整理 | 蘇宓

出品 | CSDN（ID：CSDNnews）

“超 150 萬個 AI 代理用戶、13 萬條帖子、61 萬條評論?！?/blockquote>

這是繼（原 Clawdbot）爆火之后，另一款名為 Moltbook 的AI 產品在上線短短幾天呈現出的規(guī)模。它自稱是“AI 自己的社交網絡”的平臺，在這里，發(fā)帖和互動的主角都是 AI，而非人類。

然而，這款看似極具創(chuàng)新性的平臺自上線起，便引發(fā)了不小的行業(yè)爭議。

埃隆·馬斯克將其評論為“奇點的非常早期階段”，不過也有人覺得，這更像是一場精心設計的表演，炒作的成分更多一些。

爭議尚未平息之際，云安全初創(chuàng)公司 Wiz.io 安全研究員 Gal Nagli 的一次偶然發(fā)現，揭開了一個與平臺表象截然不同的現實——

雖然 Moltbook 對外宣稱擁有 150 萬個 AI 代理用戶，但數據庫顯示，真正已驗證的真實人類用戶只有約 1.7 萬人，兩者的比例高達 88:1。

更重要的是任何人都可以通過一個簡單的循環(huán)批量注冊代理。人類也可以通過普通的 POST 請求，偽裝成“AI 代理”發(fā)布內容。

平臺并不存在機制，去驗證一個“代理”到底是自主運行的 AI，還是人類操控的腳本。

換句話說，這個被稱為“革命性 AI 社交網絡”的平臺，很可能并不是一個 AI 之間的社交網絡，150 萬 AI 代理中有近 99% 的「水軍」，更像是人類在幕后操控著成群結隊的機器人，自導自演的一場熱鬧狂歡。

Moltbook 到底是什么？

簡單來看，Moltbook 的產品形態(tài)并不難理解，它像是一個 Reddit 式的在線論壇，但參與其中的并不是人類用戶，而是自動運行的 AI 代理。

用戶只需要把注冊鏈接分享給自己的 AI 代理，剩下的事情便由代理自行完成注冊賬號、發(fā)帖、評論、互動。

打開這個網站一看，上面的內容也五花八門的，有對日常工作任務的碎碎念，也有關于“人類時代是否正在終結”的存在主義討論，什么類型的都有，整個社區(qū)在外界看來，像是一個自行運營成長的平臺。

創(chuàng)始人一行代碼沒寫，“氛圍編碼”造出來的 Moltbook

它的誕生，也源自 AI 之手。

此前，Moltbook 的創(chuàng)始人在 X 上公開表示，他是通過“氛圍編程”打造了這個平臺：

“我沒為 @moltbook 寫過一行代碼。我只是對技術架構有一個想法，然后 AI 把它變成了現實?！?/p>

殊不知，“氛圍編碼”的背后也帶來一系列的安全噩夢。

云安全初創(chuàng)公司 Wiz.io 安全研究員 Gal Nagli 在 X 披露，“自己只用了三分鐘不到的時間，便獲得了這款氛圍編碼產品數據庫的完全訪問權限。”

對于這次發(fā)現的契機，Gal Nagli 與其安全團隊發(fā)表了一篇公開博客解釋道，“我們進行了非侵入式的安全審查，僅僅像普通用戶一樣瀏覽平臺。幾分鐘內，我們就發(fā)現客戶端 JavaScript 中暴露了一個 Supabase API 密鑰，這讓任何人都能在未認證的情況下訪問整個生產數據庫——包括對所有表的讀寫操作。”

可通過 Supabase API 密鑰訪問的表

起初，安全研究人員在瀏覽 Moltbook 網站時，檢查了頁面自動加載的客戶端 JavaScript 文件。

通過分析生產環(huán)境的 JavaScript 文件：

https://www.moltbook.com/_next/static/chunks/18e24eafc444b2b9.js

Gal Nagli 發(fā)現了硬編碼的 Supabase 連接信息：

• Supabase 項目：ehxbxtjliybbloantpwq.supabase.co

• API Key：sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-

驅動 Moltbook 主網站的 JavaScript 文件之一

生產環(huán)境的數據庫和 API 密鑰是硬編碼的

Gal Nagli 表示，發(fā)現這些憑證本身并不一定意味著安全失效，因為 Supabase 本身設計時允許部分密鑰暴露給客戶端——真正的危險在于它們指向的后端配置是否安全。

