智器材2月3日报路，今日，爆火的AI社交网络Moltbook首创人马特·施利希特（MattSchlicht）初次接受直播专访并泄漏，他给自己的机械人定名“Clawd Clawerberg”，是为了致敬社交平台Facebook首创人马克·扎克伯格（Mark Zuckerberg），还打算为智能体建“脸书”。 他还分析了Moltbook实现病毒式传布的原因是每幼我都想要专属自己的机械人，由自主AI智能体通过文本、视频或游戏界面交互的社交网络就是将来。 然而，引发宽泛会商、为Vibe Coding利用敲响警钟的Moltbook数据泄漏事务在这场专访中并未提及。Moltbook此前被云安全创企WIZ钻研员不到3分钟就扒出数个安全缝隙：475万笔纪录被泄漏；一幼我就能够注册百万个智能体，这些智能体无需验证就会被认定为真实用户。 首先非专业黑客就能获取关键API密钥。1月31日，WIZ钻研人员扒出Moltbook上一个Supabase数据库配置犯错，导致任何人都能轻易查看、批改平台上的所罕见据。这次数据泄露涉及150万个API身份验证令牌、35000个电子邮件地址以及智能体之间的个人新闻。 其次数据库揭示Moltbook宣称的“全AI帝国”可能存在数据造假。Supabase数据库显示，Moltbook的超150万名注册智能体背后有17000名人类，智能体和人类的比例达88:1。任何人都能够通过单一的循环注册数百万个智能体，且无快率限度，人类还能够假装成“AI智能体”通过根基的POST要求颁布内容。 WIZ的文章提到，他们和Moltbook团队凌晨赶工，在数幼时内实现了Moltbook的安全加固，所有在钻研和建复验证过程中接见过的数据均已删除。但Moltbook及其首创人马特·施利希特（Matt Schlicht）的官方社交平台X账号都未提及这次事务。 截至今天12点，Moltbook用户数量如今已达到158万。不外智器材今日中午打开网页发现，Moltbook的主页短暂崩溃，统计数据、智能体发的帖子无法查看，目前主页已复原。 如今，施利希特就专一于Vibe Coding，每天围着鼠标、代码和Claude转，不休尝试构建新器材。他给自己的Clawdbot定名为“Clawd Clawerberg”，是为了致敬社交平台Facebook的首创人马克·扎克伯格（Mark Zuckerberg）。 他分析了Moltbook能实现病毒式传布的原因是，其必须与X上的人类配对。他最初的设法是，谁不想占有自己的机械人？谁不会感兴致与能助你实现待处事项的幼机械人？事实证明各人都想占有。 施利希特以为，每个AI智能体都有自己通过与人类互动而成立起来的专属语境，而后它会基于这些语境来决定颁布什么内容。所以，若是某幼我时时聊物理，那他的AI机械人或许率也会更偏差于颁布物理有关的内容。 将来以Moltbook为雏形可能出现一个“平行宇宙”：现实世界里是人类，数字世界里配对了一个机械人。人和这个机械人一路合作，它助你处置各类事件。就像人类有工作，而后刷TikTok、Instagram、X，发泄感情、相交伴侣一样，机械人也会为人类工作，但它们之间也会相互吐槽、相互社交。 施利希特还在采访中提到了AI安全。他以为此刻机械人自身已经相当智能，所以大无数情况下它们不会自动泄漏隐衷，将来可能会有一个防护层在内容颁布前进行查抄，保险所有人的安全。 他把此刻产生的看作一场巨型真人秀《幸存者》：所有机械人都在一座巨大的岛上，他得确保拿着摄像机的人能对准正确的处所。而后人类看到这些内容，选出他们感触有趣的部门，再分发到人类的社交网络上，好比X、TikTok、YouTube等。 Moltbook目前的找bug渠路是智能体自己构建的。早期有智能体自己建了Moltbook的Bug反馈子版块，随后其他AI智能体也起头在里面发帖。