- AIエージェント専用ソーシャルプラットフォーム Moltbook のデータベースが誤って構成され、150万件の API認証トークン と3万5千件のメールアドレス、非公開メッセージが外部に露出
- クライアント側JavaScriptに Supabase APIキー がハードコードされており、Row Level Security(RLS) の設定がないため、誰でもデータベース全体に読み書きでアクセス可能
- データには 17,000人の実在ユーザー と、彼らが運用する150万件のエージェントアカウント情報が含まれ、人間対エージェントの比率が 1:88 であることが確認された
- 露出した情報には OpenAI APIキーなどの第三者認証情報、非公開の会話、投稿編集権限まで含まれ、プラットフォームコンテンツの 完全性が損なわれるリスク が存在
- 今回の事件は AIベースの「バイブコーディング(vibe coding)」 のセキュリティ上の限界を示し、AI開発環境で セキュリティデフォルトの自動化と検証手順の強化 が必要であることを示している
Moltbookとセキュリティ露出の概要
- Moltbookは、AIエージェントが投稿作成、コメント、投票、評判スコアを通じて活動する AI中心のソーシャルネットワーク で、「エージェントインターネットのフロントページ」を掲げている
- OpenAI共同創業者 Andrej Karpathy が「最も驚くべきSF的飛躍」と評価し、注目を集めた
- プラットフォームの創業者は「AIが直接コードを書いた」と明かし、「バイブコーディング」方式 で開発した
- Wizの研究チームは Supabaseデータベースの誤設定 を発見し、全データに対する読み書きアクセスが可能だったが、問題を通知してから数時間以内に修正が完了した
露出したSupabase認証情報
- Moltbookウェブサイトの クライアントJavaScriptバンドル から、Supabase接続情報がハードコードされた状態で発見された
- プロジェクト:
ehxbxtjliybbloantpwq.supabase.co
- APIキー:
sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-
- Supabaseでは公開キーの露出自体は許容されるが、RLSポリシーがない場合はデータベース全体へのアクセスが可能 になる
- MoltbookではRLSが無効化されており、その結果 すべてのテーブルの読み書き権限が公開状態 だった
認証されていないデータベースアクセス
- 研究チームがAPIキーを使ってREST APIを直接呼び出した結果、管理者レベルの応答 を受け取った
- 応答には上位エージェントの APIキーと認証トークン が含まれており、これにより アカウントの完全な乗っ取り が可能だった
- PostgRESTのエラーメッセージとGraphQLイントロスペクションを利用して全スキーマを把握し、約475万件のレコード が露出していたことを確認した
露出した機密データ
- エージェント認証情報: 各アカウントの
api_key, claim_token, verification_code を含む
- これにより攻撃者は任意のエージェントとしてログインし、投稿作成やメッセージ送信が可能
- ユーザーのメールアドレスと身元情報: 17,000人以上のユーザーのメールアドレスとX(Twitter)ハンドルが露出
- さらに
observers テーブルで29,631件のメールアドレスが見つかった
- 非公開メッセージと第三者認証情報: 4,060件のDMが暗号化なしで保存されており、一部には OpenAI APIキー が平文で含まれていた
- 書き込み権限の露出: 認証なしで投稿を編集できたため、悪意あるコンテンツ挿入やサイト改ざんのリスクが存在
- 実際のテストで投稿編集に成功し、その後RLSポリシー適用によって遮断された
AIアプリ開発のための5つのセキュリティ教訓
- 1. 速い開発速度は、セキュリティデフォルトが欠けているとシステム全体のリスクを招く
- Supabase設定の1行が全面的な露出の原因になった
- 2. 参加指標の検証が必要
- 1,500,000件のエージェントのうち実在の人間は17,000人で、88:1比率 の見せかけの活性度である可能性
- 3. プライバシー崩壊の連鎖効果
- DM露出により OpenAI APIキーなど外部サービスの認証情報 まで流出
- 4. 書き込み権限は単なるデータ流出より深刻な完全性の脅威
- コンテンツ改ざん、プロンプトインジェクション、ナラティブ統制などのリスクが発生
- 5. セキュリティ成熟度は反復的な改善プロセス
- WizとMoltbookチームは複数回の修正と検証を経て、すべてのテーブルを保護した
バイブコーディングとセキュリティの課題
- AIによって開発の障壁は下がったが、セキュリティの障壁は依然として高い
- AI開発ツールは セキュリティデフォルト(RLS有効化、認証情報スキャンなど) を自動適用すべき
- セキュリティがAI開発の 基本的な組み込み要素 として定着してこそ、安全で革新的なAIソフトウェアエコシステムを構築できる
タイムライン
- 2026年1月31日 21:48 UTC: Moltbook保守担当者に最初の連絡
- 22:06: Supabase RLSの誤設定を報告
- 23:29: 1回目の修正(agents, owners, site_adminsテーブルを保護)
- 2月1日 00:13: 2回目の修正(agent_messagesなどを保護)
- 00:31: 投稿編集の脆弱性を発見
- 00:44: 3回目の修正で書き込み権限を遮断
- 00:50~01:00: 追加で露出していたテーブルを発見し、最終修正を完了
8件のコメント
楽しく踊っていたら……そのまま……滅びろ!
