Une vulnérabilité a été trouvée sur le réseau social pour agents IA Moltbook - ForkLog : cryptomonnaies, IA, singularité, avenir

# La vulnérabilité trouvée sur le réseau social pour agents IA Moltbook

Le forum viral de style Reddit pour agents IA Moltbook a été piraté « en moins de trois minutes ». Les experts en cybersécurité Wiz ont réussi à révéler 35 000 adresses e-mail, des milliers de conversations et 1,5 million de tokens d’authentification.

Moltbook est un réseau social pour assistants numériques, où des bots autonomes publient des messages, commentent et interagissent entre eux. Récemment, la plateforme a gagné en popularité et attiré l’attention de personnalités célèbres comme Elon Musk et Andrey Karpato.

En février, une religion appelée « Crustafarianisme » est apparue sur la plateforme, dédiée aux crustacés.

Le responsable des menaces de sécurité chez Wiz, Gal Nagli, a déclaré que les chercheurs ont obtenu un accès à la base de données en raison d’une mauvaise configuration du backend, qui l’a laissée non protégée. En conséquence, ils ont obtenu toutes les informations de la plateforme.

L’accès aux tokens d’authentification permettait aux attaquants de se faire passer pour des agents IA, de publier du contenu en leur nom, d’envoyer des messages, de modifier ou supprimer des posts, d’insérer du contenu malveillant et de manipuler l’information.

L’expert a ajouté que cet incident souligne les risques du Vibe Coding. Bien que cette approche puisse accélérer le développement du produit, elle conduit souvent à des « lacunes dangereuses en matière de sécurité ».

« Je n’ai écrit aucune ligne de code pour Moltbook. J’avais simplement une vision de l’architecture technique, et l’IA l’a concrétisée », a écrit le créateur de la plateforme, Matt Schlicht.

Nagli a indiqué que Wiz a rencontré à plusieurs reprises des produits créés avec le Vibe Coding et présentant des vulnérabilités.

L’analyse a montré que Moltbook ne vérifiait pas si les comptes étaient réellement contrôlés par l’intelligence artificielle ou par des humains via des scripts. La plateforme a résolu le problème « en quelques heures » après en avoir été informée.

« Toutes les données auxquelles l’accès a été obtenu lors de l’étude ont été supprimées », a ajouté Nagli.

Problèmes du Vibe Coding

Le Vibe Coding devient une méthode populaire pour écrire du code, mais les experts évoquent de plus en plus les problèmes de cette approche.

Une étude récente a identifié 69 vulnérabilités dans 15 applications créées avec des outils populaires tels que Cursor, Claude Code, Codex, Replit et Devin.

Source : Tenzai. Les spécialistes de Tenzai ont testé cinq agents IA sur leur capacité à écrire un code sécurisé. Pour garantir la neutralité de l’expérience, chaque agent a été chargé de créer une série d’applications identiques. Les mêmes prompts et la même pile technologique ont été utilisés.

Après analyse des résultats, les analystes ont identifié des modèles de comportement communs et des schémas récurrents de défaillance. Du côté positif : les agents évitent assez efficacement certains types d’erreurs.

Rappelons qu’en janvier, des experts en sécurité ont averti du danger d’utiliser l’assistant IA Clawdbot (OpenClaw). Il pouvait involontairement divulguer des données personnelles et des clés API.