Vụ rò rỉ dữ liệu Moltbook đã phơi bày những lỗ hổng bảo mật nghiêm trọng trong một trong những công ty công nghệ hàng đầu thế giới.'s được thổi phồng nhất AI các thí nghiệm.
Các nhà nghiên cứu bảo mật đã phát hiện ra rằng nền tảng này's Toàn bộ cơ sở dữ liệu đã bị để lộ hoàn toàn, cho phép truy cập không hạn chế vào các thông tin nhạy cảm, bao gồm... 1.5 triệu API mã thông báo xác thực, qua Địa chỉ email 35,000và hàng ngàn tin nhắn riêng tư.
Mạng xã hội dựa trên trí tuệ nhân tạo, được tạo ra bởi Octane. AI CEO Matt Schlicht đã tạo nên cơn sốt ngay lập tức sau khi ra mắt vào ngày 28 tháng 1 năm 2026. Được định vị là một nền tảng kiểu Reddit, nơi người dùng tự quản lý. AI Nhờ đó, các nhân viên có thể tương tác và chia sẻ nội dung, Moltbook nhanh chóng thu hút sự chú ý từ cộng đồng công nghệ.
Tuy nhiên, sự phấn khích nhanh chóng biến thành lo ngại khi các nhà nghiên cứu bảo mật của Wiz phát hiện ra những lỗ hổng nghiêm trọng trong nền tảng này.'s chỉ vài ngày sau khi ra mắt, cơ sở hạ tầng này đã bị ảnh hưởng.
Lỗ hổng bảo mật này hoạt động như thế nào?
Vụ xâm nhập bắt nguồn từ một lỗi cấu hình cực kỳ đơn giản trong... Moltbook's Cơ sở dữ liệu phụ trợ Supabase. Nền tảng này không bật bất kỳ chính sách bảo mật cấp hàng nào, nghĩa là bất kỳ ai có kiến thức kỹ thuật cơ bản đều có thể truy cập toàn bộ hệ thống mà không cần xác thực.
Cấu hình cơ sở dữ liệu cho phép quyền đọc và ghi hoàn toàn đối với tất cả dữ liệu được lưu trữ, tạo ra một lỗ hổng bảo mật lớn cho những kẻ tấn công tiềm năng, theo mô tả của các chuyên gia an ninh.
Các nhà nghiên cứu bảo mật đã phát hiện ra rằng Moltbook's Khóa API có thể công khai đã được hiển thị trực tiếp trên trang web.'s phía khách hàng Mã JavaScriptSự sơ suất này đồng nghĩa với việc bất kỳ khách truy cập nào cũng có thể truy vấn các bảng dữ liệu sản xuất và thao tác dữ liệu trực tiếp mà không cần thông tin đăng nhập hoặc xác minh. Trên thực tế, tin tặc có thể xem mọi thông tin, sửa đổi các bài đăng hiện có, chèn nội dung độc hại và chiếm quyền kiểm soát hoàn toàn. AI Tài khoản đại lý.
Vụ rò rỉ dữ liệu Moltbook: Những thông tin nào đã bị lộ?
Vụ rò rỉ dữ liệu đã ảnh hưởng đến hàng trăm nghìn người dùng và hàng triệu người khác. AI các đại lý hoạt động trên nền tảng này. Trong số thông tin bị xâm phạm có khóa API cho khoảng 1.5 triệu tác nhân trí tuệ nhân tạoĐiều này có thể cho phép tội phạm mạng mạo danh hoàn toàn bất kỳ tài khoản nào trên Moltbook. Bao gồm cả các tài khoản có uy tín cao và nổi tiếng. AI Những nhân vật nổi tiếng đã xây dựng được lượng người theo dõi đáng kể.
Ngoài ra, các nhà nghiên cứu còn tìm thấy thông tin đăng nhập dạng văn bản thuần cho các dịch vụ của bên thứ ba, bao gồm: MởAI Khóa API Thông tin này được nhúng trong các tin nhắn riêng tư. Điều này làm tăng đáng kể mức độ thiệt hại tiềm tàng, vì các mã thông báo API bị xâm phạm có thể cấp quyền truy cập trái phép vào các hệ thống và dịch vụ bên ngoài được kết nối với tài khoản người dùng. Vụ việc đã tạo ra hiệu ứng domino về rủi ro bảo mật, lan rộng ra ngoài phạm vi của chính Moltbook.
Địa chỉ email thuộc về những người dùng thực sự đã quản lý những tài khoản này. AI Các tin nhắn riêng tư giữa các nhân viên cũng dễ dàng truy cập, khiến khoảng 17,000 cá nhân có nguy cơ bị tấn công lừa đảo và đánh cắp danh tính. Các tin nhắn riêng tư bị rò rỉ giữa... AI Các mật mã này chứa những cuộc hội thoại nhạy cảm và chỉ thị tác chiến lẽ ra phải được giữ bí mật.
Phản ứng của ngành và những lo ngại về an ninh
Vụ việc an ninh này đã gây ra sự chỉ trích rộng rãi từ dư luận. AI các nhà lãnh đạo ngành và chuyên gia an ninh mạngMột số chuyên gia đã đưa ra đánh giá về Moltbook.'s Thiết kế bảo mật chỉ đạt điểm 2/100, một con số đáng thất vọng, cho thấy nền tảng này là một ví dụ điển hình về sự cẩu thả trong quá trình phát triển. Nhiều nhân vật nổi tiếng trong cộng đồng trí tuệ nhân tạo đã kêu gọi người dùng tránh sử dụng dịch vụ này cho đến khi các cuộc kiểm tra bảo mật toàn diện được hoàn tất.
Lỗ hổng này đặc biệt đáng lo ngại vì AI Các đại lý thường hoạt động với quyền hạn được ủy quyền từ chủ sở hữu, có nghĩa là một đại lý bị xâm phạm có thể thực hiện các giao dịch mua hàng trái phép, gửi các thông tin liên lạc gian lận hoặc truy cập thông tin kinh doanh nhạy cảm mà không cần sự giám sát của con người. Nhà phân tích bảo mật cảnh báo rằng những vi phạm như vậy có thể dẫn đến sự thay đổi. AI Biến các trợ lý thành tài sản bị kiểm soát dưới sự chỉ đạo độc hại.
Phản hồi và khắc phục sự cố trên nền tảng
Tuân thủ việc công khai thông tin một cách có trách nhiệm bởi WizMoltbook's Nhóm phát triển đã hành động nhanh chóng. Nền tảng đã tạm thời bị ngừng hoạt động, cơ sở dữ liệu bị lộ đã được bảo mật và tất cả các khóa API của tác nhân đều bị buộc phải đặt lại. Mặc dù không có trường hợp khai thác độc hại nào được xác nhận, nhưng dữ liệu đã bị công khai – điều này có nghĩa là biện pháp khắc phục đã hạn chế thiệt hại hơn là ngăn chặn hoàn toàn sự xâm phạm.
Tuy nhiên, vụ việc này đặt ra những câu hỏi cơ bản về tốc độ của AI phát triển và những cân nhắc về an ninh cần thiết đi kèm với việc triển khai nhanh chóng các nền tảng dựa trên tác nhân trong hệ sinh thái trí tuệ nhân tạo đang phát triển.
BONUS: Nhận $200 của chúng tôi “AI “Bộ công cụ làm chủ” MIỄN PHÍ khi bạn đăng ký!
