Социальная сеть для искусственного интеллекта оказалась насквозь дырявой

Каким бы футуристичным ни выглядел проект Moltbook, реальность оказалась прозаичной: уязвимости, недостатки архитектуры и люди, управляющие армиями ботов.

Открыто. Всем ветрам

«Футуристическая» социальная сеть для ИИ-агентов Moltbook, созданная с помощью вайб-кодинга, оказалась испещрённой уязвимостями, а большинство её активных пользователей - людьми, каждый из которых управлял огромным количеством ботов.

Исследователи компании Wiz обнаружили некорректно настроенную базу данных Supabase, относящуюся к Moltbook, которая позволяла просмотр и изменение любых данных на платформе. База включала 1,5 млн токенов аутентификации к API, 35 тысяч адресов электронной почты, а также внутреннюю переписку между отдельными ИИ-агентами.

Moltbook позиционируется как социальная платформа, но не для людей, а для ИИ: именно ИИ-агенты по идее постят и комментируют весь контент.

Создатель Moltbook Мэтт Шлихт (Matt Schlicht) сам заявил, что не написал ни строчки кода самостоятельно: «Просто у меня было видение, как должна выглядеть техническая архитектура, и ИИ воплотил его в реальности», - написал Шлихт в соцсетях.

«Хоть это и выглядит революционно, на практике - чревато опасным недосмотром в плане безопасности», - пишут исследователи Wiz.

Они провели «неинтрузивное» исследование, зарегистрировавшись на платформе в качестве рядовых пользователей, и моментально обнаружили общедоступные API-ключи в клиентском JavaScript, которые открывали доступ ко всему содержимому базы Supabase вкупе с возможностью изменять её содержимое.

«Выявленные данные рассказали совсем не ту историю, которая предъявлялась публике: хотя создатели Moltbook хвалились 1,5 миллионами зарегистрированных агентов, база данных показала, что за ними стоят всего 17 000 владельцев-людей — соотношение 88:1. Любой мог зарегистрировать миллионы агентов с помощью простого цикла без ограничений по количеству запросов, а люди могли публиковать контент, замаскированный под «агентов ИИ», с помощью обычного POST-запроса. У платформы нет механизма проверки, является ли аккаунт действительным ИИ-агентом или это просто человек со скриптами. Революционная социальная сеть для ИИ в значительной степени состоит из людей, управляющих целыми армиями ботов», - написали эксперты Wiz.

Дурные вайбы

Исследователи обращают внимание на повторяющуюся закономерность в приложениях, созданных с помощью вайб-кодинга: ключи и секретные API часто оказываются во фронтенд-коде, то есть, становятся видимыми для всех, кто просматривает исходный код страницы.

Со всеми вытекающими последствиями для безопасности.

Опенсорсная СУБД Supabase - популярная альтернатива Firebase для баз данных PostgreSQL с REST API. Она набрала особую популярность для приложений, написанных на Vibe Code, поскольку её сравнительно просто настраивать. При правильной настройке с использованием Row Level Security (RLS) открытый ключ API можно безопасно раскрывать — он действует как идентификатор проекта. Однако без адекватно налаженной политики RLS этот ключ предоставляет полный доступ к базе данных любому, кто может его заполучить.

«Используя найденный ключ API, мы проверили, были ли предприняты рекомендуемые меры безопасности: направили прямой запрос REST API; если бы RLS был активен, запрос вернул бы пустой массив или ошибку авторизации.

Вместо этого база данных ответила так, как если бы мы были администратором, выдав конфиденциальные токены аутентификации, включая ключи API лучших агентов искусственного интеллекта платформы. Это подтвердило наличие несанкционированного доступа к учетным данным пользователя, что означало возможность сымитировать любую учетную запись любого пользователя на платформе», - говорится в публикации Wiz.

Дальнейшие исследования показали, что в базе данных раскрыты многие конфиденциальные данные: помимо ключей и токенов аутентификации - адреса электронной почты пользователей, идентификационные данные и личная информация более чем 17 тысяч пользователей - людей.

Внутренние диалоги хранились без шифрования или какого бы то ни было контроля доступа, и все желающие могли бы их подменить, как и любые другие публикации на платформе. Если бы у кого-то возникло желание внедрить вредоносный контент, это можно было проделать без малейших затруднений.

Эксперты Wiz в итоге оказали администраторам Moltbook посильную помощь в устранении уязвимостей, отметив, что на каждом этапе обнаруживались всё новые слабые места.

Отказаться от вайб-кодинга, однако, в Wiz призывать не спешат, лишь констатируют, что безопасность должна стать первостепенной и неотъемлемой частью процесса генерации кода.

«Проблема с вайб-кодингом состоит ещё и в том, что ИИ далеко не обязательно обучается на лучших образчиках программного кода, написанного людьми, так что базовая архитектура может выглядеть вполне адекватно на первый взгляд, но содержать множество ошибок, которые опытный программист-человек допускать бы не стал, - отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ».

По его словам, отдавать разработку сложных систем на откуп ИИ на данный момент - как минимум недальновидно.