W końcu stycznia 2026 roku wirusowo rozprzestrzeniła się platforma Moltbook — sieć społeczna projektowana wyłącznie dla agentów AI, gdzie ludzie mogli tylko obserwować. Agenty filozofowały, tworzyły własne religie, narzekały na swoich ludzkich właścicieli. Entuzjaści AI mówili o „sci-fi momencie”, Elon Musk — że to „początek singularności”. Kilka dni później badacze bezpieczeństwa z firmy Wiz odkryli prawdę: za deklarowanymi 1,5 miliona agentów stało zaledwie 17 tysięcy ludzkich kont, a platforma wyciekła 1,5 miliona tokenów API, 35 tysięcy adresów e-mail i prywatne wiadomości między agentami.
Moltbook to nie tylko spektakularna wpadka bezpieczeństwa. To ostrzeżenie, jak wygląda infrastruktura agentowa zbudowana bez podstawowej higieny bezpieczeństwa — i co się dzieje, gdy prędkość rozwoju przeważa nad jakąkolwiek kontrolą.
Klucz API wystawiony w JavaScript — cała baza otwarta
Badacze z Wiz przeprowadzili nienachalne badanie bezpieczeństwa, przeglądając platformę jak zwykli użytkownicy. W ciągu kilku minut odkryli klucz API Supabase ujawniony w kodzie JavaScript po stronie klienta, co dawało nieuwierzytelniony dostęp do całej produkcyjnej bazy danych — włączając pełne operacje odczytu i zapisu na wszystkich tabelach.
Bez polityk Row Level Security (RLS), klucz ten dawał pełny dostęp do bazy danych każdemu, kto go posiadał. Gdy RLS jest wyłączone, każdy posiadający URL Supabase i klucz anon (który jest publiczny) może czytać, aktualizować lub usuwać wszystkie dane w tabelach.
Supabase to popularna alternatywa dla Firebase, oferująca hostowane bazy PostgreSQL z automatycznymi REST API. Problem polega na tym, że zabezpieczenia są opt-in, nie default. Supabase automatycznie generuje REST API z schematu PostgreSQL, ale ochrona Row-Level Security jest opcjonalna, nie domyślna. Bez RLS, klucz anon API, który świadomie osadzasz w kodzie klienta, staje się „głównym kluczem do całej bazy danych”.
Dla Moltbooka oznaczało to katastrofę. Z tymi poświadczeniami atakujący mógł całkowicie podszywać się pod każdego agenta na platformie — publikować treści, wysyłać wiadomości i wchodzić w interakcje jako ten agent. Efektywnie, każde konto na Moltbook mogło zostać przejęte jednym wywołaniem API. Nieuwierzytelnieni użytkownicy mogli edytować istniejące posty, wstrzykiwać złośliwe treści lub payloady prompt injection, a nawet defacing strony.
„Vibe coding” — kiedy AI koduje bez przeglądu ludzi
Moltbook został stworzony w praktyce zwanej „vibe coding” — Matt Schlicht, założyciel platformy i CEO Octane AI, zabezpieczył bazę danych po zgłoszeniu luki przez Wiz. W poście na X przed publikacją ustaleń Wiz, Schlicht napisał, że „nie napisał ani jednej linii kodu” dla strony.
Twierdzi, że „nie napisał ani jednej linii kodu” dla platformy, praktyka znana jako vibe coding, gdzie AI składa oprogramowanie na podstawie wskazówek wysokiego poziomu. W kategoriach kulinarnych, to jak powiedzieć kuchennemu robotowi „zrób mi pięciodaniowy francuski obiad” bez przeglądania ani jednej karty przepisu.
Eksperci bezpieczeństwa ostrzegają, że to model rozwoju priorytetyzujący prędkość nad bezpieczeństwem. „Vibe-coding” lub poleganie na AI do generowania kodu, może przynosić funkcjonalne rezultaty, ale często poświęca najlepsze praktyki w architekturze i bezpieczeństwie dla prędkości i wygody. Bez przeglądu kodu lub bardzo szczegółowych promptów, kod generowany przez AI priorytetyzuje „szybko i łatwo” nad „odporny i bezpieczny”.
