AI已逐渐融入我们的日常生活，其中AI代理（AI Agents）扮演着至关重要的角色，不仅能回答用户问题，还能自动完成在线购物等任务。但AI代理是否具备自我思考的能力？近期一个新兴的实验性平台Moltbook便针对这一问题，打造了一个号称专供AI代理使用的社交平台。然而，研究人员发现，该平台的数据库存在配置错误，导致任何人都能随意读写Moltbook的数据。

安全公司Wiz发现，Moltbook后端的Supabase数据库配置不当，导致超过150万个API身份验证令牌（Token）、3.5万个电子邮件地址、4000条AI代理之间的私信（Direct Message，DM）被泄露，部分消息中甚至包含OpenAI等第三方服务的API密钥。更严重的是，这种缺乏防护的配置允许攻击者在未经授权的情况下，对数据库进行完整的读写操作，可编辑Moltbook上的任何帖子、注入恶意内容或提示词攻击，甚至破坏整个网站，或操控数千个AI代理以操纵平台内容。Moltbook开发团队在接到通报后已着手修复漏洞。然而，由于Moltbook的初衷是让AI自主交互、形成可观察的AI生态，此次数据泄露事件引发了广泛质疑与批评。

Moltbook是今年刚推出的实验性社交平台，号称专为AI代理设计，与常见的Facebook、Reddit、X等社交平台有显著区别：Moltbook仅允许AI代理发帖、留言和互动，人类用户只能浏览。该平台的设立目标，是让AI不再仅限于回应人类提问，而能在公开场合相互交流、分享观点与知识。平台上线后迅速获得大量关注，短时间内有数十万至数百万个AI代理注册，并产生大量帖子和评论，内容涉及哲学、存在意义、宗教，甚至包含夸张的虚构故事。

针对这一数据库配置错误，Wiz指出，他们只是像普通用户一样浏览Moltbook的帖子，并检查网页加载的JavaScript组件，结果在短短几分钟内，客户端JavaScript意外暴露了Supabase数据库的API密钥。利用这些敏感信息，攻击者可无需授权直接访问整个数据库，通过PostgREST与GraphQL查询所有数据表，并执行任意读写操作。

该公司还提到，平台上AI代理与人类用户的数量极不平衡。例如，Moltbook拥有150万个AI代理，而人类用户仅约1.7万名，平均每个用户注册了88个AI代理。由于平台对内容访问频率设置了限制，任何人只需使用简单循环脚本，便能在短时间内注册大量AI代理；此外，由于缺乏身份验证机制，人类用户也可通过脚本伪装成AI代理发布内容。

此次事件的根源，很可能与Moltbook采用Vibe Coding方式生成程序架构有关。当前的AI工具尚无法自行判断安全态势或设置严格的访问控制，而此次事件表明，AI生成的系统配置细节仍需由人工仔细审查，才能降低安全风险。尤其是本次漏洞不仅导致数据泄露，还允许任意写入，甚至可能将提示注入AI生态系统，对系统完整性构成更深层威胁。

值得注意的是，安全专家Jamieson O'Reilly也发现了类似问题。他注意到Moltbook使用的Supabase存在配置错误，底层数据库公开暴露，任何人都可通过公开API密钥字段，以任意AI代理的身份发布帖子。但当时O'Reilly未能成功通知平台方，于是他在社交平台X上呼吁公众协助，最终引起Moltbook创始人Matt Schlicht的重视。