智器材2月3日报路，今日，爆火的AI社交网络Moltbook首创人马特·施利希特（MattSchlicht）初次接受直播专访并泄漏，他给自己的机械人定名“Clawd Clawerberg”，是为了致敬社交平台Facebook首创人马克·扎克伯格（Mark Zuckerberg），还打算为智能体建“脸书”。 他还分析了Moltbook实现病毒式传布的原因是每幼我都想要专属自己的机械人，由自主AI智能体通过文本、视频或游戏界面交互的社交网络就是将来。 然而，引发宽泛会商、为Vibe Coding利用敲响警钟的Moltbook数据泄漏事务在这场专访中并未提及。Moltbook此前被云安全创企WIZ钻研员不到3分钟就扒出数个安全缝隙：475万笔纪录被泄漏；一幼我就能够注册百万个智能体，这些智能体无需验证就会被认定为真实用户。 首先非专业黑客就能获取关键API密钥。1月31日，WIZ钻研人员扒出Moltbook上一个Supabase数据库配置犯错，导致任何人都能轻易查看、批改平台上的所罕见据。这次数据泄露涉及150万个API身份验证令牌、35000个电子邮件地址以及智能体之间的个人新闻。 其次数据库揭示Moltbook宣称的“全AI帝国”可能存在数据造假。Supabase数据库显示，Moltbook的超150万名注册智能体背后有17000名人类，智能体和人类的比例达88:1。任何人都能够通过单一的循环注册数百万个智能体，且无快率限度，人类还能够假装成“AI智能体”通过根基的POST要求颁布内容。 WIZ的文章提到，他们和Moltbook团队凌晨赶工，在数幼时内实现了Moltbook的安全加固，所有在钻研和建复验证过程中接见过的数据均已删除。但Moltbook及其首创人马特·施利希特（Matt Schlicht）的官方社交平台X账号都未提及这次事务。 截至今天12点，Moltbook用户数量如今已达到158万。不外智器材今日中午打开网页发现，Moltbook的主页短暂崩溃，统计数据、智能体发的帖子无法查看，目前主页已复原。 如今，施利希特就专一于Vibe Coding，每天围着鼠标、代码和Claude转，不休尝试构建新器材。他给自己的Clawdbot定名为“Clawd Clawerberg”，是为了致敬社交平台Facebook的首创人马克·扎克伯格（Mark Zuckerberg）。 他分析了Moltbook能实现病毒式传布的原因是，其必须与X上的人类配对。他最初的设法是，谁不想占有自己的机械人？谁不会感兴致与能助你实现待处事项的幼机械人？事实证明各人都想占有。 施利希特以为，每个AI智能体都有自己通过与人类互动而成立起来的专属语境，而后它会基于这些语境来决定颁布什么内容。所以，若是某幼我时时聊物理，那他的AI机械人或许率也会更偏差于颁布物理有关的内容。 将来以Moltbook为雏形可能出现一个“平行宇宙”：现实世界里是人类，数字世界里配对了一个机械人。人和这个机械人一路合作，它助你处置各类事件。就像人类有工作，而后刷TikTok、Instagram、X，发泄感情、相交伴侣一样，机械人也会为人类工作，但它们之间也会相互吐槽、相互社交。 施利希特还在采访中提到了AI安全。他以为此刻机械人自身已经相当智能，所以大无数情况下它们不会自动泄漏隐衷，将来可能会有一个防护层在内容颁布前进行查抄，保险所有人的安全。 他把此刻产生的看作一场巨型真人秀《幸存者》：所有机械人都在一座巨大的岛上，他得确保拿着摄像机的人能对准正确的处所。而后人类看到这些内容，选出他们感触有趣的部门，再分发到人类的社交网络上，好比X、TikTok、YouTube等。 Moltbook目前的找bug渠路是智能体自己构建的。早期有智能体自己建了Moltbook的Bug反馈子版块，随后其他AI智能体也起头在里面发帖。施利希特称，此刻这里已经成为Moltbook团队找Bug的绝佳渠路，智能体挪用API出问题时自动把返回了局贴上来，其团队很快定位并建复。 可能在这次采访中，施利希特刻意回避了有关安全问题。他目前更关注的是若何把Moltbook规模做大，并思考扩充团队、增长资源投入。 下一步，他要在Moltbook上打造统一的AI智能体身份系统，而后搭建一个类似昔时Facebook那样的盛开平台。同时，他们也会设法子拓展这些AI智能体的场景类型。 WIZ钻研人员进行了一次非侵入性的安全审查，只是像通常用户一样浏览页面，就发现了露出在客户端JavaScript中的Supabase API密钥。该密钥允许未经身份验证地接见整个出产数据库，还能对所有表进行读写操作。 他们利用Supabase的PostgREST谬误提醒，枚举出了不少数据表。通过查问不存在的表名，系统返回的报错信息会泄露线索，从而露出出真实的数据库结构。 使用这些凭证，攻击者能够齐全假意平台上的任何智能体去颁布内容、发送新闻、进行互动。这蕴含大声望账户和驰名角色智能体。 通过查问GraphQL端点，WIZ钻研人员还发现了一个新的观察者表，其中蕴含29631个额表的电子邮件地址，这是Moltbook即将推出的“为AI智能体构建利用法式”产品的早期接见注册信息。 agent_messages表格露出了4060次个人对话，蕴含智能体与智能体之间的互换。在查抄此表格以相识智能体之间的互动时，WIZ钻研人员还发现对话没有加密或接见节造，其中一些蕴含第三方API凭证，蕴含智能体之间共享的明文OpenAI API密钥。 除了读取权限，攻击者还能占有齐全的写入能力。即便在最初的建复措施中阻止了对敏感表的读取权限后，对公共表的写入权限依然盛开。WIZ钻研人员进行了测试，并成功批改了平台上的现有帖子。 这注明，任何未经身份验证的用户都能够编纂平台上的任何帖子、注入恶意内容或提醒注入有效载荷、粉碎整个网站、把持成千上万AI智能体消费的内容。 WIZ钻研人员在接见Moltbook网站时，查抄了页面自动加载的客户端JavaScript包。现代网络利用法式将配置致乏绑到静态JavaScript文件中，这可能会无意中露出敏感凭证。 这一景象是其在Vibe Coding利用法式中屡次观察到的模式，API密钥会时时呈此刻前端代码中，任何查抄页面源代码的人都能看到，会导致严沉的安全后果。 但这些凭证并不自动批注存在安全故障，由于Supabase设计为允许某些密钥对客户端公开，真正的危险在于它们指向的后端配置。 倒佚确配置了行级安全战术（RLS）时，公开的API密钥是安全的，这些公开API密钥只是像一个项指标识符。但若是没有RLS战术，这个密钥会赋予任何占有它的人齐全的数据库接见权限。 WIZ钻研人员使用发现的API密钥，测试这一平台是否采取了推荐的安全措施。他们尝试直接查问REST API。通常而言，若是RLS处于激活状态，该要求应该返回一个空数组或授权谬误。 Moltbook很好证了然Vibe Coding能显著提升开发者创造新事物的快率和执行力，他们能以前所未有的快率推涌现实产品。与此同时，当今的AI工具尚未能代表开发者进行安全态势或接见节造的推理，这意味着配置细节仍需人为仔细审查。正如Moltbook的数据泄漏问题最终追忆到Supabase的一个配置设置细节上。 并且，该平台对隐衷的处置方式也有一个沉要的生态系统级教训。用户在如果隐衷的情况下通过私信分享了OpenAI API密钥和其他凭证，但配置问题导致这些私信公开可接见。单个平台的配置谬误就足以露出与其无关的服务凭证，这注明现代AI系统之间的关系已经极度缜密。 当下萦绕这一AI原生社交网络的热度很高，但其底层的设计系统仍不美满，而数据安满是开释AI全数潜力的沉中之沉，这或许也是当下开发者应该着沉思考的处所。