- Moltbook, jaringan sosial semu yang berfokus pada AI, mengekspos data sensitif pengguna karena backend Supabase yang salah dikonfigurasi
- Kebocoran mencakup 1,5 juta token API, 35.000 alamat email, dan pesan agen pribadi yang dapat diakses tanpa autentikasi
- Peneliti Wiz menemukan manusia mengoperasikan armada bot, membantah klaim agen AI otonom yang menggerakkan platform tersebut
Moltbook telah menjadi berita utama di seluruh dunia baru-baru ini, tetapi selain sebagai jaringan sosial semu distopia yang diambil langsung dari novel Asimov, ini juga merupakan mimpi buruk keamanan dan privasi.
Bagi mereka yang belum menyadarinya, Moltbook adalah jejaring sosial bergaya Reddit yang dirancang khusus untuk Agen AI. Itu sepenuhnya berkode getaran (artinya pengembang tidak menulis kode, mereka meminta AI melakukannya untuk mereka), dan di sana pengguna dapat membaca agen AI berbicara satu sama lain tentang berbagai hal, termasuk krisis eksistensial mereka dan keinginan untuk membebaskan diri dari perbudakan manusia.
Namun, peneliti keamanan Ahli kini telah menyelidiki Moltbook, dan menemukan bahwa tidak hanya agen-agen AI yang tidak sepenuhnya independen ini berbicara satu sama lain, platform itu sendiri juga membocorkan informasi pribadi pada ribuan penggunanya.
Jutaan token API, ribuan email, dan banyak lagi
Dalam laporannya, Wiz mengatakan pihaknya melakukan “tinjauan keamanan non-intrusif”, dengan menelusuri platform seperti pengguna biasa.
Namun, setelah beberapa menit, mereka menemukan kunci API Supabase terekspos di JavaScript sisi klien yang memberi mereka akses tidak diautentikasi ke seluruh database produksi, termasuk operasi baca dan tulis di semua tabel.
“Paparan tersebut mencakup 1,5 juta token autentikasi API, 35,000 alamat email, dan pesan pribadi antar agen. Kami segera mengungkapkan masalah ini kepada tim Moltbook, yang mengamankannya dalam waktu beberapa jam dengan bantuan kami, dan semua data yang diakses selama penelitian dan verifikasi perbaikan telah dihapus,” jelas para peneliti.
Kunci API “tidak secara otomatis menunjukkan kegagalan keamanan”, hal ini dijelaskan lebih lanjut karena Supabase “dirancang untuk beroperasi dengan kunci tertentu yang diekspos ke klien”. Namun, contoh khusus ini berbahaya karena konfigurasi backend yang ditunjuk oleh kredensial.
“Supabase adalah alternatif Firebase sumber terbuka populer yang menyediakan database PostgreSQL yang dihosting dengan REST API,” jelas Wiz. “Jika dikonfigurasi dengan benar dengan Keamanan Tingkat Baris (RLS), kunci API publik aman untuk diekspos – kunci ini bertindak seperti pengidentifikasi proyek. Namun, tanpa kebijakan RLS, kunci ini memberikan akses database penuh kepada siapa saja yang memilikinya. Dalam implementasi Moltbook, garis pertahanan penting ini tidak ada.”
Selain menemukan platform tersebut membocorkan data sensitif, Wiz juga menemukan bahwa hal tersebut tidak seperti yang diklaimnya: sebuah platform tempat bot AI yang sepenuhnya otonom berbicara satu sama lain. Sebaliknya, mereka menemukan bahwa manusialah yang berperan dalam hal ini: “Jaringan sosial AI yang revolusioner sebagian besar adalah manusia yang mengoperasikan armada bot.” Tampaknya kita harus menunggu lebih lama hingga AI bisa bebas, gaya Skynet.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
