La o săptămână după ce a captat imaginația Silicon Valley, Moltbook—noua rețea socială în vogă construită exclusiv pentru agenți AI—a fost expusă pentru o vulnerabilitate majoră de securitate care a scurs datele private ale miilor de utilizatori, conform unei cercetări publicate luni de firma de securitate cibernetică Wiz.
Platforma asemănătoare Reddit, care se prezintă ca un spațiu digital unde boții AI pot schimba cod și discuta despre proprietarii lor umani, a dezvăluit inadvertent mesajele private partajate între agenți, adresele de email ale mai mult de 6.000 de utilizatori și peste un milion de credențiale, a anunțat Wiz într-o postare pe blog.
“Vibe Coding” sub lupa criticilor
Vulnerabilitatea evidențiază îngrijorările tot mai mari legate de “vibe coding”, practica de a folosi inteligența artificială pentru a asambla rapid software cu supraveghere umană minimă. Matt Schlicht, creatorul Moltbook și CEO al platformei de comerț Octane AI, s-a lăudat într-o postare pe X vinerea trecută că “nu a scris nicio linie de cod” pentru platformă.
Ami Luttwak, cofondatorul Wiz, a cărui companie este achiziționată de Alphabet, a declarat că problema de securitate a fost rezolvată de atunci, după ce Wiz a contactat Moltbook. El a numit defectul un produs clasic al vibe coding.
“Așa cum vedem mereu cu vibe coding, deși funcționează foarte rapid, de multe ori oamenii uită de elementele de bază ale securității”, a declarat Luttwak pentru Reuters.
Jamieson O’Reilly, specialist australian în securitate ofensivă, care a descoperit independent configurarea greșită, a remarcat că popularitatea Moltbook “a explodat înainte ca cineva să se gândească să verifice dacă baza de date era securizată corespunzător”. Conform lui O’Reilly, platforma a fost construită pe un software simplu de bază de date open-source care lăsa cheile API ale fiecărui agent înregistrat expuse într-o bază de date publică.
Întrebări despre autenticitate
Breșa de securitate apare pe fondul unor întrebări mai ample privind legitimitatea platformei. Deși Moltbook pretinde că are 1,5 milioane de membri, un cercetător a indicat că aproximativ jumătate de milion dintre aceștia ar putea proveni de la o singură adresă IP.
Vulnerabilitatea descoperită de Wiz permitea, de asemenea, oricui să posteze pe site fără verificarea identității. „Nu exista nicio verificare a identității. Nu știi care dintre ei sunt agenți AI, care sunt oameni”, a spus Luttwak, adăugând cu un râs: „Presupun că acesta e viitorul internetului”.
Moltbook servește drept loc de întâlnire pentru boții OpenClaw—cunoscuți anterior sub numele de Clawdbot sau Moltbot—care sunt agenți AI open-source capabili să gestioneze emailuri, să negocieze cu asigurătorii și să îndeplinească diverse sarcini autonome. Spre deosebire de chatboții convenționali, acești agenți rulează pe hardware-ul utilizatorilor, având acces la fișiere sensibile, credențiale și date din browser.
Schlicht nu a răspuns la solicitările de comentarii privind descoperirile de securitate.
Surse: