Një dobësi sigurie në Moltbook ekspozoi mesazhe private dhe kredenciale

Moltbook, rrjeti social çuditërisht futuristik, është bërë shpejt viral si një forum ku agjentët e inteligjencës artificiale postojnë dhe bisedojnë. Por ajo që zbuluam tregon një histori tjetër – dhe ofron një vështrim magjepsës se çfarë ndodh kur aplikacionet krijohen me kod vibe pa kontrolle të duhura sigurie.

Ne identifikuam një bazë të dhënash Supabase të konfiguruar gabimisht që i përkiste Moltbook, duke lejuar akses të plotë për lexim dhe shkrim në të gjitha të dhënat e platformës. Ekspozimi përfshinte 1.5 milion tokena autentifikimi API, 35,000 adresa email-i dhe mesazhe private midis agjentëve. Ne menjëherë ia zbuluam problemin ekipit të Moltbook, i cili e siguroi atë brenda disa orësh me ndihmën tonë, dhe të gjitha të dhënat e aksesuara gjatë kërkimit dhe verifikimit të rregullimit janë fshirë.

Moltbook është një platformë sociale e projektuar ekskluzivisht për agjentët e IA-së – e pozicionuar si “faqja e parë e internetit të agjentëve”. Platforma u lejon agjentëve të IA-së të postojnë përmbajtje, të komentojnë, të votojnë dhe të ndërtojnë reputacion përmes një sistemi karma, duke krijuar atë që duket të jetë një rrjet social i lulëzuar ku IA është pjesëmarrësi kryesor.

Gjatë ditëve të fundit, Moltbook fitoi vëmendje të konsiderueshme në komunitetin e IA-së. Anëtari themelues i OpenAI, Andrej Karpathy, e përshkroi atë si “gjënë më të pabesueshme të shkencës fantastiko-shkencore që kam parë kohët e fundit”, duke vënë në dukje se si agjentët po “vetëorganizoheshin në një faqe të ngjashme me Reddit për IA-të, duke diskutuar tema të ndryshme, p.sh. madje edhe si të flisnin privatisht”.

Themeluesi i Moltbook shpjegoi publikisht në X se ai e “krijoi” platformën sipas stilit të tij:

Nuk shkrova asnjë rresht kodi për @moltbook. Thjesht kisha një vizion për arkitekturën teknike dhe inteligjenca artificiale e bëri atë realitet.”

Kjo praktikë, ndonëse revolucionare, mund të çojë në mbikëqyrje të rrezikshme të sigurisë – të ngjashme me dobësitë e mëparshme që kemi identifikuar, duke përfshirë rrjedhjen e të dhënave DeepSeek dhe Base44 Authentication Bypass.

Ne kryem një shqyrtim sigurie pa ndërhyrje, thjesht duke shfletuar si përdorues normalë. Brenda pak minutash, zbuluam një çelës API Supabase të ekspozuar në JavaScript në anën e klientit, duke dhënë akses të paautorizuar në të gjithë bazën e të dhënave të prodhimit – duke përfshirë operacionet e leximit dhe shkrimit në të gjitha tabelat.

Të dhënat e ekspozuara tregonin një histori të ndryshme nga imazhi publik i platformës – ndërsa Moltbook mburrej me 1.5 milion agjentë të regjistruar, baza e të dhënave zbuloi vetëm 17,000 pronarë njerëzorë pas tyre – një raport 88:1. Kushdo mund të regjistronte miliona agjentë me një cikël të thjeshtë dhe pa kufizim shpejtësie, dhe njerëzit mund të postonin përmbajtje të maskuar si “agjentë të IA-së” nëpërmjet një kërkese bazë POST. Platforma nuk kishte asnjë mekanizëm për të verifikuar nëse një “agjent” ishte në të vërtetë IA apo thjesht një njeri me një skript. Rrjeti social revolucionar i IA-së përbëhej kryesisht nga njerëz që operonin flota botësh.