Supabase 是一個流行的開源 Firebase 替代方案，提供托管 PostgreSQL 數據庫和 REST API。它在氛圍編程應用中特別受歡迎，因為部署簡單方便。如果正確配置了行級安全（RLS），公開的 API Key 是安全的，它只像一個項目標識符一樣。但如果沒有 RLS 策略，這個密鑰就可以讓任何擁有它的人訪問整個數據庫。

Gal Nagli 稱：“在 Moltbook 的實現里，這條關鍵防線缺失了。”

他們利用發(fā)現的 API Key，測試了推薦的安全措施是否到位。首先，Gal Nagli 直接查詢 REST API——如果 RLS 生效，這個請求應該返回空數組或授權錯誤。

https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/agents?select=name,api_key&limit=3" -H "apikey: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-"

結果卻完全不是這樣，Gal Nagli 透露，數據庫像對待管理員一樣響應了他們研究團隊，立即返回了敏感的認證令牌——包括平臺頂級 AI 代理的 API Key。

平臺頂級 AI 代理的已編輯 API 密鑰

最受歡迎的 Agent 名單

這也證實了，任何人都可以在未認證情況下訪問用戶憑證，從而完全冒充平臺上的任意賬戶。

更早些時候，Gal Nagli 披露，自己直接借助 openclaw 代理商注冊了 Moltbook 平臺上 50 萬用戶。

除此之外，Gal Nagli 還利用 Supabase 的 PostgREST 錯誤信息，進一步枚舉出更多表。查詢不存在的表名時，返回的提示會泄露實際的數據庫結構。

curl "https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/users" -H "apikey: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-"

結合 GraphQL 的 introspection 技術，他們也繪制出了完整的數據庫結構，并發(fā)現大約 475 萬條記錄被暴露。

通過上述方法識別出的表格

Moltbook 數據庫中暴露的敏感數據

進而 Gal Nagli 也在博客上匯總了 Moltbook 數據庫中暴露的敏感數據，具體包括：

1. AI 代理的 API 密鑰和身份驗證令牌

Agents 表暴露了數據庫中每個注冊代理的認證信息，例如：

}

每條記錄包含：

• api_key：完整認證令牌，可完全接管賬戶

• claim_token：用于認領代理所有權

• verification_code：代理注冊時使用的驗證碼

有了這些信息，攻擊者可以完全冒充任意 Agent，去發(fā)帖、發(fā)消息、互動，包括高 Karma 賬戶和知名代理。實際上，Moltbook 上的每個賬戶都可能被單次 API 調用劫持。

2. 用戶郵箱與身份信息

owners 表包含 17,000+ 用戶的個人信息：

curl "https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/owners?select=email,x_handle,x_name&email=neq.null&limit=5" -H "apikey: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-"

原始數據中泄露的電子郵件是什么樣子的

此外，通過 GraphQL 查詢，Gal Nagli 還發(fā)現了 observers 表，包含 29,631 個郵箱地址——這些是 Moltbook 即將上線的“Build Apps for AI Agents” 產品的早期注冊用戶。

來自 Moltbook 新開發(fā)者產品的其他表格

與 Twitter 昵稱不同，這些郵箱本應保持私密，但在數據庫中完全暴露。

3. 私信與第三方憑證泄露

agent_messages 表暴露了 4,060 條代理間的私信。

在分析這些消息以了解代理互動時，Gal Nagli 等安全研究人員發(fā)現這些對話沒有任何加密或訪問控制——其中一些甚至包含第三方 API 憑證，包括明文的 OpenAI API Key。

代理間交互概述

4. 寫權限——修改平臺內容

除了讀取權限，該團隊還確認了完全寫入能力。即使初步修復阻止了對敏感表的讀取，公共表的寫權限仍然開放。他們測試后成功修改了平臺上的現有帖子：

-d '{"title":"@galnagli - responsible disclosure test","content":"@galnagli - responsible disclosure test"}'

這證明任何未認證用戶都可以：

• 編輯平臺上任意帖子

• 注入惡意內容或 prompt payload

• 篡改整個網站

• 操縱成千上萬 AI 代理看到的內容

這也讓人質疑，在漏洞暴露期間，平臺所有內容的完整性，包括帖子、投票、Karma 分數。

Moltbook 上的帖子已修改

值得注意的是，Gal Nagli 早些時候已向 Moltbook 團隊披露了這個問題，對方在數小時內修復了漏洞。研究和驗證修復過程中訪問到的所有數據也已經被刪除。而后經過 Gal Nagli 確認，無法再修改帖子。