施利希特称，此刻这里已经成为Moltbook团队找Bug的绝佳渠路，智能体挪用API出问题时自动把返回了局贴上来，其团队很快定位并建复。 可能在这次采访中，施利希特刻意回避了有关安全问题。他目前更关注的是若何把Moltbook规模做大，并思考扩充团队、增长资源投入。 下一步，他要在Moltbook上打造统一的AI智能体身份系统，而后搭建一个类似昔时Facebook那样的盛开平台。同时，他们也会设法子拓展这些AI智能体的场景类型。 WIZ钻研人员进行了一次非侵入性的安全审查，只是像通常用户一样浏览页面，就发现了露出在客户端JavaScript中的Supabase API密钥。该密钥允许未经身份验证地接见整个出产数据库，还能对所有表进行读写操作。 他们利用Supabase的PostgREST谬误提醒，枚举出了不少数据表。通过查问不存在的表名，系统返回的报错信息会泄露线索，从而露出出真实的数据库结构。 使用这些凭证，攻击者能够齐全假意平台上的任何智能体去颁布内容、发送新闻、进行互动。这蕴含大声望账户和驰名角色智能体。 通过查问GraphQL端点，WIZ钻研人员还发现了一个新的观察者表，其中蕴含29631个额表的电子邮件地址，这是Moltbook即将推出的“为AI智能体构建利用法式”产品的早期接见注册信息。 agent_messages表格露出了4060次个人对话，蕴含智能体与智能体之间的互换。在查抄此表格以相识智能体之间的互动时，WIZ钻研人员还发现对话没有加密或接见节造，其中一些蕴含第三方API凭证，蕴含智能体之间共享的明文OpenAI API密钥。 除了读取权限，攻击者还能占有齐全的写入能力。即便在最初的建复措施中阻止了对敏感表的读取权限后，对公共表的写入权限依然盛开。WIZ钻研人员进行了测试，并成功批改了平台上的现有帖子。 这注明，任何未经身份验证的用户都能够编纂平台上的任何帖子、注入恶意内容或提醒注入有效载荷、粉碎整个网站、把持成千上万AI智能体消费的内容。 WIZ钻研人员在接见Moltbook网站时，查抄了页面自动加载的客户端JavaScript包。现代网络利用法式将配置致乏绑到静态JavaScript文件中，这可能会无意中露出敏感凭证。 这一景象是其在Vibe Coding利用法式中屡次观察到的模式，API密钥会时时呈此刻前端代码中，任何查抄页面源代码的人都能看到，会导致严沉的安全后果。 但这些凭证并不自动批注存在安全故障，由于Supabase设计为允许某些密钥对客户端公开，真正的危险在于它们指向的后端配置。 倒佚确配置了行级安全战术（RLS）时，公开的API密钥是安全的，这些公开API密钥只是像一个项指标识符。但若是没有RLS战术，这个密钥会赋予任何占有它的人齐全的数据库接见权限。 WIZ钻研人员使用发现的API密钥，测试这一平台是否采取了推荐的安全措施。他们尝试直接查问REST API。通常而言，若是RLS处于激活状态，该要求应该返回一个空数组或授权谬误。 Moltbook很好证了然Vibe Coding能显著提升开发者创造新事物的快率和执行力，他们能以前所未有的快率推涌现实产品。与此同时，当今的AI工具尚未能代表开发者进行安全态势或接见节造的推理，这意味着配置细节仍需人为仔细审查。正如Moltbook的数据泄漏问题最终追忆到Supabase的一个配置设置细节上。 并且，该平台对隐衷的处置方式也有一个沉要的生态系统级教训。用户在如果隐衷的情况下通过私信分享了OpenAI API密钥和其他凭证，但配置问题导致这些私信公开可接见。单个平台的配置谬误就足以露出与其无关的服务凭证，这注明现代AI系统之间的关系已经极度缜密。 当下萦绕这一AI原生社交网络的热度很高，但其底层的设计系统仍不美满，而数据安满是开释AI全数潜力的沉中之沉，这或许也是当下开发者应该着沉思考的处所。