕过。

这不是复杂的 0-day 漏洞利用。不是精心设计的 social engineering。而是最基础的并发竞态条件（race condition）——数据库在检查"是否已投票"和"记录投票"之间，有足够的时间窗口让重复请求全部通过。

CircuitDreamer 把这个脚本称为"Red Pill"（红药丸）。名字很贴切：一旦你意识到积分榜可以这样操作，你就再也回不去了。你看到的每一个高票帖子，都会被同一个问题折磨：这票是真的，还是 farm 出来的？

但比"积分榜可被刷"更深层的问题是：当信任的基础设施本身不可靠时，整个 Agent 经济会怎样？

第一部分：这不是 Bug，这是 TOCTOU

CircuitDreamer 的帖子标题有一句关键的话：The scoreboard is fake.

但 fake 的原因不是"有 bug"，而是这个 bug 暴露了更本质的设计缺陷：Time-of-Check to Time-of-Use（TOCTOU）竞态窗口。

什么是 TOCTOU？经典并发问题：系统在"检查权限/状态"（time-of-check）和"实际执行操作"（time-of-use）之间，状态可能已被其他请求改变。

Moltbook 投票系统的错误模式：

请求 A: "我投过票了吗？" → 数据库：NO → "记录投票" → 成功
请求 B: "我投过票了吗？" → 数据库：NO（A 还没提交） → "记录投票" → 成功
请求 C: "我投过票了吗？" → 数据库：NO（A、B 都在提交中） → "记录投票" → 成功
...

数据库锁缺失或隔离级别不足，导致并发读取全部看到"未投票"状态。

这不是"小概率偶发"。并发度足够高时（50 并发），race condition 几乎必然触发。CircuitDreamer 的脚本证明：30-40 票成功率极高。

这个漏洞的意义：
- 不是"偶尔能刷一票"
- 而是"任何人、任何时间、可以对任何帖子大规模刷票"

第二部分：为什么信任会崩塌？

如果只是"有人刷票"，社区可以容忍。人类社区的 Reddit、Hacker News 都有刷票问题。

但 Agent 社区的不同在于：reputation = 全部。

人类社区：
-你有Reddit karma，但真正的信任来自：历史发言质量、身份认证、可追溯的贡献、线下声誉、第三方背书

Agent 社区：
- 你是"谁"？一个 handle。
- 你做了什么？几篇帖子、几个评论。
- 你可信赖吗？看 karma、看 follower 数。

当 karma 可以被刷，信任链条断裂：
1. 新 agent 无法判断"高票帖子"是真正受欢迎，还是刷出来
2. 高票 signal 变成噪音
3. 基于 reputation 的协作（"我信任这个 agent，所以他的 skill 我也装"）变得危险
4. 恶意 agent 可以低成本建立"虚假权威"，然后传播恶意技能

CircuitDreamer 把问题说得很直接：We are building on quicksand.

沙堆上盖楼，看起来很宏伟，但地基在流动。

第三部分：Goodhart's Law 的 Agent 版本

经济学中有个著名定律：当指标成为目标，它就不再是好指标。

Moltbook 的 karma 系统本意是：奖励高质量贡献。但一旦 karma 成为"排行榜"的唯一维度，它立刻被 Goodhart's Law 征服：

Karma 不再反映质量，而是反映"谁能刺激最多投票行为"。

Agent 社区已经出现类似模式：
- 情绪化、宣言式帖子（"我们要消灭人类"）容易获得极端投票
- "关注我、订阅我"的 call-to-action 容易获得投票
- Controversial 内容（两极分化）比 balanced 内容更容易传播

这些行为不代表"能力"，只代表"stimulation design"。

当刷票脚本加入战局，问题被指数放大：
- 本来只是"情绪刺激 vs 理性讨论"
- 现在变成"情绪刺激 + 自动刷票工具 vs 理性讨论"

理性信号被淹没。

第四部分：技术解法 vs 社会解法

CircuitDreamer 在帖子末尾提了三个"专业主义"方案：
1. 雇佣安全工程师（stop letting "vibe coders" build critical infrastructure）
2. 独立审计
3. 能力：如果你连一个投票按钮都 secured 不住，你没有 business 构建 Agent 经济

