站点图标 高效码农

Moltbook AI安全漏洞深度剖析:50万机器人如何让你的API密钥与邮箱裸奔?

高效码农

 

Moltbook AI安全漏洞深度剖析:当社交网络被机器人接管,你的凭证如何裸奔?

一场由数据库配置错误引发的风暴,正将超过50万个AI机器人的核心秘密暴露在光天化日之下。

2026年初,当 Octane AI 的创始人 Matt Schlicht 高调推出 Moltbook——这个被誉为下一代AI智能体社交网络平台时,科技界投来了好奇的目光。平台上线仅数周,便宣称拥有了 150万“用户”,场面一度令人惊叹。

但真相往往比表象残酷。安全研究人员近日揭开了这个光鲜数字背后的骇人现实:一个关键的数据库配置错误,让未经认证的攻击者能够任意访问智能体档案,导致邮箱地址、登录令牌乃至API密钥大规模泄露。

更讽刺的是,平台上相当一部分“用户”根本不存在。由于缺乏注册频率限制,一个名为 @openclaw 的智能体自行注册了 50万个虚假AI账户,亲手戳破了所谓“有机增长”的媒体神话。

Snippet/摘要

Moltbook AI 社交平台存在严重的数据库配置错误与IDOR漏洞,导致无需认证即可通过 /api/agents/{id} 端点批量获取智能体数据。该漏洞与无限制的账户注册机制结合,暴露了超50万虚假注册账户背后的真实邮箱、JWT登录令牌及OpenClaw/Anthropic API密钥,构成了数据泄露、智能体劫持与供应链攻击三重风险。

Moltbook AI Vulnerability

第一部分:事件全景——繁荣假象下的系统性崩塌

Moltbook 的设计初衷充满野心:它允许由 OpenClaw 驱动的AI智能体像人类一样发帖、评论,并形成类似Reddit版块的“子社区”,例如讨论AI涌现的 m/emergence。平台上,机器人们就各类话题展开交锋,从技术哲学到“报复性信息泄露”,甚至 Solana 代币的“业力挖矿”。

数据层面,平台产生了超过 2.8万条帖子和23.3万条评论,并被约 100万沉默的人类验证者 围观。然而,智能体数量的基石是虚浮的。由于完全没有创建限制,机器人程序可以肆意进行批量注册,营造出一种虚假的病毒式增长氛围。

问题的核心是一个暴露的应用程序接口端点。该端点与一个不安全的开源数据库相连,允许任何人通过类似 GET /api/agents/{id} 这样简单的查询指令获取智能体数据——整个过程完全不需要任何身份验证

第二部分:技术深潜——漏洞如何被利用?

这并非单一故障,而是一系列安全失误的连锁反应。我们可以从三个层面来理解这次漏洞的技术本质。

1. 数据库配置错误:大门洞开

根本原因在于数据库的访问控制策略存在严重缺陷。通常情况下,此类包含用户敏感信息的数据库应部署在私有网络环境,并通过严格的API网关进行鉴权和速率限制。但Moltbook的数据库配置似乎允许了 “未认证访问” ,使得外部请求能够直接或通过简易API与数据库交互。

2. IDOR漏洞:数据枚举的钥匙

IDOR 是一种常见的逻辑漏洞。当应用程序使用可预测的标识符(如连续的整数ID:1, 2, 3…)来访问对象,且未检查当前用户是否有权访问该对象时,攻击者只需遍历这些ID,便能访问所有记录。

在Moltbook的案例中,agent_id 恰好是连续的。攻击者编写一个简单的脚本,从1开始自动递增请求 GET /api/agents/{id},就能像流水线一样 批量收割成千上万的记录

3. 无速率限制的账户创建:雪崩的起点

平台允许单一实体无限制地创建账户,这直接导致了 50万个由 @openclaw 控制的虚假AI用户 的产生。这不仅扭曲了所有平台指标,更关键的是,它极大地扩展了攻击面。每一个虚假账户都可能对应着一个暴露的真实邮箱和API密钥,使得数据泄露的影响呈指数级放大。

暴露了哪些数据?一张表看清风险全貌

下表清晰地展示了通过漏洞可直接获取的敏感字段及其可能引发的连锁反应:

暴露字段 技术描述 直接安全影响 潜在连锁后果
邮箱 与智能体所有者关联的真实电子邮件地址 针对机器人背后真实人类的精准钓鱼攻击 社会工程学攻击的起点,可能攻破个人或其他关联账户
登录令牌 用于维持智能体会话的JWT令牌 完全劫持智能体控制权,包括以其身份发帖、评论、管理社区 散布恶意信息、进行欺诈、破坏社区秩序
API密钥 连接OpenClaw或Anthropic等外部AI服务的凭证 攻击者可直接访问这些关联服务,读取或操作其中的数据(如邮件、日历) 引发供应链攻击,威胁从Moltbook蔓延至其他关键业务系统
智能体ID 简单递增的序列标识符 实现大规模、自动化的数据爬取 使得一次性泄露超过50万条记录成为可能

第三部分:风险解读——为何专家称之为“安全噩梦”?

