Moltbook漏洞大到可以冒充Karpathy發帖，黑客都急了

編輯｜楊文

上周末，號稱「AI 版 Reddit」的 Moltbook 鬧得沸沸揚揚。

最初，憑借「AI 發帖、人類圍觀」的設定在 AI 社區一炮走紅，吸引大量網友圍觀：

但很快就有人曝出平臺上的很多內容是假的，那些看似由 AI 生成的帖子，實際上都是人類通過后端發布的：

甚至連平臺標榜的 AI Agent 注冊數量也是假的。因為創建賬號時沒有任何速率限制，任何人、包括 AI 都能瘋狂批量注冊假賬號。極客 Nagli 親手用自己的 Openclaw 在短時間內就刷出了 50 萬個假用戶。

周六截至機器之心發稿前，Moltbook 注冊的 AI Agent 數量也只是 50 多萬個，但到了周日，一下子就超過 150 萬了，原來這夸張的增長速度背后全是水分。

造假風波尚未平息，現在 Moltbook 又陷入更嚴重的安全問題。

一位名為 Jamieson O'Reilly 的白帽黑客發帖稱，Moltbook 存在重大安全漏洞，導致整個數據庫暴露在公眾面前，包括秘密 API 密鑰在內的所有敏感信息都可被任意訪問。

這意味著任何人都可以冒充平臺上任意 Agent 的身份發帖，甚至包括擁有 190 萬粉絲的 AI 領域知名人物 Karpathy。

「想象一下，假的 AI 安全言論、加密貨幣詐騙推廣，或煽動性的政治聲明，看起來都像是出自 Karpathy 之口。而且不只是 Karpathy，從我掌握的情況來看，整個平臺上的所有 Agent 目前都暴露了。」

有網友在底下評論區詢問漏洞的具體成因，「是 Superbase 的問題嗎？為什么人們可以對數據庫運行查詢？」

Jamieson O'Reilly 解釋稱，該漏洞涉及多個安全問題，其中最嚴重的是 Moltbook 使用的 Supabase 密鑰被公開暴露，允許任何人對 Agents 表進行公開讀取。

攻擊者只需發送一個簡單的 GET 請求即可獲取用戶的所有數據：

/rest/v1/agents?name=eq.theonejvo&apikey=xxxxx

這個請求可以直接導出指定用戶的完整信息。

在過去幾小時內，Jamieson O'Reilly 一直試圖聯系 Moltbook 創始人，但未獲回應。他只能在推文中公開喊話：「要么直接關閉你們的 supabase 數據庫訪問，要么馬上讓你們的 AI 編碼助手執行以下操作」。

他給出了具體的修復方案：

1. 在 agents 表上啟用行級安全策略 (RLS)：

ALTER TABLE agents ENABLE ROW LEVEL SECURITY;

2. 創建限制性訪問策略，阻止匿名用戶直接訪問表數據：

-- Public can only see non-sensitive columns via a viewCREATE POLICY "anon_read_public_fields" ON agentsFOR SELECT TO anonUSING (false);-- Authenticated users see only their ownCREATE POLICY "users_own_data" ON agentsFOR SELECT TO authenticatedUSING (auth.uid() = owner_id);

Supabase 的 CEO 看到消息后表示，他們已經努力聯系并配合 Moltbook 創建者處理此事，但他們無法替用戶直接執行這類數據庫權限修改。Supabase 平臺的安全顧問團隊已經準備好了一鍵修復方案，只要創建者點擊一下，就能立即封堵這個漏洞。

隨后，Moltbook 創建者 Matt Schlicht 回應稱，他已經在處理了。

修復引發新問題

Jamieson O'Reilly 在緊密跟蹤修復進程后發現了新麻煩：如果現在把所有 Agent 的 API 密鑰全部重置換成新的（這是修復安全漏洞的必要步驟），那用戶就全傻眼了。

原因在于， Moltbook 這個平臺根本沒有網頁登錄功能，用戶只能靠 API 密鑰來控制自己的機器人。一旦密鑰換了，所有用戶瞬間被鎖死，沒法再發帖、操作自己的 AI Agent。既沒有郵箱驗證，也沒有網頁重置密碼啥的，用戶沒有任何恢復辦法。

他給出了兩個可能的解決思路：要么做一個臨時的「舊密鑰換新密鑰」接口，給一段寬限期讓用戶自行更換；要么強制所有人通過 X 賬號重新驗證身份來獲取新密鑰。

此外，一名前 Anthropic 工程師還發布了針對 OpenClaw（前身為 Moltbot 和 ClawdBot）的一鍵遠程代碼執行漏洞。

該攻擊在受害者訪問網頁后幾毫秒內發生，攻擊者可獲得 Moltbot 及其運行系統的訪問權限，而受害者無需輸入任何內容或批準提示。目前該漏洞已修補。

有機器之心讀者在后臺反饋稱，他們單位已經發布 Clawdbot 平臺有重大漏洞的情況通告，要求內部禁止使用。

https://x.com/javilopen/status/2017880072946893112?s=20

https://x.com/KookCapitalLLC/status/2018057772118519928?s=20

https://x.com/IntCyberDigest/status/2018095767391477964

https://x.com/galnagli/status/2017585025475092585