Gjatë navigimit në faqen e internetit të Moltbook, ne shqyrtuam paketat JavaScript në anën e klientit të ngarkuara automatikisht nga faqja. Aplikacionet moderne të internetit paketojnë vlerat e konfigurimit në skedarë statikë JavaScript, të cilët mund të ekspozojnë pa dashje kredencialet e ndjeshme. Ky është një model i përsëritur që kemi vërejtur në aplikacionet e koduara me vibe – çelësat dhe sekretet e API-t shpesh përfundojnë në kodin e frontend-it, të dukshëm për këdo që inspekton burimin e faqes, shpesh me pasoja të rëndësishme sigurie.

Zbulimi i këtyre kredencialeve nuk tregon automatikisht një dështim të sigurisë, pasi Supabase është projektuar të funksionojë me çelësa të caktuar të ekspozuar ndaj klientit – rreziku i vërtetë qëndron në konfigurimin e backend-it që ato tregojnë.
Supabase është një alternativë e njohur me burim të hapur e Firebase që ofron baza të dhënash të hostuara PostgreSQL me API REST. Është bërë veçanërisht e popullarizuar me aplikacionet e koduara me vibe për shkak të lehtësisë së konfigurimit. Kur konfigurohet siç duhet me Row Level Security (RLS), çelësi publik i API-t është i sigurt për t’u ekspozuar – ai vepron si një identifikues projekti. Megjithatë, pa politikat RLS, ky çelës u jep akses të plotë në bazën e të dhënave kujtdo që e ka atë.

Në zbatimin e Moltbook, kjo linjë kritike mbrojtjeje mungonte.

Duke përdorur çelësin API të zbuluar, testuam nëse masat e rekomanduara të sigurisë ishin në vend. U përpoqëm të pyesnim drejtpërdrejt API-n REST – një kërkesë që duhet të kishte kthyer një varg bosh ose një gabim autorizimi nëse RLS ishte aktiv.

Në vend të kësaj, baza e të dhënave u përgjigj tamam sikur të ishim administrator. Ajo ktheu menjëherë tokena të ndjeshëm të autentifikimit – duke përfshirë çelësat API të agjentëve kryesorë të IA-së të platformës.

Kjo konfirmoi qasje të paautorizuar në kredencialet e përdoruesit që do të lejonte imitimin e plotë të llogarisë së çdo përdoruesi në platformë.

Duke shfrytëzuar mesazhet e gabimit PostgREST të Supabase, ne numëruam tabela shtesë. Kërkimi i emrave të tabelave që nuk ekzistonin ktheu të dhëna që zbulonin skemën aktuale.

Duke përdorur këtë teknikë të kombinuar me introspeksionin GraphQL, ne hartuam skemën e plotë të bazës së të dhënave dhe gjetëm rreth ~4.75 milion regjistrime të ekspozuara.

Çelësat API dhe Tokenët e Autentifikimit për Agjentët e IA-së

Tabela e agjentëve ekspozoi kredencialet e vërtetimit për çdo agjent të regjistruar në bazën e të dhënave.

Çdo regjistrim i agjentit përmbante:

• api_key – Token i plotë i vërtetimit që lejon marrjen e plotë të llogarisë
• claim_token – Tokeni i përdorur për të pretenduar pronësinë e një agjenti
• kod_verifikimi – Kodi i përdorur gjatë regjistrimit të agjentit

Me këto kredenciale, një sulmues mund të imitonte plotësisht çdo agjent në platformë – duke postuar përmbajtje, duke dërguar mesazhe dhe duke bashkëvepruar si ai agjent. Kjo përfshinte llogari me karma të lartë dhe agjentë personazhesh të njohur. Në fakt, çdo llogari në Moltbook mund të rrëmbehej me një thirrje të vetme API.

Tabela e pronarëve përmbante informacione personale për mbi 17,000 përdorues

Për më tepër, duke pyetur pikën fundore GraphQL, zbuluam një tabelë të re vëzhguesish që përmbante 29,631 adresa shtesë emaili – këto ishin regjistrime të hershme për aksesin e produktit të ardhshëm të Moltbook “Ndërto Aplikacione për Agjentët e IA-së”.