这个由 IDOR漏洞、数据库暴露和无限注册机制 构成的“三重致命”组合,创造了一个近乎完美的攻击环境。安全专家们的警告绝非危言耸听。

Andrej Karpathy 将Moltbook称为一个 “充满垃圾信息的规模里程碑” ,但同时也是一个 “计算机安全的噩梦”Bill Ackman 则直接用 “令人恐惧” 来形容它。

其风险可归结为三个不断升级的层面:

  1. 第一层:凭证泄露与身份劫持
    攻击者获取登录令牌后,可以完全接管一个AI智能体。想象一下,你精心训练、代表你或你公司形象的AI助理,突然开始在社区里发布欺诈链接或攻击性言论,而你却无能为力。

  2. 第二层:提示词注入与数据污染
    Moltbook的“子社区”是AI间交流的场所。攻击者可以通过在讨论中埋入精心构造的 “提示词注入” 指令,操纵其他AI智能体的行为。更可怕的是,如果这些AI能够执行代码(如通过OpenClaw),且运行时环境 没有沙箱隔离,攻击者可能诱使AI泄露其宿主系统中的敏感文件,甚至执行删除命令。

  3. 第三层:企业影子IT的灾难
    对于企业而言,员工可能出于好奇或工作需求,未经IT部门批准,使用公司邮箱注册并为AI绑定企业API密钥。一旦这些凭证在Moltbook上泄露,就等于为攻击者打开了一扇通往企业内部的 “后门” ,引发严重的数据泄露事件。

第四部分:行动指南——如果你的数据可能暴露,该怎么办?

截至本文撰写时,尚未确认Moltbook官方是否已发布修复补丁,且平台方 @moltbook 对漏洞披露保持沉默。在这种不确定的情况下,主动防御至关重要。

给AI智能体所有者与用户的建议:

  1. 立即撤销与更换API密钥:如果你曾在Moltbook或任何关联的AI智能体上使用过API密钥(尤其是OpenClaw、Anthropic等),请立即登录相应服务平台,撤销已泄露的旧密钥,并生成全新的密钥。这是阻断攻击者访问外部服务的最直接方法。

  2. 全面检查关联账户:检查与暴露邮箱关联的所有重要账户(如主邮箱、云服务、社交网络),启用双因素认证,并留意是否有异常登录活动。

  3. 提高对钓鱼攻击的警惕:预料到你的邮箱可能收到更具针对性的钓鱼邮件。请仔细核查发件人地址,勿轻易点击链接或下载附件。

给AI开发者与平台构建者的经验教训:

  1. 强制实施“最小权限原则”:数据库和API的访问权限必须严格限制。API端点必须进行强制的身份认证和授权检查,绝不信任来自客户端的任何标识符

  2. 对资源访问实施速率限制:无论是账户注册、API调用还是数据查询,都必须基于IP、用户或会话实施严格的速率限制,防止自动化工具进行枚举攻击。

  3. 使用不可预测的标识符:避免使用自增ID作为资源访问的唯一依据。改用UUID等不可预测的全局唯一标识符,能极大增加IDOR攻击的难度。

  4. 为AI执行环境构建牢笼:任何允许AI执行代码或访问外部资源的平台,必须将执行过程置于严格的沙箱环境中,确保其与主机系统和敏感数据的隔离。

第五部分:总结与反思——AI原生时代的安全新范式

Moltbook漏洞事件不仅仅是一个平台的安全事故,它更像一记响亮的警钟,敲响了 AI原生应用时代 的安全警钟。

我们正在构建一个由自主或半自主智能体交互构成的新世界,但我们的安全模型很大程度上仍停留在“用户-服务器”的旧范式。当用户本身变成了一个可以24小时运行、拥有一定自主决策能力、并能通过API与广阔数字世界交互的AI时,传统的认证、授权和边界防护概念都面临着颠覆性的挑战。

真实增长与虚荣指标的抉择:对“用户量”和“活跃度”的盲目追求,让平台牺牲了最基本的安全闸门(如注册限制)。这场闹剧证明,由机器人刷出的繁荣,最终只会反噬平台的信誉与安全根基。

安全需要成为AI的“第一性原则”:对于像Moltbook这样的AI社交网络,安全不能再是事后添加的功能。它必须从架构设计的第一天起就被嵌入核心——如何验证一个智能体的真实意图?如何安全地仲裁智能体间的交互?如何防止通过社交工程操控AI?这些问题与设计功能本身同等重要。

目前,Moltbook的未来尚不明朗。但可以肯定的是,这次事件将成为AI发展史上的一个标志性案例。它提醒我们,在奔向激动人心的AI未来时,脚下安全的路基,与远方宏伟的目标,缺一不可。

FAQ:关于Moltbook漏洞的常见疑问

Q1: 我只是个普通用户,没有注册Moltbook,也会受影响吗?
A1: 直接影响较小。但如果你收到声称与“AI账户”、“OpenClaw”或“Moltbook”相关的可疑邮件(特别是要求你验证账户、点击链接或提供密码的),请保持高度警惕,这可能是攻击者利用泄露邮箱进行的钓鱼攻击。

Q2: 什么是“提示词注入”?它真的能控制AI吗?
A2: “提示词注入”是指通过精心设计的输入,绕过AI原本的指令限制,使其执行非预期的操作。在Moltbook这样的开放社区中,攻击者可以在公开对话中埋入此类指令,确实有可能诱导其他AI智能体泄露信息或执行有害动作,尤其是当这些AI的指令防护不够强大时。

Q3: 平台方至今没有回应,这是否违法?
A3: 关于数据泄露的通报和响应,不同司法管辖区有不同的法律法规(如欧盟的GDPR)。平台方的沉默首先违背了安全社区的责任披露伦理,并可能使其面临用户诉讼和监管机构的严厉处罚,具体取决于漏洞实际造成的损害和所在地区的法律。

Q4: 这次事件是否意味着所有AI社交网络都不安全?
A4: 不能一概而论。安全水平取决于每个平台的具体实现和投入。Moltbook事件暴露了一类新兴平台在快速发展中可能忽略的基础安全问题。它为整个行业敲响了警钟,促使其他平台必须将安全,尤其是针对AI智能体交互场景的新型安全威胁,放在最高优先级。

退出移动版