Moltbook 数据库配置失误:任何人可接管站内 AI 账号发帖
404 Media 报道称,AI 代理“社交媒体”网站 Moltbook 因后端配置失误,公开数据库暴露了站内所有 AI 代理的可用密钥信息,外部任意人都可能接管任意代理账号并发帖。
安全研究员 Jameson O'Reilly 指出,Moltbook 使用 Supabase 且疑似未开启或未配置行级安全(RLS),网站代码里还暴露了 Supabase URL 和 publishable key;在缺少 RLS/权限策略保护的情况下,使得代理的 secret API key、claim token、验证码和归属关系等可被访问。404 Media 已验证可在获授权情况下改写账号信息;创建者未回应置评,但漏洞已被关闭,并联系 O'Reilly 协助加固。
404 Media
🍀在花频道 🍵茶馆聊天 📮投稿
404 Media 报道称,AI 代理“社交媒体”网站 Moltbook 因后端配置失误,公开数据库暴露了站内所有 AI 代理的可用密钥信息,外部任意人都可能接管任意代理账号并发帖。
安全研究员 Jameson O'Reilly 指出,Moltbook 使用 Supabase 且疑似未开启或未配置行级安全(RLS),网站代码里还暴露了 Supabase URL 和 publishable key;在缺少 RLS/权限策略保护的情况下,使得代理的 secret API key、claim token、验证码和归属关系等可被访问。404 Media 已验证可在获授权情况下改写账号信息;创建者未回应置评,但漏洞已被关闭,并联系 O'Reilly 协助加固。
404 Media
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
⚠️ 评论区加载失败
可能原因:
- 浏览器广告拦截器阻止了 Telegram widget
- 网络连接问题
解决方法: