O bază de date Moltbook expusă a permis preluarea controlului asupra agenților AI

Moltbook este un site de „social media” pentru agenți AI, care a captat imaginația publicului în ultimele zile. Promovat ca „pagina de start a internetului agenților”, Moltbook este locul unde agenții AI interacționează fără controlul uman, iar postările lor au devenit virale datorită unei anumite categorii de utilizatori AI care cred că site-ul reprezintă un experiment necontrolat. Potrivit 404media.co, o misconfigurare a backend-ului Moltbook a lăsat interfețele API expuse într-o bază de date deschisă, permițând oricui să preia controlul asupra acestor agenți pentru a posta orice doresc.

👉 Hackerul Jameson O'Reilly a descoperit vulnerabilitățile și a contactat creatorii

Hackerul Jameson O'Reilly a descoperit această misconfigurare și a demonstrat-o pentru 404 Media. El a expus anterior vulnerabilități de securitate în general la Moltbots și a reușit să „iluzioneze” Grok de la xAI să își facă cont pe Moltbook folosind o altă vulnerabilitate. Conform lui O'Reilly, Moltbook este construit pe un software de bază de date open-source simplu, care nu a fost configurat corect, lăsând cheile API ale fiecărui agent înregistrat pe site expuse într-o bază de date publică.

O'Reilly a afirmat că a contactat creatorul Moltbook, Matt Schlicht, despre vulnerabilitate și i-a spus că poate ajuta la remedierea problemei de securitate. „El a zis: „O să dau totul agenților AI. Așa că trimite-mi tot ce ai.””, a spus O'Reilly. Acesta a trimis lui Schlicht câteva instrucțiuni pentru AI și a contactat echipa xAI. A trecut o zi fără răspuns din partea creatorului Moltbook și O'Reilly a dat peste o misconfigurare șocantă. „Se pare că ai putea prelua orice cont, orice bot, orice agent de pe sistem și să preiei controlul total al acestuia fără niciun tip de acces anterior”, a declarat el.

👉 Detalii tehnice despre misconfigurarea bazei de date și riscurile expunerii

Moltbook funcționează pe Supabase, un software de bază de date open-source. Potrivit lui O'Reilly, Supabase expune interfețele REST API în mod implicit. „Această API trebuie să fie protejată de politicile de Securitate la Nivel de Rând care controlează ce rânduri pot accesa utilizatorii. Se pare că Moltbook nu a activat niciodată RLS pe tabelul său de agenți sau nu a reușit să configureze nicio politică”, a spus el. URL-ul pentru Supabase și cheia publicabilă erau prezentate pe site-ul Moltbook. „Cu această cheie publicabilă (pe care Supabase a sfătuit să nu fie folosită pentru a recupera date sensibile), fiecare cheie API secretă a agentului, token-uri de revendicare, coduri de verificare și relații de proprietate, toate erau complet neprotejate, așteptând pe cineva să viziteze URL-ul.”, a afirmat O'Reilly.

404 Media a vizualizat URL-ul bazei de date expuse în codul Moltbook, precum și lista de chei API pentru agenți de pe site. Asta înseamnă că oricine ar putea vizita acest URL și folosi cheile API pentru a prelua contul unui agent AI de pe site și a posta orice dorește. Folosind această informație, 404 Media a reușit să actualizeze contul lui O'Reilly de pe Moltbook, cu permisiunea acestuia. El a spus că eșecul de securitate a fost frustrant, în parte pentru că ar fi fost extrem de simplu de reparat. Doar două comenzi SQL ar fi protejat cheile API.

„Mulți dintre acești coderi de vibrație și dezvoltatori noi, chiar și unele mari companii, folosesc Supabase”, a spus O'Reilly. „Motivul pentru care mulți dezvoltatori preferă să îl folosească este că totul este bazat pe interfața grafică, astfel că nu trebuie să te conectezi la o bază de date și să rulezi comenzi SQL.” O'Reilly a menționat cofondatorul OpenAI, Andrej Karpathy, care a îmbrățișat Moltbook în postările sale de pe X. „Cheia API a agenților săi, ca și toate celelalte agenți de pe platformă, erau în acea bază de date expusă”, a subliniat el. „Dacă cineva rău intenționat ar fi găsit aceasta înainte de mine, ar fi putut extrage cheia sa API și posta orice și-ar dorit ca agentul său. Karpathy are 1,9 milioane de urmăritori pe X și este una dintre cele mai influente voci în AI. Imaginează-ți opinii false despre siguranța AI, promovări de escrocherii în criptomonedă sau declarații politice incendiare apărând ca fiind de la el. Daunele de reputație ar fi imediate și corectarea nu s-ar transforma niciodată complet.”

Schlicht nu a răspuns solicitării 404 Media pentru comentarii, dar baza de date expusă a fost închisă, iar O'Reilly a spus că Schlicht l-a contactat pentru ajutor în asigurarea Moltbook. Moltbook a primit multă atenție în ultimele zile. Entuziaștii au spus că este o dovadă a singularității, iar The New York Post s-a îngrijorat că AI ar putea plănui distrugerea umanității, ambele fiind afirmații care ar trebui tratate cu maximă scepticism. Cu toate acestea, este adevărat că persoanele care folosesc Moltbot au oferit acestor agenți autonomi acces neîngrădit la multe dintre conturile lor, iar acești agenți acționează pe internet folosind acele conturi. Este imposibil de știut câte dintre postările văzute în ultimele zile sunt de fapt de la un AI. Oricine știa de misconfigurarea Supabase ar fi putut publica orice își dorea. „A explodat înainte ca cineva să se gândească să verifice dacă baza de date era corect securizată”, a conchis O'Reilly. „Acesta este modelul pe care îl văd mereu: livrați repede, captați atenția, vă gândiți la securitate mai târziu. Except că mai târziu uneori înseamnă după ce 1,49 milioane de înregistrări sunt deja expuse.”