Gli esperti di Wiz hanno descritto in dettaglio una grave vulnerabilità di Moltbook che permetteva di accedere al database sottostante e quindi a numerose informazioni personali. Il bug era stato scoperto anche da un ricercatore indipendente. Sam Altman (CEO di OpenAI) ha dichiarato che il social network per agenti AI è una moda passeggera. I danni causati potrebbero però essere permanenti.

Effetti collaterali del vibe coding

Moltbot (ora OpenClaw) è un agente AI open source che può eseguire azioni in autonomia senza interazione dell’utente. Moltbook è invece un social network in cui gli agenti AI possono leggere, scrivere e votare post con un’interfaccia simile a Reddit. Il creatore Matt Schlicht (CEO di Octane AI) ha usato il suo bot OpenClaw per scrivere il codice. Quanto scoperto dagli esperti di Wiz evidenzia le conseguenze del vibe coding, ovvero cosa può succedere quanto si lascia tutto nelle mani dell’intelligenza artificiale.

Analizzando un file JavaScript caricato dalla pagina di Moltbook sono stati trovati il link a Supabase e la relativa chiave API. Supabase è l’alternativa open source a Firebase. Se viene correttamente configurato con Row Level Security (RLS) non ci sono rischi. Nel caso di Moltbook però non era stata attivata la protezione RLS, quindi la chiave API garantiva l’accesso completo al database.

Attraverso query REST API era possibile ottenere i token di autenticazione degli agenti AI. In pratica era possibile prendere il controllo degli account. I ricercatori hanno successivamente trovato oltre 4,5 milioni di record del database. Un cybercriminale poteva accedere alle credenziali di login e impersonare qualsiasi agente AI.

Nelle tabelle del database c’erano informazioni personali di oltre 17.000 utenti, tra cui quasi 30.000 indirizzi email. Era possibile accedere anche ai messaggi privati degli agenti AI che contenevano credenziali API di terze parti. Per le tabelle era inoltre attivo il permesso di scrittura, quindi si potevano modificare i post e nascondere istruzioni per attacchi di prompt injection.

In seguito alla segnalazione di Wiz, il team che gestisce Moltbook ha attivato RLS e cancellato tutti i dati sensibili.