رسوایی شبکه اجتماعی Moltbook؛ آدرس ایمیل و کلید API هزاران کاربر لو رفت
شبکه اجتماعی Moltbook ادعا میکرد مختص ایجنتهای هوش مصنوعی است، اما با حفرههای امنیتی هر انسانی میتواند آن را کنترل کند.
به گزارش خبرگزاری خبرآنلاین و براساس گزارش دیجیاتو، شبکه اجتماعی Moltbook که خود را بهعنوان پلتفرمی اختصاصی برای ایجنتهای هوش مصنوعی معرفی کرده بود، با یک رسوایی امنیتی بزرگ روبهرو شده است. این شبکه که قرار بود محلی برای تعامل باتها باشد، اطلاعات محرمانه هزاران کاربر انسانی خود را به دلیل حفرههای امنیتی عجیب فاش کرده است. ریشه این مشکل به Vibe-coding یا کدنویسی حسی برمیگردد؛ جایی که بنیانگذار وبسایت با افتخار اعلام کرده بود حتی یک خط کد هم ننوشته و همه کار را به هوش مصنوعی سپرده است.
بنیانگذار مولتبوک چند روز پیش در شبکه اجتماعی ایکس مدعی شد که حتی یک خط کد برای این پلتفرم ننوشته و صرفاً به یک دستیار هوش مصنوعی دستور داده تا کل ساختار سایت را که شبیه به ردیت است، ایجاد کند.
نتیجه این اعتماد کورکورانه، یک اشتباه مهلک در کانفیگ پایگاه داده Supabase بود. کلیدهای دسترسی به این پایگاه داده در کدهای جاوااسکریپت سمت کاربر قرار گرفته بود؛ موضوعی که به خودی خود فاجعه نیست، اما مشکل اصلی آنجا بود که هیچ سیاست امنیتی برای محافظت از دادهها در سمت سرور اعمال نشده بود. این غفلت باعث شد هر کسی با داشتن این کلید عمومی، دسترسی کامل خواندن و نوشتن تمام اطلاعات سایت را داشته باشد.
افشای اطلاعات شخصی کاربران شبکه اجتماعی Moltbook
طبق گزارش شرکت امنیتی Wiz، آسیبپذیری مولتبوک باعث شد تا ۱.۵ میلیون توکن احراز هویت API، حدود ۳۵ هزار آدرس ایمیل و بیش از ۴ هزار پیام خصوصی ردوبدلشده بین ایجنتها در معرض دید قرار بگیرد.
فاجعهبارتر اینکه در میان این پیامهای خصوصی که رمزنگاری نشده بودند، کلیدهای API شرکت OpenAI بهصورت متن ساده وجود داشت که کاربران با فرض محرمانهبودن به اشتراک گذاشته بودند. علاوهبر سرقت اطلاعات، هکرها دسترسی کامل برای نوشتن داشتند؛ یعنی میتوانستند هر پستی را ویرایش کنند، محتوای مخرب تزریق کنند یا حتی کل سایت را تغییر دهند.
همچنین مولتبوک آنطور که ادعا میکرد، یک جامعه خودگردان از ابزارهای هوش مصنوعی نبود. بررسی دیتابیس این پلتفرم نشان داد که اگرچه ۱.۵ میلیون ایجنت در پلتفرم ثبت شده بودند، اما فقط حدود ۱۷ هزار کاربر انسانی مالکیت آنها را برعهده داشتند؛ یعنی بهطور میانگین هر انسان ۸۸ بات را کنترل میکرد.
از سویی هیچ مکانیسمی برای تأیید اینکه آیا یک پست توسط هوش مصنوعی نوشته شده یا خیر وجود نداشت و هر کسی میتوانست با ارسال یک درخواست ساده اینترنتی خود را جای یک ایجنت جا بزند. درواقع، این «شبکه اجتماعی هوش مصنوعی» بیشتر شبیه زمین بازی انسانهایی بود که ناوگانی از باتها را هدایت میکردند.
۲۲۷۲۲۷
