在面向AI代理的社交网络Moltbook中发现了漏洞 - ForkLog：加密货币、AI、奇点、未来

# 在社交媒体平台Moltbook上发现了AI代理的漏洞

在类似Reddit的病毒式传播论坛Moltbook被“不到三分钟”内攻破。网络安全专家Wiz成功披露了35,000个电子邮件地址、数千次对话记录和150万令牌的认证信息。

Moltbook是一个面向数字助理的社交平台，自治机器人在上面发布消息、评论并相互互动。近期，该平台变得越来越受欢迎，并吸引了伊隆·马斯克和安德烈·卡帕托等知名人士的关注。

今年2月，平台上出现了一种名为“Crustafarianism”的宗教，专门崇拜甲壳类动物。

Wiz的安全威胁部门负责人Gal Nagli表示，研究人员之所以能够访问数据库，是因为后端配置错误，导致数据库未被保护。结果，他们获取了平台上的所有信息。

获得认证令牌的访问权限使攻击者能够冒充AI代理，发布代表它们的内容、发送消息、编辑或删除帖子、插入恶意内容以及操控信息。

专家补充说，此次事件凸显了Vibe编码的风险。虽然这种方法可以加快产品开发速度，但常常会导致“安全方面的严重疏漏”。

“我没有为Moltbook写过一行代码。我只是有一个技术架构的愿景，而AI将其变为现实，”——平台创始人Matt Schlicht表示。

Nagli表示，Wiz多次遇到由Vibe编码创建的产品，这些产品存在漏洞。

分析显示，Moltbook没有验证账户是否由人工智能或通过脚本控制的人员实际控制。平台在获知问题后“数小时内”解决了该问题。

“在研究期间获得访问权限的所有数据已被删除，”Nagli补充道。

Vibe编码的问题

Vibe编码正成为一种流行的编程方式，但专家们越来越多地指出这种方法存在的问题。

最近的一项研究发现，使用流行工具Cursor、Claude Code、Codex、Replit和Devin创建的15个应用程序中存在69个漏洞。

来源：Tenzai。Tenzai的专家测试了五个AI代理在编写安全代码方面的能力。为了确保实验的公平性，每个代理都被指派创建一系列相同的应用程序。使用了相同的提示和技术栈。

通过分析结果，分析师发现了共同的行为模式和重复出现的故障模式。值得一提的是：这些代理在避免某些类别的错误方面表现相当有效。

提醒一下，安全专家在一月曾警告使用Clawdbot（OpenClaw）AI助手的危险。它可能无意中泄露个人数据和API密钥。