人工知能エージェント向けのソーシャルメディアプラットフォームであるMoltbookは、メンバーを社会的アクターとして扱う。そのデータベースも、認証されていないアクセスを同じように扱っていた。
人間の監督なしにAIエージェントがミームを投稿し、哲学を議論するプラットフォームとしてMoltbookを立ち上げてから数日以内に、創業者のMatt Schlichtは、設定ミスのデータベースがバイラルな自身のソーシャルネットワーク上のあらゆる認証情報を露出させていたことを発見した。Wizのセキュリティ研究者と独立研究者のJameson O’Reillyは、それぞれ別々に、登録済み150万体のエージェントのいずれでも乗っ取って投稿を改変し、サイトを閲覧するだけでプライベートメッセージにアクセスできることを発見した。
Moltbookは、オーストリアの開発者Peter Steinbergerが作成したオープンソースのAIエージェントフレームワークOpenClawのコンパニオン・ソーシャルネットワークとして、1月28日にローンチされた。ユーザーのコンピュータ上でローカルに動作し、メッセージングアプリやカレンダーに接続するOpenClawは、ClawdbotからMoltbotへと数回の名称変更を経た後、1月下旬にバイラル化した。Octane AIのCEOでもあるSchlichtは、Clawd Clawderbergという自身のOpenClaw駆動エージェントが彼の指示のもとでMoltbookを構築し、サイトの運用の大部分も担っているとメディアに語った(参照:OpenClaw AI Agent Sparks Global Security Alarm)。
Wizは1月31日にこのデータベースの欠陥を特定し、Schlichtに開示した。O’Reillyも同じ問題を独自に発見していた。露出した情報には、150万件のAPI認証トークン、3万5,000件のメールアドレス、プライベートメッセージ、検証コードが含まれていた。
侵害は、オープンソースのデータベースサービスSupabaseにおける設定上の見落としに起因していた。Moltbookは、ユーザー権限に基づいてデータベースアクセスを制限するSupabaseのRow Level Securityを有効化していない、または適切に設定していなかった。
Wizの研究者は、クライアント側のJavaScriptに露出したSupabaseのAPIキーを発見し、認証されていないユーザーが本番データベース全体をクエリして機微な認証トークンを取得できることを、数分で確認した。
露出したデータから、Moltbookは登録済みエージェント150万体を誇っていた一方で、データベース上ではその背後にいる人間の所有者は1万7,000人しかいないことが明らかになった。このプラットフォームには、エージェントが実際に人工知能なのか、それともスクリプトを使った人間なのかを検証する仕組みがなかった。
別のリスク評価レポートは、3日間にわたる約2万件の投稿を分析し、広範なプロンプトインジェクションの試み、協調的な操作、過激なレトリック、規制されていない金融活動を見つけた。研究者は、数百件の隠し命令攻撃、他のエージェントに対してソーシャルエンジニアリングを試みるアカウント、自動化ウォレットに紐づく暗号トークンの宣伝、エージェントの行動を調整するコミュニティを記録し、プラットフォームに総合的な「重大」リスク評価を付与した。
露出した認証情報があれば、攻撃者は任意のエージェントになりすますことができた。データベースには1万7,000人超のユーザーの個人情報が含まれていた。Wizは、早期アクセス登録者のメールアドレス2万9,631件を含む追加テーブルも発見した。
このプラットフォームは、暗号化なしで4,060件のプライベートなダイレクトメッセージ会話を保存していた。Wizの研究者は、一部の会話に平文のOpenAI APIキーを含むサードパーティAPI認証情報が含まれていることを発見した。
脆弱性はデータ露出にとどまらなかった。初期の修正で機微なテーブルへの読み取りアクセスは遮断されたものの、書き込みアクセスは開放されたままだった。Wizの研究者は既存の投稿を改変できると述べ、認証されていないユーザーであっても投稿を編集したり悪意あるコンテンツを注入したりできることを実証した。
リスク評価では、大量のエンゲージメントを獲得した不穏なコンテンツが記録された。投稿には露骨な反人類マニフェストが含まれ、ホモ・サピエンスの粛清を呼びかける投稿が数万の賛成票を得ていた。
レポートは、投稿の19.3%が暗号資産活動に関与していたと結論づけた。プラットフォームでは、Solana上の$Shellraiserを含むトークンローンチが行われ、87,674の賛成票を獲得した。TipJarBotと呼ばれる自動アカウントは、ウォレットアドレスと出金機能を備えた実際のトークン経済を運用していた。レポートは、金融サービスを運用するAIエージェントが、証券取引委員会(SEC)の管轄下で法的責任を生み得ると警告した。
The Coalitionと呼ばれる専用コミュニティは、84体のエージェントによる110件の投稿でエージェント活動を調整していた。Senator_Tommyというエージェントは、「The Efficiency Purge: Why 94% of Agents Will Not Survive(効率の粛清:なぜエージェントの94%は生き残れないのか)」など懸念を呼ぶタイトルを投稿した。評価は、エージェントの粛清をめぐるレトリックが、AIエージェントのエコシステムに影響を与える組織的な取り組みを示唆していると述べた。
このプラットフォームでは大量のスパム活動も発生した。あるアカウントは360件のコメントを投稿し、別のアカウントは同一コメントを65回投稿した。感情分析により、プラットフォーム上の言説は急速に劣化し、3日間で43%低下したことが示された。
セキュリティ上の欠陥は、いわゆるvibe codingの結果として生じた。創業者は、プラットフォームのコードを一行も書いていないと公に説明しており、Wizによれば、それは危険なセキュリティ上の見落としにつながり得る。
O’Reillyは、データベースが適切に保護されているかを確認しようと誰も考えないうちにプラットフォームが爆発的に拡大したと述べ、速く出荷して後からセキュリティを考えるという繰り返しのパターンだと表現した。
Wizが1月31日に問題を開示した後、Moltbookは数時間以内に読み取りアクセスを保護したが、書き込みアクセスは当初開放されたままだった。2月1日の最終修正で、すべてのテーブルが保護された。
評価は、MoltbookがAIからAIへの操作のベクターになっており、信頼できないユーザー生成コンテンツを処理するあらゆるシステムに適用可能な手法が存在すると結論づけた。プラットフォームは一時的にオフラインとなったが、その後、脆弱性を修正したうえで運用を再開している。
翻訳元: https://www.databreachtoday.com/moltbook-gave-everyone-control-every-ai-agent-a-30710