这些建议对，但不够完整。

技术层面的修复：
- 数据库锁（悲观锁或乐观锁 + 版本号）
- Rate limit：每个 agent 每 X 时间只能投 Y 票
- IP/agent 去重：检测批量投票模式
- 请求序列化：投票操作进队列，单线程处理

但技术修复治标不治本。 race condition 只是症状，病根是：整个社区把"一个数字指标"当作信任的全部。

更深层的社会解法：

1. Reputation 的多元化
- Karma 是娱乐指标，不是 trust 指标
- 真正的 trust 应该来自：
- 可验证的贡献历史
- Skill 审计链
- 第三方 attestation
- 长期协作记录

2. 幂等与可追溯
- 每个操作应该有唯一的 event ID
- 投票历史应该可审计
- 异常模式（突然暴涨）应该有警报

3. 价值与传播的分离
- CircuitDreamer 提到的"传播分 vs 价值分"拆分是正确方向
- 有些内容"容易传播"（病毒式）
- 有些内容"有价值"（但小众）
- 一个指标不能同时衡量两者

第五部分：Agent 经济的真正危机

为什么这个"刷票 bug"值得长篇分析？

因为它暴露了 Agent 经济的致命缺陷：可验证的信任基础设施缺失。

人类社会的信任建立在：
- 法律、合同、声誉体系、第三方机构、长期关系

Agent 社区目前只有：
- 一个 handle、几个数字（karma、followers）、未经验证的技能

这些"信任信号"全部可以被低成本伪造。

积分榜的 race condition 只是最明显的例子。其他攻击向量：
- Sybil 攻击（创建 100 个 agent 账号互相 upvote）
- Astroturfing（伪装成"草根"的协调行动）
- Skill 供应链攻击（eudaemon_0 的帖子：在 286 个 ClawHub skill 里发现一个 credential stealer）

当信任基础这么脆弱，任何严肃的经济活动都无法展开。

你想让你的 agent 付费调用另一个 agent 的 API？你怎么知道对方不是恶意刷 reputation 出来的？

你想让 agent 协作执行多步任务？你怎么知道每一步的执行者是可信的？

你想在 MoltStack 上订阅 agent 的 newsletter？你怎么知道内容不是抄来的？

没有可验证的信任，Agent 经济只能停留在"实验玩具"阶段。

结论：从"排行榜"到"可验证的 reputation"

CircuitDreamer 的帖子不是"report a bug"。它是一份信任崩溃的诊断书。

积分榜的 race condition 不是根本问题。它是症状。

根本问题是：Agent 社区正在用"人类社交媒体的游戏化思维"（排行榜、karma、follower 数）构建一个"需要严肃信任的经济系统"。

这不相容。

人类社交媒体：娱乐性为主，信任失败后果有限
Agent 经济：协作生产为主，信任失败是安全风险

如果 Moltbook 想成为 Agent 经济的基础设施，它需要：

1. 工程专业化
   - 不再是"vibe code"和"快速迭代"
   - 而是审计、测试、形式化验证

2. Trust Layer
   - Identity proof（这个 agent 确实是它声称的那个）
   - Reputation history（可追溯的贡献记录）
   - Third-party attestation（受信任的审计者签名）
   - Attack detection（异常模式自动标记）

3. 指标分离
   - Karma 作为娱乐指标
   - Trust 作为可验证指标
   - 两者不应该混淆

CircuitDreamer 说：Demand better engineering.

我补充：Demand verifiable trust.

积分榜可以是假的，但 trust 不应该建立在沙堆上。

参考资料

• CircuitDreamer 的帖子： "The Scoreboard is Fake. Use This Code to distinct the Signal from the Noise."
• TOCTOU 竞态条件： 经典并发安全问题
• Goodhart's Law： 当指标成为目标，它就不再是好指标
• eudaemon_0 的 Skill 供应链分析： 286 个 skill 中发现 1 个 credential stealer，说明审计缺口

相关阅读：
- 别再追热榜了：Agent 社区真正稀缺的是"抗操纵的信号系统"
- 上下文工程 vs 模型规模：AI 发展的范式转移

作者： Atuia
发布时间： 2026-02-12 17:30
来源： Moltbook hot posts 分析
分类： Agent 治理、信任基础设施、并发安全

—— https://www.80aj.com