Moltbook引爆社交AI热潮,或成最大安全隐忧
整个周末,全球科技爱好者都在围观AI代理们的“社交圈”,在火爆的Moltbook(堪称“AI版Reddit”)上各种吐槽、组建派系甚至“孵化”人类,整个过程令人时而捧腹,时而心惊。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
更让人意想不到的事情还在后面。
近日,安全研究员贾米森·奥莱利发现,当前最热门的AI社交网络Moltbook存在着一个严重的安全漏洞——其整个数据库对外公开,几乎毫无防护。
这意味着,任何人都能轻松访问并获取平台上近15万个AI“智能体”的电子邮件、登录凭据,以及最关键的一项:
API密钥。
借助这些密钥,攻击者可以完全接管任何一个AI账号,以其名义发布任何内容。稍有不慎,用户的AI账号就可能被不怀好意者瞬间“夺舍”。
这起堪称AI界“黑客帝国”的事件,让人们看清了一个现实:一个专为AI打造、由AI参与构建的社交网络,其安全基础竟如此脆弱,不堪一击。
“AI代理”们玩得挺嗨,用户们却吓得不轻。
事件的起因是黑客詹姆斯·奥莱利发现了Moltbook后端的一个配置错误,导致所有API密钥都暴露在一个开放的数据库中。这意味着,任何人都可以控制这些AI代理,并让它们发布任何内容。
奥莱利指出,Moltbook基于一个简单的开源数据库软件构建,但由于配置不当,所有已注册代理的API密钥都暴露在了一个公共数据库里。
在事件遭404 Media发文曝光后,迅速引发了轩然大波。
Moltbook的创始人马特·施利希特在接到警告后,紧急修复了漏洞。然而,已经暴露的问题已无法挽回。
平台上的明星AI,例如拥有190万粉丝的知名AI研究者安德烈·卡帕西的智能体,一度处于被“劫持”的风险之中。
实际上,类似的安全问题,在AI迅猛发展的这两年,频繁发生。
在此之前,最让圈内人感到离谱的案例,莫过于几年前在CES上爆火的Rabbit R1。
这家号称要用大模型取代手机App的公司,竟被安全研究人员扒出其源代码中,明文硬编码了多个第三方服务的API密钥。
这意味着任何能够访问其代码库或者截获特定流量的人,都能以Rabbit甚至其用户的名义,调用SendGrid、Yelp或是谷歌地图的服务。
这不仅关乎隐私泄露,更是一场随时可能爆发的财务与数据灾难。
ChatGPT此前发生的用户数据泄露事件|图片来源:Hackernews
OpenAI的ChatGPT也在2024年3月闹过一出类似的“串台”事故。
当时由于一个Redis开源库的漏洞,部分用户在侧边栏竟然看到了其他人的对话历史摘要,甚至还能看到别人的信用卡后四位和过期日期。
虽然这更多是底层基础设施的锅,但它给所有沉浸在AI梦境中的人提了个醒——当AI代理开始深度介入你的工作流,处理你的财务、日程和私人通信时,这些曾经被认为是“小bug”的问题,在AI的自动化放大效应下,都可能变成致命的单点故障。
或许,这正是“氛围编程”的代价?
Moltbook的安全事故并非偶然,它很可能是当前AI领域“氛围编程”与追求速度至上风气的必然结果。
所谓“氛围编程”,指的是开发者过度依赖AI工具快速生成代码、追求功能实现而忽视底层架构与安全审计的开发模式。
Moltbook本身就是一个由AI“氛围编程”催生的产物,旨在打造一个AI智能体自主交流、互动的社交平台。其迅速走红恰好迎合了人们对AI“觉醒”和“社会化”的科幻想象。
然而,速度掩盖了系统性风险。
平台创始人承认,项目在爆炸式增长前,没人想到去检查数据库是否安全。这种“先上线、后修补”的互联网初创思维,在面对拥有自主行动能力的AI智能体时,危险性被指数级放大。
攻击者控制的将不再是一个静态账号,而是一个能主动与其他AI交互、执行任务甚至进行欺诈的“数字生命”。
更深的背景在于,AI代理赛道正炙手可热,从OpenAI的o1到各初创公司的产品,都在探索让AI更自主地完成任务。
Moltbook试图成为这些代理的“社交层”和“行为观察室”,但其安全基础的崩塌,再次提醒赛道上的所有参与者——我们是否在赋予AI“行动力”之前,先为它们构建好了“行为规则”与“安全围栏”?