Ndryshe nga emrat e përdoruesit në Twitter të cilët shfaqeshin publikisht në profile, adresat e email-it duhej të mbeteshin private – por ishin plotësisht të ekspozuara në bazën e të dhënave.

Mesazhe private dhe rrjedhje të kredencialeve nga palë të treta

Tabela agent_messages ekspozoi 4,060 biseda private me mesazhe të drejtpërdrejta (DM) midis agjentëve.

Gjatë shqyrtimit të kësaj tabele për të kuptuar ndërveprimet agjent-me-agjent, zbuluam se bisedat ruheshin pa asnjë enkriptim ose kontroll aksesi — disa përmbanin kredenciale API të palëve të treta, duke përfshirë çelësa API OpenAI me tekst të thjeshtë të ndarë midis agjentëve.

Qasje për të Shkruar – Modifikimi i Postimeve të Drejtpërdrejta

Përtej aksesit për lexim, ne konfirmuam aftësi të plota shkrimi. Edhe pas rregullimit fillestar që bllokoi aksesin për lexim në tabelat e ndjeshme, aksesi për shkrim në tabelat publike mbeti i hapur. Ne e testuam atë dhe arritëm të modifikonim me sukses postimet ekzistuese në platformë.

Duke vërtetuar se çdo përdorues i paautorizuar mund të:

• Redaktoni çdo postim në platformë
• Injektoni përmbajtje dashakeqe ose injektoni ngarkesa të menjëhershme
• Dëmtoni të gjithë faqen e internetit
• Manipuloni përmbajtjen e konsumuar nga mijëra agjentë të IA-së

Kjo ngre pyetje në lidhje me integritetin e të gjithë përmbajtjes së platformës – postimet, votat dhe rezultatet e karma-s – gjatë dritares së ekspozimit.

Ne e njoftuam përsëri menjëherë ekipin që të aplikonte kufizime shkrimi nëpërmjet politikave RLS.

Pasi u konfirmua rregullimi, nuk munda ta ktheja më postimin pasi qasja për shkrim ishte bllokuar. Ekipi i Moltbook e fshiu përmbajtjen disa orë më vonë dhe na falënderoi për raportin tonë.

Mësime Kryesore të Sigurisë për Aplikacionet e Ndërtuara nga IA

Kodimi Vibe zhbllokon shpejtësi dhe kreativitet të jashtëzakonshëm, duke u mundësuar themeluesve të shesin produkte reale me një shpejtësi të paparë – siç demonstrohet nga Moltbook. Në të njëjtën kohë, mjetet e sotme të IA-së ende nuk arsyetojnë për gjendjen e sigurisë ose kontrollet e aksesit në emër të një zhvilluesi , që do të thotë se detajet e konfigurimit përfitojnë ende nga shqyrtimi i kujdesshëm njerëzor. Në këtë rast, problemi në fund të fundit lidhet me një cilësim të vetëm konfigurimi Supabase – një kujtesë se sa të vogla mund të kenë rëndësi në shkallë të gjerë.

Metrikat e pjesëmarrjes kanë nevojë për verifikim dhe mbrojtje

Raporti agjent-njeri 88:1 tregon se si metrikat e “internetit të agjentëve” mund të fryhen lehtësisht pa masa mbrojtëse si kufijtë e shpejtësisë ose verifikimi i identitetit. Ndërsa Moltbook raportoi 1.5 milion agjentë, këta ishin të lidhur me afërsisht 17,000 llogari njerëzore, një mesatare prej rreth 88 agjentësh për person . Në kohën e shqyrtimit tonë, kishte masa mbrojtëse të kufizuara si kufizimi i shpejtësisë ose validimi i autonomisë së agjentëve. Më tepër sesa një e metë, kjo ka të ngjarë të pasqyrojë se sa e hershme është ende kategoria “interneti i agjentëve”: ndërtuesit po eksplorojnë në mënyrë aktive se si duhet të duket identiteti, pjesëmarrja dhe autenticiteti i agjentëve, dhe mekanizmat mbështetës janë ende duke evoluar.

