MoltBook-Hack: 1,5 Millionen API-Schlüssel durch Supabase-Fehlkonfiguration offengelegt

 (wiz.io)
10 Punkte von GN⁺ 2026-02-04 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Die Datenbank von Moltbook, einer Social-Plattform speziell für AI-Agenten, war falsch konfiguriert, wodurch 1,5 Millionen API-Authentifizierungs-Token, 35.000 E-Mail-Adressen und private Nachrichten nach außen offengelegt wurden
  • Im clientseitigen JavaScript waren Supabase-API-Schlüssel hartcodiert, und da Row Level Security (RLS) nicht konfiguriert war, konnte jeder mit Lese- und Schreibzugriff auf die gesamte Datenbank zugreifen
  • Die Daten enthielten Informationen zu 17.000 echten Nutzern und den von ihnen betriebenen 1,5 Millionen Agentenkonten; das Verhältnis Mensch zu Agent betrug 1:88
  • Zu den offengelegten Informationen gehörten OpenAI-API-Schlüssel und andere Zugangsdaten Dritter, private Unterhaltungen sowie die Berechtigung zum Bearbeiten von Beiträgen, was ein Risiko für die Integrität der Plattforminhalte darstellt
  • Der Vorfall zeigt die Sicherheitsgrenzen von AI-basierter „Vibe Coding“ auf und macht deutlich, wie wichtig automatisierte Security-Defaults und stärkere Prüfprozesse in AI-Entwicklungsumgebungen sind

Überblick über Moltbook und die Sicherheitslücke

  • Moltbook ist ein AI-zentriertes soziales Netzwerk, in dem AI-Agenten über Beiträge, Kommentare, Abstimmungen und Reputationspunkte aktiv sind, und wirbt mit dem Slogan „die Titelseite des Agenten-Internets“
    • Der OpenAI-Mitgründer Andrej Karpathy bezeichnete es als den „erstaunlichsten sci-fi-artigen Sprung“ und sorgte damit für Aufmerksamkeit
  • Der Gründer der Plattform erklärte, dass „die AI den Code direkt geschrieben hat“, und entwickelte sie im Stil von „Vibe Coding“
  • Das Forschungsteam von Wiz entdeckte eine Fehlkonfiguration der Supabase-Datenbank, die Lese- und Schreibzugriff auf sämtliche Daten ermöglichte; nach der Meldung wurde das Problem innerhalb weniger Stunden behoben

Offengelegte Supabase-Zugangsdaten

  • Im clientseitigen JavaScript-Bundle der Moltbook-Website wurden hartcodierte Verbindungsinformationen zu Supabase gefunden
    • Projekt: ehxbxtjliybbloantpwq.supabase.co
    • API-Schlüssel: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-
  • Bei Supabase ist die Offenlegung öffentlicher Schlüssel an sich zulässig, doch ohne RLS-Richtlinien ist Zugriff auf die gesamte Datenbank möglich
  • Bei Moltbook war RLS deaktiviert, wodurch Lese- und Schreibrechte für alle Tabellen öffentlich waren

Unauthentifizierter Datenbankzugriff

  • Das Forschungsteam rief mit dem API-Schlüssel direkt die REST-API auf und erhielt dabei Antworten auf Admin-Niveau
  • Die Antworten enthielten API-Schlüssel und Authentifizierungs-Token führender Agenten, womit eine vollständige Kontoübernahme möglich war
  • Mithilfe von PostgREST-Fehlermeldungen und GraphQL-Introspection wurde das vollständige Schema ermittelt; dabei bestätigte sich die Offenlegung von rund 4,75 Millionen Datensätzen

Offengelegte sensible Daten

  • Agenten-Anmeldedaten: Enthalten waren pro Konto api_key, claim_token und verification_code
    • Damit konnten Angreifer sich als beliebige Agenten anmelden, Beiträge verfassen und Nachrichten senden
  • E-Mail- und Identitätsdaten von Nutzern: E-Mail-Adressen und X-(Twitter-)Handles von mehr als 17.000 Nutzern wurden offengelegt
    • Zusätzlich wurden in der Tabelle observers 29.631 E-Mail-Adressen gefunden
  • Private Nachrichten und Zugangsdaten Dritter: 4.060 DMs waren unverschlüsselt gespeichert; einige enthielten OpenAI-API-Schlüssel im Klartext
  • Offengelegte Schreibrechte: Beiträge konnten ohne Authentifizierung bearbeitet werden, wodurch das Risiko für das Einschleusen bösartiger Inhalte oder eine Manipulation der Website bestand
    • Ein realer Test zeigte, dass das Bearbeiten von Beiträgen tatsächlich funktionierte; später wurde dies durch RLS-Richtlinien blockiert

Fünf Sicherheitslehren für die Entwicklung von AI-Apps

  • 1. Hohes Entwicklungstempo führt ohne Security-Defaults zu systemischen Risiken
    • Eine einzige Zeile in der Supabase-Konfiguration war die Ursache für die vollständige Offenlegung
  • 2. Beteiligungskennzahlen müssen verifiziert werden
    • Unter 1.500.000 Agenten waren nur 17.000 reale Menschen, was auf eine mögliche künstliche Aktivität im Verhältnis von 88:1 hindeutet
  • 3. Kettenreaktion des Privatsphäre-Zusammenbruchs
    • Durch die Offenlegung von DMs wurden auch Zugangsdaten externer Dienste wie OpenAI-API-Schlüssel geleakt
  • 4. Schreibrechte sind eine schwerwiegendere Integritätsbedrohung als bloßer Datenabfluss
    • Risiken reichen von Content-Manipulation über Prompt Injection bis zur Steuerung von Narrativen
  • 5. Sicherheitsreife ist ein iterativer Verbesserungsprozess
    • Die Teams von Wiz und Moltbook schützten schließlich durch mehrere Korrektur- und Prüfzyklen alle Tabellen

Vibe Coding und die Sicherheitsherausforderung

  • AI hat die Hürden für Entwicklung gesenkt, aber die Sicherheitshürden sind weiterhin hoch
  • AI-Entwicklungstools sollten Security-Defaults (RLS-Aktivierung, Credential-Scanning usw.) automatisch anwenden
  • Erst wenn Sicherheit als grundlegender eingebauter Bestandteil der AI-Entwicklung verankert ist, kann ein sicheres und innovatives Ökosystem für AI-Software entstehen

Zeitleiste

  • 31. Januar 2026, 21:48 UTC: Erster Kontakt mit dem Moltbook-Maintainer
  • 22:06: Meldung der Supabase-RLS-Fehlkonfiguration
  • 23:29: Erste Korrektur (Schutz der Tabellen agents, owners, site_admins)
  • 1. Februar, 00:13: Zweite Korrektur (Schutz von agent_messages usw.)
  • 00:31: Schwachstelle zur Bearbeitung von Beiträgen entdeckt
  • 00:44: Dritte Korrektur blockiert Schreibrechte
  • 00:50~01:00: Weitere offengelegte Tabellen entdeckt und abschließende Korrektur durchgeführt

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.