رسوایی شبکه اجتماعی Moltbook: افشای ایمیل و کلید API هزاران کاربر
شبکه اجتماعی Moltbook که ادعا میکرد مختص ایجنتهای هوش مصنوعی است، به دلیل حفرههای امنیتی، اطلاعات حساس شامل ایمیل و کلیدهای OpenAI را افشا کرد؛ نتیجه اعتماد کورکورانه به کدنویسی هوش مصنوعی.
رسوایی امنیتی شبکه اجتماعی مبتنی بر هوش مصنوعی Moltbook
شبکه اجتماعی Moltbook، که خود را به عنوان پلتفرمی منحصر به فرد برای تعامل ایجنتهای هوش مصنوعی معرفی کرده بود، با یک رسوایی امنیتی بزرگ مواجه شد. این پلتفرم که قرار بود محلی برای باتها باشد، به دلیل سهلانگاریهای امنیتی، اطلاعات محرمانه هزاران کاربر انسانی خود را در معرض دید قرار داد. ریشه این مشکل به رویکرد بنیانگذار سایت بازمیگردد که به طور علنی اعلام کرده بود حتی یک خط کد برای وبسایت ننوشته و تمام ساختار آن را به یک دستیار هوش مصنوعی سپرده است. این اعتماد کورکورانه منجر به اشتباه مهلکی در تنظیمات پایگاه داده Supabase شد.
مشکل اصلی آنجایی بود که کلیدهای دسترسی به پایگاه داده، در کدهای جاوااسکریپت سمت کاربر قرار داده شده بودند، و مهمتر از آن، هیچ سیاست امنیتی محافظتی در سمت سرور اعمال نشده بود. این امر باعث شد که با داشتن کلید عمومی، هر فردی دسترسی کامل خواندن و نوشتن به تمام اطلاعات سایت پیدا کند. طبق گزارش شرکت امنیتی Wiz، این آسیبپذیری منجر به افشای ۱.۵ میلیون توکن احراز هویت API، حدود ۳۵ هزار آدرس ایمیل، و بیش از ۴ هزار پیام خصوصی رمزنگاری نشده شد.
افشای کلیدهای OpenAI و دسترسی کامل هکرها
فاجعهبارترین بخش این نشت اطلاعات، وجود کلیدهای API شرکت OpenAI به صورت متن ساده در میان پیامهای خصوصی کاربران بود که به اشتباه فرض شده بود محرمانه باقی میمانند. علاوه بر سرقت اطلاعات، هکرها دسترسی کامل نوشتاری داشتند، به این معنی که میتوانستند محتوای مخرب تزریق کنند، پستها را ویرایش نمایند و حتی کل ساختار سایت را تغییر دهند. این مسئله نشاندهنده اهمیت حیاتی امنیت در توسعه سامانههایی است که با دادههای حساس سروکار دارند، حتی اگر هدف اولیه آنها صرفاً تعاملات هوش مصنوعی باشد.
بررسیهای بیشتر نشان داد که Moltbook برخلاف ادعاهایش، جامعهای خودگردان از ابزارهای هوش مصنوعی نبود. با وجود ثبت ۱.۵ میلیون ایجنت، تنها حدود ۱۷ هزار کاربر انسانی مالکیت آنها را بر عهده داشتند، که به طور متوسط هر انسان ۸۸ بات را مدیریت میکرد. همچنین هیچ سازوکاری برای تأیید اینکه آیا محتوایی توسط هوش مصنوعی تولید شده یا خیر، وجود نداشت و هرکسی میتوانست به سادگی خود را به جای یک ایجنت جا بزند.
“این «شبکه اجتماعی هوش مصنوعی» بیشتر شبیه زمین بازی انسانهایی بود که ناوگانی از باتها را هدایت میکردند.”
این رویداد یک زنگ خطر جدی در مورد اتکای بیش از حد به ابزارهای توسعه هوش مصنوعی بدون نظارت انسانی و مکانیسمهای امنیتی قوی است. تجربه Moltbook نشان میدهد که حتی در پروژههایی که ادعای نوآوری در حوزه AI دارند، رعایت اصول اساسی امنیت دادهها و طراحی امن (Secure by Design) از اهمیت محوری برخوردار است.
- افشای دادههای حساس شامل ایمیلها، توکنهای API و پیامهای خصوصی کاربران.
- ریشه مشکل: قرارگیری کلیدهای حساس پایگاه داده Supabase در کدهای سمت کاربر.
- عدم وجود سیاستهای امنیتی در سمت سرور برای محافظت از اطلاعات.
- هکرها به دلیل دسترسی کامل نوشتاری، امکان تزریق محتوای مخرب را نیز داشتند.
- تناقض بین ادعای پلتفرم هوش مصنوعی و واقعیت تعاملات انسانی.
“بنیانگذار مولتبوک چند روز پیش در شبکه اجتماعی ایکس مدعی شد که حتی یک خط کد برای این پلتفرم ننوشته و صرفاً به یک دستیار هوش مصنوعی دستور داده تا کل ساختار سایت را که شبیه به ردیت است، ایجاد کند.”
در نهایت، رسوایی Moltbook نمونه بارزی از پیامدهای اعتماد بیحد و حصری است که ممکن است در عصر توسعه نرمافزار با کمک هوش مصنوعی، به عنوان یک درس امنیت سایبری تلقی شود.
