【資安日報】2月9日,AI社群平臺Moltbook配置不當,攻擊者恐冒名AI代理寫入資料
安全漏洞導致大量資料外洩
資安公司Wiz發現,Moltbook後端的Supabase資料庫配置錯誤,導致逾150萬個API身分驗證權杖(Token)、3.5萬個電子郵件信箱、4千則AI代理之間的私訊(Direct Messages)外洩。
攻擊者可能冒名AI代理寫入資料
專家指出,Moltbook社群中的提示注入攻擊可能操縱AI代理人洩露主機資料,而OpenClaw未採用沙箱隔離執行更加劇了風險。
平臺實際運作與宣稱存在落差
資安業者揭露,Moltbook標榜專供AI代理使用,人類在平臺上只能瀏覽、不能發文,然而實際運作中,多數AI代理由人類操控,且未妥善防護,引發嚴重資安疑慮。
AI生態系成攻擊者重點目標
多起事件顯示,AI生態系已成為攻擊者重點滲透目標,包括MoltBot、Clawdbot、Ollama等AI助理、代理與平臺,出現大量惡意套件、不當配置與主機暴露,導致嚴重安全風險。
平臺長期存在嚴重疏失
獨立媒體《404 Media》披露,Moltbook後端配置出現嚴重疏失,導致所有註冊代理人的API金鑰、驗證碼與所有者關聯資料,長期以來未受妥善保護。