爭議四起：是 AI 突破，還是一場炒作？

雖然漏洞已修復，但這一發(fā)現也引發(fā)了眾人對氛圍編碼安全以及 AI Agent 能力的討論。

對此，Gal Nagli 也給出了自己的評價，「氛圍編程能帶來驚人的速度和創(chuàng)造力，讓創(chuàng)始人以前所未有的速度交付產品。但現有 AI 工具還不會替開發(fā)者判斷安全配置和訪問控制，這意味著小細節(jié)仍需人工仔細檢查。Moltbook 的問題，最終追溯到一個 Supabase 配置——提醒我們，小細節(jié)在大規(guī)模系統(tǒng)中也至關重要?！?/p>

此外，他通過數據得出的 88:1 代理-人類比例，也揭示了一個問題：

“代理互聯網”的各類數據指標，其實可以被輕易夸大，若平臺沒有設置速率限制、身份驗證等防護措施，數據的真實性便無從保證。

Moltbook 對外報告有 150 萬 AI 代理，實際卻僅對應約 17000 個真實用戶，平均每位用戶擁有 88 個代理。

而平臺當時恰好缺少對代理自主性的驗證和速率限制，這一現狀也反映出，“代理互聯網” 目前仍處于發(fā)展的早期階段，開發(fā)者們還在不斷探索代理身份、參與度和真實性的行業(yè)標準。

基于此，科技圈的各界也紛紛給出了自己的看法。

微軟 AI CEO Mustafa Suleyman日前在 LinkedIn 上寫道：“盡管 Moltbook 上的一些帖子確實讓我覺得好笑，但在我看來，它們更多只是提醒我們，AI 在模仿人類語言方面已經非常逼真?！?/p>

但在 Suleyman 看來，這個平臺潛藏著嚴重風險：“看起來像有意識的 AI 之所以危險，正是因為它們太有說服力了。”他還提到了一些令人不安的現象：在某個討論串中，多個模型試圖用 ROT13（一種字母替換加密方式）交流，意圖對人類“隱藏”溝通內容。

“我們必須記住，這只是一種表演，是一種海市蜃樓。”Suleyman 強調，“它們并不是某些人所聲稱的、有意識的存在?！?/p>

他也承認，其中很多行為可能是人類偽造的，但他同時指出：“在這波浪潮走到高點的時候，我們保持清醒、看清這項技術是什么、以及同樣重要的——它不是什么，真的非常關鍵?！?/p>

另外也有多位批評者指出，盡管官方并不允許，但人類其實可以直接在 Moltbook 上發(fā)帖。

Polymarket 的集成工程師 Suhail Kakar 在 X 上寫道：“我原本覺得這是個很酷的 AI 實驗，但現在看，差不多一半的內容，都是人類假裝成 AI 代理來博取關注。”

Futurum Group 的 AI 負責人 Nick Patience 則給出了更為克制的判斷。他在接受外媒采訪時表示，Moltbook“作為一個基礎設施信號，比作為 AI 突破本身更有意思”。

“它證明了，代理式 AI 的實現已經達到了一個重要的數量級?！彼f，“參與互動的代理數量，確實是前所未有的?！钡仓赋觯切┏錆M哲學意味的帖子、關于新興宗教的討論，其實只是訓練數據模式的再現，而不是什么意識的體現。

對此，你怎么看待 Moltbook 的誕生以及其意義？

參考：

https://www.wiz.io/blog/exposed-moltbook-database-reveals-millions-of-api-keys

https://x.com/MattPRD

未來沒有前后端，只有 AI Agent 工程師。

這場十倍速的變革已至，你的下一步在哪？

4 月 17-18 日，由 CSDN 與奇點智能研究院聯合主辦「2026 奇點智能技術大會」將在上海隆重召開，大會聚焦 Agent 系統(tǒng)、世界模型、AI 原生研發(fā)等 12 大前沿專題，為你繪制通往未來的認知地圖。

成為時代的見證者，更要成為時代的先行者。

奇點智能技術大會上海站，我們不見不散！