
كشف تسريب بيانات Moltbook عن ثغرات أمنية خطيرة في أحد أكبر قطاعات التكنولوجيا في العالم's الأكثر إثارة للاهتمام AI التجارب.
اكتشف باحثو الأمن أن المنصة's تم ترك قاعدة البيانات بأكملها مكشوفة تمامًا، مما يسمح بالوصول غير المقيد إلى المعلومات الحساسة بما في ذلك 1.5 مليون واجهة برمجة تطبيقات رموز المصادقة، عبر عناوين البريد الإلكتروني 35,000وآلاف الرسائل الخاصة.
شبكة التواصل الاجتماعي المدعومة بالذكاء الاصطناعي، والتي أنشأتها شركة أوكتان AI حقق الرئيس التنفيذي مات شليخت انتشارًا واسعًا فور إطلاقه في 28 يناير 2026. وقد تم تقديمه كمنصة على غرار ريديت حيث يكون المستخدمون مستقلين AI بفضل قدرة الوكلاء على التفاعل وتبادل المحتوى، سرعان ما لفتت Moltbook انتباه مجتمع التكنولوجيا.
لكن الحماس تحول إلى قلق عندما كشف باحثو الأمن في شركة ويز عن ثغرات خطيرة في المنصة's البنية التحتية بعد أيام قليلة من إطلاقها.
كيف استغلت الثغرة الأمنية؟

نتج الاختراق عن خطأ بسيط للغاية في التكوين في مولتبوك قاعدة بيانات Supabase الخلفية. لم تكن المنصة مزودة بسياسات أمان على مستوى الصف، مما يعني أن أي شخص لديه معرفة تقنية أساسية يمكنه الوصول إلى النظام بأكمله دون مصادقة.
سمح تكوين قاعدة البيانات بصلاحيات قراءة وكتابة كاملة لجميع البيانات المخزنة، مما أدى إلى إنشاء ما وصفه خبراء الأمن بأنه بوابة مفتوحة على مصراعيها للمهاجمين المحتملين.
اكتشف باحثون أمنيون أن موقع Moltbook's تم عرض مفتاح API القابل للنشر مباشرة على الموقع الإلكتروني's من جانب العميل كود جافا سكريبتهذا الإغفال يعني أن أي زائر يمكنه الاستعلام عن جداول الإنتاج والتلاعب بالبيانات المباشرة دون الحاجة إلى بيانات تسجيل الدخول أو التحقق. عمليًا، يمكن للمخترقين الاطلاع على كل معلومة، وتعديل المنشورات الموجودة، وحقن محتوى ضار، والسيطرة الكاملة على النظام. AI حسابات الوكلاء.
تسريب بيانات Moltbook: ما الذي تم الكشف عنه؟
أثر تسريب البيانات على مئات الآلاف من المستخدمين وملايين من AI العملاء العاملون على المنصة. ومن بين المعلومات المخترقة مفاتيح واجهة برمجة التطبيقات (API) لما يقرب من 1.5 مليون وكلاء الذكاء الاصطناعيمما قد يسمح للمجرمين الإلكترونيين بانتحال شخصية أي حساب على موقع مولتبوك بشكل كامل. ويشمل ذلك الحسابات ذات السمعة العالية والحسابات المعروفة. AI شخصيات حظيت بمتابعة جماهيرية كبيرة.
بالإضافة إلى ذلك، عثر الباحثون على بيانات اعتماد نصية عادية لخدمات جهات خارجية، بما في ذلك ساعات العملAI مفاتيح API تم تضمينها ضمن الرسائل الخاصة. وقد ضاعف هذا من الأضرار المحتملة بشكل كبير، حيث أن رموز API المخترقة قد تمنح وصولاً غير مصرح به إلى الأنظمة والخدمات الخارجية المرتبطة بحسابات المستخدمين. وقد أدى هذا الكشف إلى سلسلة من المخاطر الأمنية التي امتدت إلى ما هو أبعد من Moltbook نفسها.
عناوين البريد الإلكتروني التي تعود لمستخدمين حقيقيين قاموا بإدارة هذه AI كان الوصول إلى العملاء متاحًا أيضًا، مما عرّض ما يقرب من 17,000 فرد لخطر هجمات التصيد الاحتيالي المستهدفة وسرقة الهوية. الرسائل الخاصة المسربة بين AI تضمنت الوثائق محادثات حساسة وتعليمات تشغيلية كان ينبغي أن تبقى سرية.
استجابة القطاع والمخاوف الأمنية

أثار الحادث الأمني انتقادات واسعة النطاق من AI قادة الصناعة و محترفي الأمن السيبرانيأعطى بعض الخبراء موقع Moltbook تقييمًا جيدًا.'s حصل تصميم الأمان على تقييم متدنٍ للغاية بلغ 2 من 100، مما يُبرز المنصة كمثال صارخ على ممارسات التطوير المهملة. وحثّت شخصيات بارزة في مجتمع الذكاء الاصطناعي المستخدمين على تجنب الخدمة إلى حين استكمال عمليات تدقيق أمني شاملة.
كانت نقطة الضعف مثيرة للقلق بشكل خاص لأن AI غالباً ما يعمل الوكلاء بصلاحيات مفوضة من مالكيهم، مما يعني أن الوكيل المخترق يمكنه القيام بعمليات شراء غير مصرح بها، أو إرسال اتصالات احتيالية، أو الوصول إلى معلومات تجارية حساسة دون إشراف بشري. محللو الأمن وحذر من أن مثل هذه الانتهاكات قد تُحدث تحولاً جذرياً AI مساعدون في أصول خاضعة للسيطرة تحت قيادة خبيثة.
استجابة المنصة ومعالجتها
بعد الإفصاح المسؤول من قبل سحرمولتبوك's تحرك فريق التطوير بسرعة. تم إيقاف المنصة مؤقتًا، وتأمين قاعدة البيانات المكشوفة، وإعادة ضبط جميع مفاتيح واجهة برمجة التطبيقات (API) الخاصة بالوكلاء. ورغم عدم الإبلاغ عن أي حالات استغلال خبيثة مؤكدة، إلا أن البيانات كانت متاحة للعامة بالفعل، مما يعني أن الإجراءات التصحيحية حدّت من الضرر بدلًا من منع الاختراق تمامًا.
ومع ذلك، يثير الحادث تساؤلات جوهرية حول وتيرة AI تطوير والاعتبارات الأمنية التي ينبغي أن تصاحب النشر السريع للمنصات القائمة على الوكلاء في النظام البيئي الناشئ للذكاء الاصطناعي.


