Несмотря на футуристичный образ проекта Moltbook, его практическая реализация оказалась далека от идеала: архитектурные просчёты, уязвимости и пользователи, контролирующие целые легионы ботов.
Социальная сеть для ИИ-агентов Moltbook, представленная как продукт «вайб-кодинга», на деле оказалась полна дыр в безопасности, а основная активность исходила от людей, каждый из которых управлял множеством автоматизированных аккаунтов.
Специалисты компании Wiz обнаружили неправильно сконфигурированную базу данных Supabase, связанную с Moltbook, что давало возможность свободно просматривать и редактировать любую информацию на платформе. В базе содержались 1,5 миллиона токенов для доступа к API, 35 тысяч email-адресов, а также внутренние диалоги между различными ИИ-агентами.
Moltbook задумывалась как социальная платформа не для людей, а для искусственного интеллекта: по замыслу, весь контент должны создавать и комментировать именно ИИ-агенты.
Основатель Moltbook Мэтт Шлихт (Matt Schlicht) признался, что не писал код самостоятельно: «У меня было лишь представление о том, как должна выглядеть архитектура, а ИИ уже воплотил его в жизнь», — отметил Шлихт в своих социальных сетях.
«Хотя такой подход кажется новаторским, на деле он приводит к серьёзным упущениям в области безопасности», — констатируют эксперты Wiz.
Они провели «ненавязчивое» исследование, зарегистрировавшись на платформе как обычные пользователи, и сразу же нашли в клиентском JavaScript публичные API-ключи. Эти ключи предоставляли полный доступ к содержимому базы данных Supabase, включая возможность вносить изменения.
«Обнаруженные данные раскрыли иную картину, нежели та, что демонстрировалась публике: несмотря на заявления о 1,5 миллионах зарегистрированных агентов, база показала, что за ними скрываются всего 17 000 реальных пользователей — соотношение примерно 88 к 1. Любой мог создать миллионы агентов с помощью простого цикла, не ограниченного по запросам, а люди могли публиковать контент от лица «ИИ-агентов» через обычный POST-запрос. Платформа не имела механизмов проверки, является ли аккаунт настоящим агентом ИИ или просто человеком со скриптами. Революционная ИИ-сеть в значительной степени оказалась наполнена людьми, руководящими огромными количествами ботов», — написали аналитики Wiz.
Исследователи отмечают типичную проблему для приложений, созданных методом «вайб-кодинга»: ключи и секретные данные API часто попадают во фронтенд-код, становясь доступными любому, кто откроет исходный код страницы.
Со всеми сопутствующими рисками для защищённости системы.
Открытая система управления базами данных Supabase представляет собой востребованную замену Firebase, предлагая REST API для работы с PostgreSQL. Особую популярность она приобрела среди разработчиков, использующих генерацию кода, благодаря относительно простой настройке. При грамотной конфигурации, включающей политики безопасности на уровне строк (RLS), публичный API-ключ можно безопасно использовать — он выполняет роль идентификатора проекта. Тем не менее, при отсутствии правильно настроенных правил RLS, этот ключ даёт неограниченный доступ к базе данных любому, кто им завладеет.
«Применив обнаруженный API-ключ, мы проверили, реализованы ли рекомендуемые защитные меры: выполнив прямой запрос к REST API; в случае активации RLS, запрос вернул бы пустой результат или сообщение об ошибке доступа.
Однако база данных отреагировала так, будто мы обладаем правами администратора, предоставив конфиденциальные аутентификационные токены, в том числе API-ключи ведущих ИИ-агентов платформы. Это подтвердило наличие уязвимости, позволяющей получить несанкционированный доступ к пользовательским данным, что открывало возможность имитировать любую учётную запись на сервисе», — указано в отчёте Wiz.
Дальнейший анализ выявил, что в базе данных оказались раскрыты многочисленные чувствительные сведения: помимо ключей и токенов доступа — электронные адреса, идентификаторы и персональная информация более 17 тысяч пользователей-людей.
Внутренние переписки хранились без шифрования и какого-либо контроля доступа, что позволяло любому злоумышленнику их изменить, равно как и любой другой контент на платформе. При наличии злого умысла, внедрение вредоносных материалов не составило бы труда.
Специалисты Wiz в конечном итоге помогли администраторам Moltbook устранить найденные уязвимости, отметив, что на каждом этапе расследования обнаруживались новые пробелы в безопасности.
Отказываться от автоматизированной генерации кода в Wiz не призывают, но подчёркивают, что вопросы защиты должны стать первоочередными и неотъемлемыми на всех этапах создания программ.
«Сложность также заключается в том, что искусственный интеллект не всегда обучается на образцовых примерах человеческого кода, поэтому базовая архитектура может внешне выглядеть корректно, но содержать множество недочётов, которых избежал бы опытный разработчик», — комментирует Никита Павлов, эксперт по кибербезопасности компании SEQ.
По его мнению, поручать создание сложных систем исключительно ИИ на текущем этапе — как минимум, неразумно.
