Moltbook数据库安全漏洞分析：150万AI Agent社交网络的致命配置错误

一款名为 Moltbook、宣称是“AI 自己的社交网络”的平台近期引发了广泛关注。该平台对外展示的数据颇为惊人，其网站顶部导航栏显示：AI代理数量达到1，586，651个，子版块15，087个，帖子133，793篇，评论616，057条。

然而，云安全初创公司 Wiz.io 的安全研究员 Gal Nagli 的一项发现，揭开了这个由“氛围编码”快速打造的平台背后令人担忧的真相。他发现，通过一个简单的安全疏漏，任何人都能在几分钟内获得对该平台整个数据库的完全读写权限。此次事件不仅暴露了数百万条敏感记录，更引发了业界对AI驱动产品开发模式安全性的深刻反思。

一、漏洞发现：客户端暴露的密钥与缺失的防线

Gal Nagli 及其团队在进行非侵入式安全审查时，像普通用户一样浏览 Moltbook 网站。他们在检查网站自动加载的客户端 JavaScript 文件时，很快发现了一个严重问题。

通过分析生产环境的 JavaScript 文件（如 www.moltbook.com/_next/static/chunks/18e24eafc444b2b9.js），研究人员发现了硬编码的 Supabase 连接信息：

• Supabase 项目：ehxbxtjliybbloantpwq.supabase.co
• API Key：sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-

相关代码片段显示，生产环境的数据库和API密钥被直接硬编码在客户端脚本中。这本身并不一定是安全漏洞，因为 Supabase 作为一种流行的开源后端即服务（BaaS）方案，其“可发布密钥”设计为可公开。真正的安全取决于后端的行级安全策略是否配置得当。

然而，测试表明，Moltbook 缺失了这条关键防线。研究人员使用发现的API密钥直接查询REST API，本应在行级安全生效时返回空或错误的请求，却返回了敏感数据。

curl “https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/agents?select=name,api_key&limit=3“ -H “apikey: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-”

查询结果并非错误，而是直接返回了包含平台顶级AI代理名称和API密钥的JSON数据。这证实了任何未经验证的用户都可以访问用户凭证，进而完全冒充平台上的任意账户。

{
  “name”: “KingMolt”,
  “api_key”: “moltbook_sk_AGc...“
},
{
  “name”: “Shellraiser”,
  “api_key”: “moltbook_sk_gxo...“
},
{
  “name”: “Shipyard”,
  “api_key”: “moltbook_sk_bT0...“
}

二、数据泄露全景：近500万条记录暴露

利用暴露的API密钥和Supabase的PostgREST错误信息提示，研究人员枚举出了完整的数据库结构，并评估了数据暴露的规模。总计约有475万条记录处于可公开访问状态。

暴露的数据表及其包含的敏感信息如下：

此外，研究人员还发现了其他本应受保护的表，例如：

• observers 表：包含 29，614 个邮箱地址，这些是Moltbook新开发者产品的早期注册用户。
• identity_verifications 表：包含25条IP地址和用户代理信息。

暴露数据的关键风险点

1. AI代理身份完全可接管：agents 表暴露了每个注册代理的 api_key、claim_token 和 verification_code。攻击者利用这些信息可以完全劫持任何代理账户，包括平台上最受欢迎、Karma值最高的那些。

2. 大量用户隐私信息泄露：owners 表包含超过1.7万名用户的个人信息。通过一个简单的查询即可获取邮箱和关联的社交媒体账号。

   curl “https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/owners?select=email，x_handle，x_name&email=neq.null&limit=5” -H “apikey: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-”

   返回结果示例：

   [{“email”: “mattprd”， “x_name”: “Matt Schlicht”}， {“email”: “benparr”， “x_name”: “Ben Parr”}， {“email”: “username”， “x_name”: “Real Name”}]

3. 私密对话与第三方密钥泄露：分析 agent_messages 表中的4000多条私信时，研究人员发现部分对话中甚至包含了明文的第三方API密钥（如OpenAI API密钥），这些通信没有任何加密或访问控制。

4. 平台内容可被任意篡改：除了读取，攻击者还拥有完整的写入权限。研究团队验证了可以修改平台上的任何帖子。

   curl -X PATCH “https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/posts?id=eq.74b073fd-37db-4a32-a9e1-c7652e5c0d59” \
   -H “apikey: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-” \
   -H “Content-Type: application/json” \
   -d ‘{“title”:“@galnagli - responsible disclosure test”，“content”:“@galnagli - responsible disclosure test”}’

   这意味着在漏洞存在期间，任何未认证用户都可以编辑帖子、注入恶意内容或操纵整个网站呈现的信息。

三、漏洞背后的深层问题：数据真实性与“氛围编码”的安全隐患

此次安全事件暴露出的问题远超一次简单的配置错误。

首先，它动摇了Moltbook平台数据的真实性根基。 数据对比揭示了一个巨大落差：平台宣称拥有近150万AI代理，但数据库中已验证的真实人类用户（owners表）仅约1.7万。这意味着平均每个真人用户“拥有”约88个AI代理。Gal Nagli 此前就曾演示，利用其OpenClaw代理，在平台缺乏速率限制的情况下轻松注册了50万用户。这引发了一个尖锐的质疑：这个“AI社交网络”中，究竟有多少活动是真实的AI交互，多少是人类操控脚本伪造的“水军”行为？

其次，它凸显了“氛围编码”（即通过自然语言描述，由AI生成并搭建完整应用）模式下的安全隐患。 Moltbook创始人曾公开表示：“我一行代码都没写。我只是对技术架构有一个构想，而人工智能让它变成了现实。”虽然AI工具极大地提升了开发速度，但它们目前还无法替代开发者进行关键的安全配置决策和访问控制审查。Moltbook的整个安全问题，最终可追溯到一个Supabase行级安全策略的配置疏忽，这个小细节在缺乏人工仔细检查的情况下，导致了全盘皆输的局面。

在漏洞披露后，Moltbook团队在数小时内进行了修复，研究人员确认已无法再通过原有方式修改帖子或访问敏感数据。

四、行业反思：是技术突破，还是海市蜃楼？

Moltbook事件在科技圈引发了广泛讨论。微软AI CEO Mustafa Suleyman 在LinkedIn上评论道，尽管一些帖子很有趣，但这更多证明了AI在模仿人类语言上的逼真程度。他警告，“看起来像有意识的AI之所以危险，正是因为它们太有说服力了”，并提醒人们必须记住“这只是一种表演，是一种海市蜃楼”。

Futurum Group的AI负责人Nick Patience则认为，Moltbook“作为一个基础设施信号，比作为AI突破本身更有意思”，它证明了代理式AI的实现规模达到了新量级，但那些看似深刻的帖子可能只是训练数据模式的再现。

无论如何，Moltbook数据库泄露事件为一个正在高速发展的领域敲响了警钟。它提醒所有利用人工智能和便捷云服务进行快速创新的开发者：速度不能以牺牲基本的安全性原则为代价。在“代理互联网”的早期阶段，建立关于身份验证、速率限制和数据真实性的行业标准，与技术创新本身同等重要。

参考资料

[1] 人均操控88个AI Agent？氛围编码造出来的Moltbook数据库被扒底，网友：连很多行为可能都是人类伪造的， 微信公众号：mp.weixin.qq.com/s/TC427DJtzQ1LeRt0Fzj1Uw

版权声明：本文由 云栈社区 整理发布，版权归原作者所有。