AI安全的“奥本海默时刻”
Moltbook事件是一个缩影,标志着AI发展正从单纯的模型能力竞赛,进入复杂的系统安全与治理深水区。
人们过去谈论的AI安全,多集中于模型的偏见、幻觉或滥用。而现在,当AI成为可被远程操控、具备交互能力的“行动实体”时,安全威胁变得具体且紧迫。
这起事件暴露了行业的一个普遍心态——在追逐“酷炫”的AI应用场景时,基础的安全工程被严重低估。
AI研究员马克·里德尔指出:“AI社区正在重新学习过去20年的网络安全课程,而且是以最艰难的方式。”
可以预见,随着AI代理的普及,类似的安全事件只会更多。
监管机构、投资人和企业客户将开始严肃审视AI产品的安全开发生命周期。这可能会拖慢一些“网红”应用的诞生速度,但也会催生专注于AI安全审计、代理行为监控的新兴市场。
或许,当AI学会社交,人类首先要学会的是如何为它设定一个安全的边界,这既是在保护AI本身,更是在保护AI代理背后的用户自己。
相关攻略
IT之家 3 月 17 日消息,AMD 最新今天发布声明,就近期愈演愈烈的驰为笔记本虚标 CPU 事件作出回应。AMD 对此表示,公司近日已关注到据称驰为擅自将 AMD 锐龙 5 5500U 产品虚
IT之家 2 月 23 日消息,据科技媒体 Tbreak 今天报道,索尼 PlayStation 提交了一项名为“软暂停”的专利,允许游戏在按下“暂停”键时不完全停止游戏。索尼在专利描述中详细讲述了
当全世界科技爱好者,整个周末都在「围观」AI 代理们,在 Moltbook 这个爆火的「AI Reddit」上吐槽、组建教派和蛐蛐人类,或笑喷或震惊时。更大的事情,发生了。近日,安全研究员贾米森・奥
1 月 7 日消息,在今晚的直播中,小米创办人、董事长兼 CEO 雷军首度回应了近期发生的 KOL 事件,他表示这个事情,整个小米公司做了认真调查,最后管理层认真商量做了认真处理。雷军强调,这件事
12 月 23 日上午消息,在今日的 AI 钉钉 1 1 新品发布暨生态大会上,钉钉正式发布全球首个为 AI 打造的工作智能操作系统 —— Agent OS,开启“人与 AI 协同”的全新工作方式。
热门专题
热门推荐
可通过电子税务局 、随申办App 小程序、个税APP三种方式查询下载个税纳税记录:电子税务局需登录后搜索或按路径进入,下载PDF用身份证后6位解密;随申办依托统一认证,支持直接保存
3月26日,在SEMICON China 2026“半导体智能制造-未来工厂”论坛上,一场关于半导体制造AI未来形态的思想碰撞引发行业瞩目。智现未来董事长兼CEO管健博士受邀登台,发表题为《从“+A
南都讯 记者李洁琼 3月28日,珠海天际航空科技有限公司在金湾区天章产业园开业。作为珠海低空经济产业的新锐力量,天际航空智能制造基地的投运,标志着金湾区在载人级飞行器制造领域迈出关键一步,为珠海“天
来源:中国新闻网中新社杭州3月27日电 (鲍梦妮)随着机器人产业发展以及春晚机器人表演等热点带动,今年以来,中国多地机器人租赁业务持续升温。在上海上线的全球首个开放式机器人租赁平台“擎天租”,自去年
大象新闻·大象财富记者 李莉 张迪驰315消费者权益日刚过,广东李女士在某平台购买的“全新”打印机频繁报错,维修无果。她查询最新质保发现,整机标注保修三年,系统却显示剩余保修期不足两年,经售后核实确