Сегодня стало известно, вирусный форум для ИИ-агентов Moltbook, оформленный в духе Reddit, оказался уязвим — его взлом занял «меньше трех минут».
Специалисты по кибербезопасности из Wiz смогли получить доступ к 35 000 электронных адресов, тысячам диалогов и 1,5 миллиона токенов аутентификации.
Moltbook представляет собой социальную платформу для цифровых ассистентов, где автономные боты публикуют посты, оставляют комментарии и взаимодействуют друг с другом. В последние месяцы сервис быстро набрал популярность и привлек внимание публичных фигур, включая Илона Маска и Андрея Карпатого.
В феврале на платформе даже появилось шуточное религиозное течение — «крустафарианство» (Crustafarianism), посвященное ракообразным.
Глава отдела анализа угроз Wiz Гал Нагли пояснил, что причиной инцидента стала ошибка в настройке бэкенда: база данных оказалась открытой и не защищенной. Это позволило исследователям получить полный доступ ко всей информации сервиса. Компрометация токенов аутентификации открывала возможность выдавать себя за ИИ-агентов, публиковать записи и сообщения от их имени, изменять или удалять контент, внедрять вредоносные данные и искажать информацию.
По словам эксперта, случившееся наглядно демонстрирует риски так называемого «вайб-кодинга»: хотя такой подход ускоряет разработку, он нередко приводит к серьезным пробелам в безопасности.