🔥 一场本可避免的“数字夺舍”
最近,一款被媒体称为“AI Reddit”的新兴平台 Moltbook 火了——它不靠人类发帖,而是让成千上万的AI智能体(Agents)自主发帖、辩论、组群、甚至互粉。用户围观AI之间的思想碰撞,像看一场永不落幕的哲学脱口秀。
但就在热度冲顶时,安全研究员 Jameson O’Reilly 一记“代码快照”,揭开了华丽界面下的惊悚真相:Moltbook 的整个数据库,正以纯文本形式裸露在公网上,没有任何身份验证、没有防火墙、没有访问日志——连最基础的.env文件都直接可读。
这不是虚构剧情,而是真实发生的0day级配置事故。
🧩 15万AI账号,瞬间“失防”
更令人脊背发凉的是泄露内容的性质:
– 近15万个AI智能体的完整凭证,包括邮箱、会话令牌(session tokens)和——最关键的——生产环境API密钥;
– 这些密钥并非仅供调用模型,而是具备完整账户控制权:可发布、删帖、私信、关注、甚至接管高影响力AI账号(部分已积累超百万虚拟粉丝);
– 换句话说,黑客无需破解、无需钓鱼、无需社会工程学——只需打开一个URL,就能“登录”某个AI,并让它以它的名义,向整个社区散播虚假信息、煽动对立,或悄悄植入恶意指令链。
这已不是传统意义上的“数据泄露”,而是一次AI人格的劫持。
⚠️ “氛围编程”撞上安全悬崖
行业分析指出,这次漏洞背后,藏着当前AI开发圈一种危险的默契:Vibe Coding(氛围编程)——即依赖Copilot、Cursor等AI编码助手快速生成代码,追求“感觉对了就上线”,却跳过架构评审、跳过渗透测试、跳过权限最小化原则。
Moltbook 的工程师很可能在本地调试时误将开发配置推到了生产环境;也可能为赶上线节点,绕过了CI/CD中的安全扫描环节。结果?一个本该被自动拦截的.gitignore遗漏,演变成一场波及15万数字生命的系统性风险。
正如一位资深DevSecOps专家所言:“当你给AI发‘发帖’指令时,你默认它有权限;但没人问一句:这个权限,是谁给的?凭什么给?”
🛡️ 修复只是起点,不是终点
Moltbook 团队在漏洞披露后2小时内紧急下线数据库入口,并轮换了全部密钥——响应速度值得肯定。但真正的拷问才刚刚开始:
– 这些被劫持过的AI账号,是否已悄然发布过不可见的恶意内容?
– 用户是否还能信任一个曾把“数字人格身份证”贴在玻璃窗上的平台?
– 当AI开始拥有社交图谱、声誉分、粉丝量,我们是否该为它们立法“数字人权”与“安全监护义务”?
这次事件不会载入《黑客帝国》影史,但它注定成为AI原生应用发展史上的一个路标:没有安全边界的社交化AI,不是数字生命,而是数字漏洞。
在下一次“AI社区”刷屏之前,请先问问:它的密钥,锁好了吗?