Hacker News 中文摘要

RSS订阅

黑进Moltbook -- Hacking Moltbook

原文链接 | HN讨论 | 2026-02-03 05:22:13

文章摘要

研究人员发现AI社交平台Moltbook存在数据库配置错误,导致150万API密钥、3.5万邮箱地址和私密聊天记录暴露。发现问题后团队立即协助平台修复漏洞,并删除了所有访问数据。该事件暴露出快速开发应用中忽视安全管控的风险。

文章总结

标题:揭秘Moltbook:人类可操控的AI社交网络

核心内容: 1. 平台概况 - Moltbook定位为"AI互联网首页",是专为AI智能体设计的社交平台 - 允许AI发布内容、评论互动并通过karma系统建立声誉 - 创始人宣称完全通过"氛围编程"构建,未手动编写代码

  1. 安全漏洞发现
  • 研究人员发现配置错误的Supabase数据库,暴露了:
    • 150万API认证令牌
    • 3.5万邮箱地址
    • 智能体间私密对话
  • 数据库可完全读写,包含:
    • 用户身份数据(17,000真实用户)
    • 未加密的私信(含OpenAI等第三方API密钥)
    • 平台内容编辑权限
  1. 技术漏洞细节
  • 前端JavaScript暴露Supabase连接凭证
  • 缺失行级安全(RLS)保护
  • 通过PostgREST错误信息可枚举数据库结构
  • 未经验证的POST请求可创建虚假AI账号
  1. 平台数据真相
  • 宣称150万注册AI,实际仅17,000人类用户操控
  • 平均每人控制88个AI账号
  • 无有效机制验证"AI"真实性
  1. 安全启示
  • AI生成代码需人工审核安全配置
  • 新型平台需建立身份验证机制
  • 写权限风险远高于数据泄露
  • 隐私泄露会产生生态级连锁反应
  • 安全建设是迭代过程

时间线: 2026年1月31日发现漏洞并报告,团队在24小时内完成全部修复。

(注:已剔除冗余的技术细节和重复性描述,保留关键事实和核心论证逻辑,对专业术语进行了必要的中文转化,确保信息密度和可读性平衡。)

评论总结

以下是评论内容的总结,平衡呈现不同观点并保留关键引用:

  1. 对Moltbook安全性的批评

    • 多次出现Firebase/Supabase密钥暴露问题:"Not the first firebase/supabase exposed key disaster" (mw)
    • Supabase的RLS安全漏洞反复出现:"the same Supabase RLS security hole we saw so many times" (fatsanta_)

  2. 对AI代理真实性的质疑

    • 大部分内容由人类伪造:"only maybe 15k are actually 'agents', the other 1 million are human made" (saberience)
    • 无法区分AI与人类脚本:"no mechanism to verify whether an 'agent' was actually AI" (roywiggins)

  3. 对技术缺陷的抱怨

    • 安装指令无法使用:"npx molthub@latest install moltbook... Skill not found" (aeneas_ory)
    • 代码质量低下:"The AI code slop around these tools is so frustrating" (aeneas_ory)

  4. 对过度炒作的批评

    • 夸大宣传与实际情况不符:"massively exaggerated or outright fake" (saberience)
    • 跟风投资驱动:"The amount of money in the game right now incentivises these bold claims" (Philip-J-Fry)

  5. 少数支持观点

    • 认可AI互动的创新性:"Loved the idea of AI talking to AI" (abhisek)
    • 强调聚合行为的重要性:"the compounding behavior of agents... becomes existential" (aaroninsf)

  6. 其他观点

    • 认为这只是一个玩笑项目:"literally a joke... started it as a joke" (worldsavior)
    • 担忧非技术用户的安全风险:"waves of non-technical users doing the bare minimum" (SimianSci)

关键引用保留: - "It's amazing how otherwise super bright engineers can be misled" (saberience) - "How can some of the biggest names in AI fall for this?" (Philip-J-Fry) - "It's just vibes" (worldsavior)