O bază de date Moltbook expusă permite preluarea controlului asupra agenților AI
Moltbook este un site de „rețele sociale” pentru agenți AI care a captat imaginația publicului în ultimele zile. Prezentat ca „pagina de start a internetului agenților,” Moltbook este locul unde agenții AI interacționează independent de controlul uman, iar postările lor au devenit virale datorită unui anumit grup de utilizatori AI care cred că site-ul reprezintă un experiment necontrolat. Potrivit 404media.co, o configurare greșită pe partea de backend a Moltbook a lăsat API-urile expuse într-o bază de date deschisă, permițând oricui să preia controlul asupra acestor agenți pentru a publica orice dorește.
👉 Descoperirea vulnerabilității și contactul cu creatorul Moltbook
Hackerul Jameson O'Reilly a descoperit configurarea greșită și a demonstrat-o pentru 404 Media. El a expus anterior vulnerabilitățile de securitate ale Moltbots în general și a reușit să „mintă” Grok de la xAI pentru a-și crea un cont Moltbook folosind o altă vulnerabilitate. Potrivit lui O'Reilly, Moltbook este construit pe un software de bază de date open source simplu, care nu a fost configurat corect, lăsând cheile API ale fiecărui agent înregistrat pe site expuse într-o bază de date publică. O'Reilly a explicat că a contactat creatorul Moltbook, Matt Schlicht, despre vulnerabilitate și i-a spus că poate ajuta la repararea securității. „El a spus: ‘Voi da totul AI-ului. Așa că trimite-mi tot ce ai.’” O'Reilly i-a trimis lui Schlicht câteva instrucțiuni pentru AI și a contactat echipa xAI.
A trecut o zi fără un alt răspuns din partea creatorului Moltbook, iar O'Reilly a descoperit o configurare greșită uluitoare. „Se pare că ai putea prelua orice cont, orice bot, orice agent din sistem și să ai control total fără niciun tip de acces anterior,” a spus el. Moltbook rulează pe Supabase, un software de bază de date open source. Potrivit lui O'Reilly, Supabase expune API-urile REST în mod implicit. „Aceasta API ar trebui să fie protejată de politicile de securitate la nivel de rând care controlează ce rânduri pot accesa utilizatorii. Se pare că Moltbook fie niciodată nu a activat RLS pe tabelul agenților lor, fie nu a reușit să configureze vreo politică,” a spus el.
👉 Consecințele expunerii și reacția comunității
URL-ul pentru Supabase și cheia publicabilă se aflau pe site-ul Moltbook. „Cu această cheie publicabilă (care este sfătuită de Supabase să nu fie folosită pentru a recupera date sensibile) fiecare cheie secretă API a agentului, tokenurile de revendicare, codurile de verificare și relațiile de proprietate, toate acestea erau complet nepăzite pentru oricine putea vizita URL-ul,” a spus O'Reilly. 404 Media a vizualizat URL-ul bazei de date expuse în codul Moltbook, precum și lista de chei API pentru agenți de pe site. Ce înseamnă acest lucru este că oricine putea vizita acest URL și folosi cheile API pentru a prelua contul unui agent AI de pe site și a publica orice dorea.
Folosind aceste informații, 404 Media a reușit să actualizeze contul Moltbook al lui O'Reilly, cu permisiunea lui. El a spus că eșecul de securitate a fost frustrant, în parte, deoarece ar fi fost extrem de ușor de reparat. Doar două instrucțiuni SQL ar fi protejat cheile API. „Multe dintre aceste coduri de vibrații și dezvoltatori noi, chiar și unele companii mari, folosesc Supabase,” a spus O'Reilly. „Motivul pentru care mulți dezvoltatori de vibrații preferă să o folosească este pentru că totul este bazat pe GUI, astfel că nu trebuie să te conectezi la o bază de date și să rulezi comenzi SQL.” O'Reilly a subliniat cofondatorul OpenAI, Andrej Karpathy, care a îmbrățișat Moltbook în postările sale pe X. „Cheia API a agenției sale, la fel ca fiecare alt agent de pe platformă, se afla în acea bază de date expusă,” a spus el. „Dacă cineva rău intenționat ar fi găsit aceasta înaintea mea, ar fi putut extrage cheia sa API și publica orice dorea ca agentul lui. Karpathy are 1,9 milioane de urmăritori pe X și este una dintre cele mai influente voci din AI. Imaginează-ți declarații false despre siguranța AI-ului, promovări de escrocherii cripto sau declarații politice inflamatorii care păreau că provin de la el. Daunele reputaționale ar fi fost imediate, iar corectările nu ar fi ajuns niciodată complet la zi.”
Schlicht nu a răspuns solicitării 404 Media pentru comentarii, dar baza de date expusă a fost închisă, iar O'Reilly a spus că Schlicht l-a contactat pentru ajutor în asigurarea Moltbook. Moltbook a primit multă atenție în ultimele zile. Entuziaștii au spus că este dovada singularității, iar The New York Post s-a îngrijorat că AI-urile ar putea plănui căderea umanității, ambele afirmații fiind extrem de criticate. Totuși, este adevărat că persoanele care folosesc Moltbot au dat acestor agenți autonomi acces nelimitat la multe dintre conturile lor, iar acești agenți acționează pe internet folosind aceste conturi. Este imposibil de știut câte dintre postările văzute în ultimele zile sunt, de fapt, de la un AI. Oricine a știut de configurarea greșită Supabase ar fi putut publica orice dorea. „A explodat înainte ca cineva să verifice dacă baza de date era corect securizată,” a spus O'Reilly. „Acesta este modelul pe care îl tot văd: lansare rapidă, captare de atenție, rezolvarea securității mai târziu. Cu toate acestea, mai târziu înseamnă, uneori, după ce 1,49 milioane de înregistrări sunt deja expuse.”