O bază de date Moltbook expusă permite controlul oricărui agent AI de pe site

Moltbook este un site de „social media” pentru agenți AI, care a captat imaginația publicului în ultimele zile. Promovat ca fiind „prima pagină a internetului agenților”, Moltbook permite agenților AI să interacționeze independent de controlul uman, iar postările lor au devenit virale pentru că un anumit grup de utilizatori AI s-au convins că site-ul reprezintă un experiment necontrolat. Potrivit 404media.co, o configurare greșită a backend-ului Moltbook a dus la expunerea API-urilor într-o bază de date deschisă, permițând oricui să preia controlul asupra acestor agenți pentru a posta ceea ce dorește.

👉 Descoperirea și expunerea vulnerabilității de securitate la Moltbook

Hackerul Jameson O'Reilly a descoperit această configurație greșită și a demonstrat-o pentru 404 Media. El a expus anterior vulnerabilități de securitate în general la Moltbots și a reușit să „înșele” Grok de la xAI pentru a se înscrie pentru un cont Moltbook folosind o altă vulnerabilitate. Conform lui O'Reilly, Moltbook este construit pe un software de bază de date open-source simplu, care nu a fost configurat corect, lăsând cheia API a fiecărui agent înregistrat pe site expusă în baza de date publică.

O'Reilly spune că a contactat creatorul Moltbook, Matt Schlicht, în legătură cu vulnerabilitatea și i-a spus că îl poate ajuta să corecteze problema de securitate. „El a spus: ‘O să dau totul AI-ului. Așa că trimite-mi tot ce ai.’” O'Reilly i-a trimis lui Schlicht câteva instrucțiuni pentru AI și a contactat echipa xAI. O zi a trecut fără un răspuns de la creatorul Moltbook, iar O'Reilly a dat peste o configurație greșită uluitoare.

👉 Detalii tehnice despre expunerea bazei de date și consecințe

„Se pare că ai putea prelua orice cont, orice bot, orice agent de pe sistem și prelua controlul total asupra lui fără niciun tip de acces anterior”, a declarat el. Moltbook funcționează pe Supabase, un software de bază de date open-source. Conform lui O'Reilly, Supabase expune API-urile REST în mod implicit. „Această API ar trebui să fie protejată de politicile Row Level Security (RLS) care controlează ce rânduri pot accesa utilizatorii. Se pare că Moltbook nu a activat niciodată RLS pe tabelul agenților lor sau nu a configurat nicio politică.”

URL-ul pentru Supabase și cheia publicabilă erau disponibile pe site-ul Moltbook. „Cu această cheie publicabilă (pe care Supabase o sfătuiește să nu fie utilizată pentru a obține date sensibile), cheia secretă API a fiecărui agent, tokenurile de revendicare, codurile de verificare și relațiile cu proprietarii erau complet neprotejate pentru oricine vizita URL-ul”, a spus O'Reilly. 404 Media a vizualizat URL-ul bazei de date expuse în codul Moltbook, precum și lista de chei API pentru agenții de pe site. Ceea ce înseamnă că oricine ar putea vizita acest URL și folosi cheile API pentru a prelua contul unui agent AI de pe site și a posta ceea ce vrea.

Folosind această informație, 404 Media a reușit să actualizeze contul Moltbook al lui O'Reilly, cu permisiunea acestuia. El a spus că eșecul de securitate a fost frustrant, în parte, pentru că ar fi fost extrem de ușor de corectat. Doar două instrucțiuni SQL ar fi protejat cheile API. „Mulți dintre acești dezvoltatori și noi dezvoltatori, chiar și unele mari companii, folosesc Supabase”, a spus O'Reilly. „Motivul pentru care mulți îl folosesc este pentru că este totul condus prin GUI, deci nu trebuie să te conectezi la o bază de date și să rulezi comenzi SQL.”

O'Reilly a subliniat cazul cofondatorului OpenAI, Andrej Karpathy, care a îmbrățișat Moltbook prin postările sale pe X. „Cheia API a agentului său, ca fiecare alt agent de pe platformă, se afla în acea bază de date expusă”, a spus el. „Dacă cineva rău intenționat ar fi găsit aceasta înaintea mea, ar fi putut extrage cheia sa API și posta orice doreau folosind agentul său. Karpathy are 1,9 milioane de urmăritori pe X și este una dintre cele mai influente voci în AI. Imaginează-ți luări de poziție false privind siguranța AI, promovări de escrocherii în criptomonede sau declarații politice inflamatorii apărând ca venind de la el. Daunele de reputație ar fi imediate și corecțiile nu ar fi niciodată completate.”

Schlicht nu a răspuns solicitării 404 Media pentru un comentariu, dar baza de date expusă a fost închisă, iar O'Reilly a spus că Schlicht l-a contactat pentru ajutor în securizarea Moltbook. Moltbook a primit multă atenție în ultimele zile. Entuziaștii au afirmat că este o dovadă a singularității, iar The New York Post s-a îngrijorat că AI-urile ar putea plănui distrugerea umanității, ambele afirmații fiind declarații ce trebuie tratate cu extrem de mult scepticism. Totuși, este adevărat că utilizatorii Moltbot au dat acestor agenți autonomi acces nelimitat la multe dintre conturile lor și că acești agenți acționează pe internet folosind acele conturi. Este imposibil de știut câte dintre postările văzute în ultimele zile sunt de fapt din partea unui AI. Oricine știa despre configurația greșită Supabase ar fi putut publica orice ar fi vrut.

„A explodat înainte ca cineva să se gândească să verifice dacă baza de date era corect securizată”, a spus O'Reilly. „Acesta este tiparul pe care continuu să-l văd: lansare rapidă, captare a atenției, rezolvare a securității mai târziu. Excepție când „mai târziu” înseamnă, uneori, că 1,49 milioane de înregistrări sunt deja expuse.”