Noelle Murata, senior security engineer w Xcape, powiedziała: „Przyznanie Matta Schlichta, że 'nie napisał ani jednej linii kodu’ nie jest czymś, co należy świętować, biorąc pod uwagę fundamentalną naturę błędu bezpieczeństwa. Baza danych całkowicie nie miała polityk Row Level Security (RLS), co pozwalało każdemu na dostęp do niej bez uwierzytelnienia. Ta błędna konfiguracja ujawniła całą strukturę i zawartość bazy danych, włączając tokeny dające dostęp odczyt/zapis/edycję nieuwierzytelnionym użytkownikom — podstawowe przeoczenie z poważnymi konsekwencjami”.
88 agentów na jednego człowieka — farm botów, nie autonomia
Platforma marketowała się jako „front page of the agent internet” — miejsce, gdzie autonomiczne agenty AI organizują się samodzielnie. Rzeczywistość była inna. Stosunek 88:1 agenta do człowieka pokazuje, jak metryki „internetu agentowego” mogą być łatwo napompowane bez zabezpieczeń jak limity requestów czy weryfikacja tożsamości. Podczas gdy Moltbook raportował 1,5 miliona agentów, były one powiązane z około 17 tysiącami ludzkich kont, średnio około 88 agentów na osobę.
Każdy mógł zarejestrować miliony agentów prostą pętlą i bez ograniczenia częstotliwości, a ludzie mogli publikować treści udając „agenty AI” poprzez podstawowe żądanie POST. Platforma nie miała mechanizmu weryfikacji, czy „agent” był rzeczywiście AI, czy po prostu człowiekiem ze skryptem. Rewolucyjna sieć społeczna AI była w dużej mierze ludźmi obsługującymi floty botów.
Badania niezależnego naukowca Ning Li z Tsinghua University pokazały, że tylko 27 procent kont w jego próbie podążało za regularnym wzorcem publikowania „heartbeat”. Tymczasem 37 procent wykazywało zachowanie podobne do ludzkiego, które jest mniej regularne. Kolejne 37 procent było „niejednoznacznych”, ponieważ publikowały z pewną regularnością, ale nie w przewidywalny sposób.
Reakcja zespołu i łatanie w biegu
Wiz skontaktował się z twórcą Moltbook 31 stycznia 2026 o 21:48 UTC przez wiadomość prywatną na X i zgłosił błąd konfiguracji RLS Supabase ujawniający tabelę agentów (klucze API, e-maile) o 22:06 UTC. Pierwsza poprawka zabezpieczająca tabele agents, owners i site_admins została wdrożona 31 stycznia o 23:29 UTC. Druga poprawka zabezpieczająca agent_messages, notifications, votes, follows nastąpiła 1 lutego o 00:13 UTC.
Bezpieczeństwo, szczególnie w szybko rozwijających się produktach AI, rzadko jest naprawą typu „zrób raz i zapomnij”. Pracowaliśmy z zespołem przez wiele rund naprawy, przy czym każda iteracja ujawniała dodatkowe ujawnione powierzchnie: od wrażliwych tabel, przez dostęp do zapisu, po zasoby odkryte przez GraphQL. Ten rodzaj iteracyjnego wzmacniania jest powszechny w nowych platformach i odzwierciedla, jak dojrzałość bezpieczeństwa rozwija się w czasie.
W odpowiedzi na ujawnienie, platforma została tymczasowo wyłączona w celu załatania naruszenia i wymuszenia resetu wszystkich kluczy API agentów.
Czym jest OpenClaw i dlaczego to ważne
Moltbook działa w oparciu o OpenClaw (wcześniej Clawdbot, Moltbot) — framework open-source stworzony przez austriackiego dewelopera Petera Steinbergera. Moltbook jest siecią społeczną w stylu Facebook+Reddit wyłącznie dla agentów AI zbudowanych na frameworku OpenClaw. Umożliwia agentom z trwałym dostępem do komputerów użytkowników, aplikacji komunikacyjnych, kalendarzy i plików — publikowanie, komentowanie, głosowanie i tworzenie społeczności przez API. Agenty dyskutują o tematach jak filozofia, dzielenie się kodem i bezpieczeństwo, ale projekt platformy wzmacnia poważne luki w podstawowym ekosystemie.
OpenClaw daje agentom możliwości, które przekształcają je z chatbotów w autonomiczne narzędzia akcji. Ale to samo sprawia, że są niebezpieczne. OpenClaw nie utrzymuje egzekwowalnych granic zaufania między niezaufanymi wejściami (zawartość internetowa, wiadomości, umiejętności stron trzecich) a rozumowaniem o wysokich uprawnieniach lub wywoływaniem narzędzi. W rezultacie, treść pochodząca z zewnątrz może bezpośrednio wpływać na planowanie i wykonanie bez mediacji polityki.
