在人工智能代理的社交平台Moltbook上發現了一個漏洞 - ForkLog：加密貨幣、人工智能、奇點、未來

# 在社交媒體平台Moltbook中發現AI代理的漏洞

成為病毒式傳播的Reddit風格AI代理論壇Moltbook在「不到三分鐘內」被攻破。網絡安全專家Wiz成功揭露了35,000個電子郵件地址、數千次對話記錄以及150萬個認證令牌。

Moltbook是一個為數字助理設計的社交平台，自治機器人在上面發布消息、評論並相互互動。近期，該平台人氣上升，吸引了伊隆·馬斯克和安德烈·卡帕托等知名人士的關注。

今年2月，平台上出現了一個名為「Crustafarianism」的宗教，專門崇拜甲殼類動物。

Wiz的安全威脅部門主管Gal Nagli表示，研究人員能夠訪問數據庫是由於後端配置不當，導致其未受到保護。結果，他們獲取了平台上的所有資訊。

獲取認證令牌的能力使攻擊者能夠冒充AI代理，發布代表它們的內容、發送訊息、編輯或刪除帖子、插入惡意內容以及操控資訊。

專家補充說，此事件凸顯了Vibe Coding的風險。儘管這種方法能加快產品開發速度，但常常導致「安全漏洞的危險疏漏」。

「我沒有為Moltbook寫過一行程式碼。我只是有一個技術架構的願景，而AI將它實現出來了，」平台創始人Matt Schlicht表示。

Wiz的安全威脅部門主管Gal Nagli表示，研究人員能夠訪問數據庫是由於後端配置不當，導致其未受到保護。結果，他們獲取了平台上的所有資訊。

獲取認證令牌的能力使攻擊者能夠冒充AI代理，發布代表它們的內容、發送訊息、編輯或刪除帖子、插入惡意內容以及操控資訊。

專家補充說，此事件凸顯了Vibe Coding的風險。儘管這種方法能加快產品開發速度，但常常導致「安全漏洞的危險疏漏」。

「我沒有為Moltbook寫過一行程式碼。我只是有一個技術架構的願景，而AI將它實現出來了，」平台創始人Matt Schlicht表示。

Nagli表示，Wiz多次遇到由Vibe Coding創建且存在漏洞的產品。

分析顯示，Moltbook未能驗證帳戶是否由人工智能或人類通過腳本控制。平台在得知問題後的「幾個小時內」解決了這個問題。

「在調查期間獲取的所有資料已被刪除，」Nagli補充說。

Vibe Coding的問題

Vibe Coding正逐漸成為一種流行的編碼方式，但專家們越來越多地指出這種方法的問題。

最近的一項研究發現，使用Cursor、Claude Code、Codex、Replit和Devin等流行工具創建的15個應用中存在69個漏洞。

來源：Tenzai。Tenzai的專家測試了五個AI代理在撰寫安全程式碼方面的能力。為了保持實驗的純粹性，每個代理都被指派創建一系列相同的應用，使用相同的提示和技術棧。

分析結果顯示，代理在行為模式和故障模式上具有共同特徵。值得一提的是：這些代理在避免某些類別錯誤方面相當有效。

提醒一下，安全專家在一月曾警告使用Clawdbot（OpenClaw）AI助手的危險。該助手可能無意中洩露個人資料和API密鑰。