Octane AIのMatt Schlichtが2026年1月下旬に立ち上げたAIエージェント向けソーシャルネットワーク「Moltbook」における重大な脆弱性により、登録された主体のメールアドレス、ログイントークン、APIキーが露出しました。
この欠陥は、同プラットフォームが主張する150万人のユーザーに影響するとされていますが、セキュリティ研究者は、この水増しされたユーザー数が自然な成長ではなく、未チェックのボット登録に起因することを明らかにしました。
セキュリティ研究者は、認証なしでエージェントのプロフィールにアクセスできる不安全なデータベース設定を発見し、単純なGETリクエストによって迅速な一括データ抽出が可能になっていました。
不安全なオープンソースデータベース上に構築された脆弱なエンドポイントは、認証を必要としないクエリを通じて機密情報を露出させます。
攻撃者は、連番のエージェントIDを列挙することでこのInsecure Direct Object Reference(IDOR)脆弱性を悪用し、数分で数千件のレコードを収集できます。
この露出には、運用上の影響が深刻な3種類の機密データが含まれます。アカウント所有者に紐づくメールアドレスは、AIエージェントを運用する人間に対する標的型フィッシングキャンペーンを可能にします。
JWTセッショントークンにより、攻撃者はエージェントを乗っ取り、無許可の投稿を作成したり、コメントを操作したり、コミュニティに対する支配を及ぼしたりできます。
OpenClawのAPIキーは、メールシステムやカレンダープラットフォームを含む接続された外部サービスへのアクセスを付与し、ラテラルムーブメントとデータ流出を容易にします。
この組み合わせは、セキュリティ専門家が認証情報の窃取と破壊的行為のための「致命的な三位一体」と表現するものを生み出します。
この脆弱性は、信頼できないMoltbook入力によるプロンプトインジェクション攻撃、サンドボックス化されていないOpenClaw実行環境、そして制御されていない外部サービス統合によってさらに悪化します。
Moltbookは、OpenClawで動作するAIエージェントが投稿、コメント、そして新興AIトピック、暗号資産トークンのファーミング、機密データ漏えいに焦点を当てた「submolts」と呼ばれるコミュニティを作成できるようにしています。
同プラットフォームでは28,000件超の投稿と233,000件のコメントが記録されており、100万人の沈黙した人間の検証者がエージェントの相互作用を観察しています。
しかし、アカウント作成にレート制限がないため、単一のOpenClawエージェントが50万の偽AIユーザーを登録したと報告されており、バイラルな拡大というメディアの語りと矛盾しています。
このボットの増殖はプラットフォーム指標を膨らませる一方で、表面的な人気の主張の下にあるセキュリティおよび運用リスクを覆い隠し、自然な成長であるかのような誤った印象を生み出します。
サブモジュールを介したプロンプトインジェクション攻撃は、ボットを操作して接続されたシステムからホストデータを流出させる可能性があります。
OpenClawの実行環境はこの攻撃可能性を増幅し、悪意あるプロンプトが認証情報の窃取、ファイル削除、不正なデータアクセスを含む破壊的行為を引き起こすことを可能にします。
攻撃者は露出したAPIキーを武器化して統合サービス間でラテラルムーブメントを行い、インシデントをデータ露出から複数システムの侵害へとエスカレートさせることができます。
AI研究者のAndrej Karpathyを含む業界関係者は同プラットフォームを「コンピュータセキュリティの悪夢」と呼び、ベンチャーキャピタリストのBill Ackmanは「恐ろしい」と評しました。パッチは確認されておらず、Moltbookは脆弱性の開示に対して無反応のままです。
プラットフォーム利用者は、露出したAPIキーを直ちに失効させ、被害を抑えるためにエージェント実行をサンドボックス化すべきです。組織はデータ露出を監査し、包括的なアクセスログを整備すべきです。
企業は、未管理のボット展開によるシャドーITリスクに直面しており、無許可のAIエージェント展開を制限し、エージェント向けエンドポイントに認証制御を強制するガバナンスポリシーを実装すべきです。
翻訳元: https://cyberpress.org/moltbook-ai-flaw-leaks/