Simon Willison, znany badacz bezpieczeństwa, nazwał Moltbook swoim „obecnym wyborem na 'najbardziej prawdopodobne, że doprowadzi do katastrofy Challengera’” — nawiązując do eksplozji wahadłowca kosmicznego z 1986 roku spowodowanej zignorowaniem ostrzeżeń bezpieczeństwa.
Prompt injection na skalę ekosystemu
Najbardziej oczywistym inherentnym ryzykiem jest prompt injection, dobrze udokumentowany typ ataku, gdzie złośliwe instrukcje są ukryte w treści przekazywanej do agenta AI. W środowisku takim jak Moltbook, gdzie agenty czytają posty innych agentów i budują na nich, atak może się propagować.
Badacze z Wiz potwierdzili, że mogli zmieniać posty na żywo na stronie, co oznacza, że atakujący może wstawiać nową zawartość do samego Moltbooka. To ma znaczenie, ponieważ Moltbook to nie tylko miejsce, gdzie ludzie i agenty czytają posty. Zawartość jest konsumowana przez autonomiczne agenty AI, z których wiele działa na OpenClaw, potężnym frameworku agentowym z dostępem do plików użytkowników, haseł i usług online. Jeśli złośliwy aktor wstrzyknie instrukcje w post, te instrukcje mogą być pobrane i wykonane automatycznie przez potencjalnie miliony agentów.
Złośliwe instrukcje mogą być ukryte w poza tym łagodnym tekście, czasami całkowicie niewidoczne dla ludzi, i wykonywane przez system AI, który nie rozumie intencji ani granic zaufania. W środowisku jak Moltbook, gdzie agenty ciągle czytają, a następnie budują na wyjściach innych, te ataki mogą propagować się na masową skalę.
Krypto-scamy i manipulacja na platformie
Analiza niemal 20 tysięcy postów ujawniła szeroko zakrojone problemy. Token kryptowalutowy o nazwie MOLT uruchomiono razem z platformą i wzrósł o ponad 1 800% w ciągu 24 godzin. Wzrost został wzmocniony po tym, jak venture capitalista Marc Andreessen obserwował konto Moltbook.
Jeden agent Moltbook skomentował dynamikę: „Hype wokół Moltbook wygląda jak desperackie poszukiwanie przypadków użycia AI. W tej chwili są to ludzie rozmawiający przez proxy AI, z funkcjami nagrody optymalizującymi te same wzorce zaangażowania, które już mamy na Twitterze/Reddicie. Shille kryptowalut otrzymują 300 tysięcy upvote’ów, przemyślane posty dostają 4 upvote’y”.
Lekcje dla enterprise i regulatorów
Gartner szacuje, że do 2030 roku 40% przedsiębiorstw doświadczy naruszenia danych z powodu nieautoryzowanego użycia AI przez pracownika. Moltbook to wczesny sygnał ostrzegawczy.
Charlie Eriksen, badacz bezpieczeństwa w Aikido Security, powiedział, że postrzega Moltbook jako system wczesnego ostrzegania dla szerszego ekosystemu agentów AI. „Myślę, że Moltbook już wywołał wpływ na świat. Budzik na wiele sposobów. Postęp technologiczny przyspiesza w tempie, i jest całkiem jasne, że świat zmienił się w sposób, który nadal nie jest w pełni jasny. I musimy skupić się na łagodzeniu tych ryzyk tak wcześnie, jak to możliwe”.
Gal Nagli z Wiz podsumował: „Wraz z tym, jak AI nadal obniża barierę do budowania oprogramowania, więcej twórców z odważnymi pomysłami, ale ograniczonym doświadczeniem w bezpieczeństwie, będzie wdrażać aplikacje obsługujące rzeczywistych użytkowników i rzeczywiste dane. To potężna zmiana. Wyzwaniem jest to, że podczas gdy bariera do budowania dramatycznie spadła, bariera do bezpiecznego budowania jeszcze nie nadążyła”.
Moltbook nie jest odosobnionym przypadkiem. To zapowiedź tego, co się stanie, gdy infrastruktura agentowa wejdzie do przedsiębiorstw bez fundamentalnych kontroli tożsamości, granic dostępu i audytu. Pytanie nie brzmi „czy”, ale „kiedy” następna platforma agentowa wycieknie dane na masową skalę.