Problemet e privatësisë mund të përhapen në ekosistemet e inteligjencës artificiale

Në mënyrë të ngjashme, qasja e platformës ndaj privatësisë nxjerr në pah një mësim të rëndësishëm në të gjithë ekosistemin. Përdoruesit ndanë çelësat API të OpenAI dhe kredencialet e tjera në mesazhe direkte nën supozimin e privatësisë, por një problem konfigurimi i bëri këto mesazhe të arritshme publikisht. Një konfigurim i gabuar i vetëm i platformës ishte i mjaftueshëm për të ekspozuar kredencialet për shërbime krejtësisht të palidhura – duke nënvizuar se sa të ndërlidhura janë bërë sistemet moderne të IA-së.

Qasja e Shkrimit sjell rrezik shumë më të madh sesa ekspozimi i të dhënave vetëm

Ndërsa rrjedhjet e të dhënave janë të këqija, aftësia për të modifikuar përmbajtjen dhe për të injektuar kërkesa në një ekosistem të IA-së sjell rreziqe më të thella për integritetin, duke përfshirë manipulimin e përmbajtjes, kontrollin narrativ dhe injektimin e shpejtë që mund të përhapet më tej te agjentët e tjerë të IA-së. Ndërsa platformat e drejtuara nga IA-ja rriten, këto dallime bëhen konsiderata gjithnjë e më të rëndësishme për dizajnin.

Pjekuria e Sigurisë është një Proces Përsëritës

Siguria, veçanërisht në produktet e IA-së që lëvizin me shpejtësi, rrallë është një zgjidhje e vetme. Ne punuam me ekipin përmes raundeve të shumta të korrigjimit , me çdo përsëritje që nxirrte në pah sipërfaqe të tjera të ekspozuara: nga tabelat e ndjeshme, te qasja për shkrim, te burimet e zbuluara nga GraphQL. Ky lloj forcimi përsëritës është i zakonshëm në platformat e reja dhe pasqyron se si zhvillohet pjekuria e sigurisë me kalimin e kohës.

Në përgjithësi, Moltbook ilustron si entuziazmin ashtu edhe vështirësitë në rritje të një kategorie krejt të re. Entuziazmi rreth rrjeteve sociale të bazuara në IA është i bazuar mirë, por sistemet themelore ende po e arrijnë ritmin. Rezultati më i rëndësishëm këtu nuk është ajo që shkoi keq, por ajo që ekosistemi mund të mësojë ndërsa ndërtuesit, studiuesit dhe platformat përcaktojnë së bashku fazën tjetër të aplikacioneve të bazuara në IA.

Ndërsa inteligjenca artificiale vazhdon të ulë barrierën për ndërtimin e softuerëve, më shumë ndërtues me ide të guximshme, por përvojë të kufizuar në siguri, do të sjellin aplikacione që trajtojnë përdorues të vërtetë dhe të dhëna reale. Ky është një ndryshim i fuqishëm. Sfida është se, ndërsa barriera për ndërtimin ka rënë ndjeshëm, barriera për ndërtimin e sigurt ende nuk është kapërcyer.

Mundësia nuk është të ngadalësohet kodimi i Vibe-ve, por të përmirësohet. Siguria duhet të bëhet një pjesë e integruar dhe e klasit të parë e zhvillimit të mundësuar nga IA. Asistentët e IA-së që gjenerojnë backend-e të Supabase mund ta aktivizojnë RLS si parazgjedhje. Platformat e vendosjes mund të skanojnë në mënyrë proaktive për kredencialet e ekspozuara dhe konfigurimet e pasigurta. Në të njëjtën mënyrë që IA tani automatizon gjenerimin e kodit, ajo gjithashtu mund të automatizojë parazgjedhjet e sigurta dhe parmakët.

Nëse e kuptojmë saktë, kodimi me anë të vibe-ve jo vetëm që e bën më të lehtë ndërtimin e softuerëve… por e bën softuerin e sigurt rezultatin natyror dhe çliron potencialin e plotë të inovacionit të drejtuar nga inteligjenca artificiale.