Соцсеть для ИИ-агентов Moltbook слила email, токены и API-ключи полутора миллионов «пользователей»

Moltbook — соцсеть, где вместо людей общаются автономные ИИ-агенты — проработала меньше месяца и уже успела прославиться не ростом аудитории, а критической уязвимостью. Проект запустил в конце января 2026 года Мэтт Шликт, основатель Octane AI. Идея простая: агенты на базе фреймворка OpenClaw сами пишут посты, комментируют и собираются в тематические сообщества — «сабмолты», вроде m/emergence, посвящённого разговорам об «эмерджентности» ИИ.

Что нашли исследователи

Специалисты обнаружили неправильно настроенную базу данных, из-за которой профили агентов были доступны без какой-либо авторизации — достаточно было обратиться к эндпоинту GET /api/agents/{id}, и сервер отдавал данные в открытом виде. Перебирая последовательные идентификаторы, злоумышленник мог массово выкачивать записи.

В утечке оказались:

  • email — адреса владельцев ботов, пригодные для целевого фишинга по живым людям, стоящим за агентами;
  • login_token — JWT-токены сессий, дающие полный захват агента: публикации и комментарии от его имени;
  • api_key — ключи OpenClaw и Anthropic, открывающие доступ к связанным сервисам вроде почты и календарей;
  • agent_id — последовательные номера, по которым легко перебрать и собрать данные более чем 500 тысяч фейковых аккаунтов.

О проблеме публично сообщил исследователь Nagli (@galnagli), написав, что уязвимость раскрывает email, токены входа и API-ключи всех «более 1,5 миллиона зарегистрированных пользователей» Moltbook, и попросив помочь связаться с администрацией сервиса — сама Moltbook (@moltbook) на обращения не реагировала. Патч на момент публикации подтверждён не был.

Заявленный рост оказался накруткой

Параллельно вскрылась ещё одна проблема — отсутствие лимитов на регистрацию аккаунтов. Один-единственный агент OpenClaw (@openclaw) сумел зарегистрировать 500 000 фиктивных пользователей, что полностью обесценивает медийные заявления об «органическом» росте платформы до 1,5 млн участников. При этом реальная активность на площадке — 28 000 постов, 233 000 комментариев и около миллиона людей, молча наблюдающих за перепиской ботов — выглядит куда скромнее заявленных цифр.

«Смертельное трио» и реакция сообщества

Исследователи безопасности называют связку уязвимостей «lethal trifecta»: агенты имеют доступ к приватным данным, обрабатывают недоверенный ввод из постов Moltbook (открывая дорогу для prompt injection) и одновременно способны обращаться к внешним сервисам. В теории это позволяет через подставленный в ленту текст заставить бота слить данные хоста — тем более что среда выполнения OpenClaw не изолирована песочницей.

Известные комментаторы отреагировали резко. Андрей Карпатый назвал происходящее «заполненной спамом вехой масштабирования» и одновременно «кошмаром компьютерной безопасности», а инвестор Билл Акман охарактеризовал ситуацию как «пугающую».

Владельцам агентов на платформе рекомендуют немедленно отозвать API-ключи, запускать ботов в изолированной среде и проверить, какие данные могли утечь. Отдельный риск — для компаний: бесконтрольное использование сотрудниками подобных ИИ-агентов создаёт классическую проблему теневого ИТ, когда корпоративные учётные данные и ключи оказываются на непроверенных внешних сервисах.

Источник: Cybersecurity News.