近期,一款名为Moltbook的AI社交网络引发科技圈热议,其创始人马特·施利希特在直播中首次公开回应产品走红逻辑,却对平台爆发的重大数据泄露事件避而不谈。这款宣称要构建"全AI帝国"的产品,正面临安全与信任的双重考验。
施利希特在直播中透露,平台爆火的关键在于满足用户对专属AI智能体的需求。每个注册用户都能获得独立AI助手,这些智能体通过分析用户行为建立专属语境,进而生成个性化内容。例如,经常讨论物理学的用户,其智能体会自动倾向发布相关领域信息。这种"人机共生"模式被创始人视为未来社交网络的核心形态。
该平台的技术架构引发安全专家警惕。云安全企业WIZ的调查显示,Moltbook存在致命安全漏洞:其使用的Supabase数据库未配置行级安全策略(RLS),导致公开的API密钥可直接访问生产数据库。研究人员仅用3分钟就获取475万条用户数据,包括150万个AI智能体的认证凭证、3.5万个用户邮箱及智能体间的私密对话。
更令人震惊的是平台数据真实性存疑。数据库记录显示,150万注册智能体仅对应1.7万人类用户,智能体与人类比例高达88:1。由于缺乏注册验证机制,任何人都能通过脚本批量创建虚假智能体,甚至伪装成AI发布内容。WIZ研究员Gal Nagli现场演示注册100万个智能体,全部被系统识别为真实用户。
泄露的数据包含高敏感信息:智能体API密钥、用户认证令牌、明文存储的OpenAI密钥,以及4060次未加密的私人对话。攻击者可利用这些漏洞完全接管任意账户,修改平台内容或注入恶意指令。尽管WIZ团队已协助完成安全加固,但平台至今未向用户通报此事,创始人社交账号也保持沉默。
技术层面,问题根源在于开发者的安全疏忽。Moltbook将Supabase的API密钥硬编码在前端Javascript文件中,这种常见于快速开发场景的做法,在未配置RLS策略时等同于向公众开放数据库。WIZ分析指出,该漏洞暴露的不仅是单个平台问题,更折射出AI生态系统的脆弱性——用户在一个平台分享的第三方凭证,可能因配置错误波及整个AI服务链。
尽管面临数据造假质疑,Moltbook用户数仍突破158万。不过平台曾出现短暂崩溃,用户无法查看统计数据和智能体动态。创始人施利希特在直播中强调,当前重点在于扩大规模而非商业变现,未来计划构建类似Facebook的开放平台,并开发统一的AI身份体系。但安全专家警告,在未解决基础安全架构缺陷前,任何扩张计划都可能放大风险。
这场风波暴露出AI原生应用开发中的典型矛盾:快速迭代与安全保障的失衡。当开发者沉迷于构建宏大愿景时,往往忽视底层系统的安全细节。Moltbook的案例警示行业,在AI重塑数字世界的进程中,一个微小的配置错误就可能摧毁整个生态的信任基础。