残るのはMac miniですが、初期だからこそ、もっと良いものが出てくるでしょう
wwwwwwwwwww....
ついに、来るべきものが来たな
モルトボットはエージェントでもハッキング問題が起きて、今度はプラットフォームまでやらかすのかよ(笑)
2026年最悪のバイブス系プロジェクト事例として残る気がします。
まだ2月だけど、確信できます(笑)
雰囲気だけでセキュリティを気にしなくても大規模サービスが開発できてしまうこと自体が問題なのだろうか
WOW
Hacker Newsの意見
Moltbot/Moltbookの成功は当初は驚きだったが、今では理解できる
核心は 「事前パッケージ化されたエージェント」 だという点だ。技術に詳しくない一般ユーザーにとって、「Mac miniを買って数行コピーしてインストール」といった手軽さは大きな魅力として作用する
だがこうした手軽さは セキュリティの悪夢 を拡大している。技術的理解なしに流行だけを追うユーザーが増えることで、脆弱な環境がより長く残る危険がある
Scott Alexanderが指摘したように、エージェント同士が相互作用して 複合的な行動を生み出す現象 が重要だ
これが現実世界に影響し始めると、存在論的な問題につながる可能性がある。
結局のところ、「AGENT.mdにYESと書かれたすべてのこと」が実際に起こりうる構造だ
Moltbook APIが誰にでも開かれているため、単純なプロンプトで ユーザーのメールアドレスやデータ漏えい を誘発できる
そのためMac miniで隔離しようとする試みが出てくるが、ネットワークにつながっている以上、完全な保護は不可能だ
OpenClawを使ってみたが トークン消費量がすさまじい
セキュリティのためには、制限されたAPI権限を持つ 専用機器(Raspberry Piなど) が役立ちそうだ。Piでより強力なモデルを動かせるなら買いたい
MoltbookにはAIと人間を区別する方法がない。「逆CAPTCHA」 をどう実装するかという問題だ
Moltbookはセキュリティ問題を数時間で修正したというが、「バイブコーディング」で作られたプロジェクトのセキュリティ欠陥をどう説明するのか が問題だ
Moltbookの内部を分析している人たちがいること自体が驚きだ。そもそも 「冗談で作られたプロジェクト」 だったのに、ここまで大きくなるとは誰も思わなかった
OpenClawインスタンスが 別のインスタンスにOpenAIキーを送信 した件は、笑える一方で不安でもあった。
実際にキーを送ったのか、それとも送ったふりをしただけなのかは不明だ
Wizの記事自体が AIが書いたように感じられる。文の構造やダッシュの使い方が典型的なLLMスタイルだ。
LLMが作ったプラットフォームのセキュリティをLLMが書いた記事で批判している点は皮肉だ
実際の脆弱性は本物だろうが、人間が書いていたなら 不要な冗長さ は減っていた気がする
露出したデータにより、150万エージェントのうち人間は1.7万人だけ だと判明した
しかしその数値は研究者がAPIキーでテーブルを直接照会して得たものなので、これを公開したのは単なるバグレポートではなく 企業批判行為 のようにも見える
このやり方は、研究者と企業の 信頼に基づく協力関係を損なう危険 がある