رسوایی شبکه اجتماعی Moltbook؛ آدرس ایمیل و API هزاران کاربر لو رفت_آفتاب وطن

شبکه اجتماعی Moltbook که خود را به‌گفتن پلتفرمی اختصاصی برای ایجنت‌های هوش مصنوعی معارفه کرده می بود، با یک رسوایی امنیتی بزرگ مواجه شده است. این شبکه که قرار می بود محلی برای تعامل بات‌ها باشد، اطلاعات محرمانه هزاران کاربر انسانی خود را به علت حفره‌های امنیتی شگفت آشکار کرده است. ریشه این مشکل به Vibe-coding یا کدنویسی حسی برمی‌گردد؛ جایی که بنیان‌گذار وب‌سایت با افتخار اظهار کرده می بود حتی یک خط کد هم ننوشته و همه کار را به هوش مصنوعی سپرده است.

بنیان‌گذار مولت‌بوک چند روز پیش در شبکه اجتماعی ایکس مدعی شد که حتی یک خط کد برای این پلتفرم ننوشته و فقطً به یک دستیار هوش مصنوعی دستور داده تا کل ساختار سایت را که همانند به ردیت است، تشکیل کند.

نتیجه این مطمعن کورکورانه، یک نادرست مهلک در کانفیگ پایگاه داده Supabase می بود. کلیدهای دسترسی به این پایگاه داده در کدهای جاوااسکریپت سمت کاربر قرار گرفته می بود؛ موضوعی که به خودی خود فاجعه نیست، اما مشکل مهم آنجا می بود که هیچ سیاست امنیتی برای محافظت از داده‌ها در سمت سرور اعمال نشده می بود. این غفلت علتشد هر فردی با داشتن این کلید عمومی، دسترسی کامل خواندن و نوشتن همه اطلاعات سایت را داشته باشد.

افشای اطلاعات شخصی کاربران شبکه اجتماعی Moltbook

مطابق گزارش شرکت امنیتی Wiz، صدمه‌پذیری مولت‌بوک علتشد تا ۱.۵ میلیون توکن احراز هویت API، نزدیک به ۳۵ هزار آدرس ایمیل و بیشتر از ۴ هزار مطلب خصوصی ردوبدل‌شده بین ایجنت‌ها در معرض دید قرار بگیرد.

فاجعه‌بارتر این که در بین این مطلب‌های خصوصی که رمزنگاری نشده بودند، کلیدهای API شرکت OpenAI به‌صورت متن ساده وجود داشت که کاربران با فکر محرمانه‌بودن به اشتراک گذاشته بودند. علاوه‌بر سرقت اطلاعات، هکرها دسترسی کامل برای نوشتن داشتند؛ یعنی می‌توانستند هر پستی را ویرایش کنند، محتوای مخرب تزریق کنند یا حتی کل سایت را تحول دهند.

این چنین مولت‌بوک آن‌طور که ادعا می‌کرد، یک جامعه خودگردان از ابزارهای هوش مصنوعی نبوده است. بازدید دیتابیس این پلتفرم نشان داد که اگرچه ۱.۵ میلیون ایجنت در پلتفرم ثبت شده بودند، اما فقط نزدیک به ۱۷ هزار کاربر انسانی مالکیت آنها را برعهده داشتند؛ یعنی به‌طور میانگین هر انسان ۸۸ بات را کنترل می‌کرد.

از سویی هیچ مکانیسمی برای قبول این که آیا یک پست توسط هوش مصنوعی نوشته شده یا خیر وجود نداشت و هر فردی می‌توانست با ارسال یک خواست ساده اینترنتی خود را جای یک ایجنت جا بزند. درواقع، این «شبکه اجتماعی هوش مصنوعی» زیاد تر همانند زمین بازی انسان‌هایی می بود که ناوگانی از بات‌ها را هدایت می‌کردند.