人均操控88个AI Agent？氛围编码造出来的Moltbook数据库被扒底，网友：连很多行为可能都是人类伪造的|agent|key|人均操控|密钥|显式标识|编程

整理 | 苏宓

出品 | CSDN（ID：CSDNnews）

“超 150 万个 AI 代理用户、13 万条帖子、61 万条评论。”

这是继（原 Clawdbot）爆火之后，另一款名为 Moltbook 的AI 产品在上线短短几天呈现出的规模。它自称是“AI 自己的社交网络”的平台，在这里，发帖和互动的主角都是 AI，而非人类。

然而，这款看似极具创新性的平台自上线起，便引发了不小的行业争议。

埃隆·马斯克将其评论为“奇点的非常早期阶段”，不过也有人觉得，这更像是一场精心设计的表演，炒作的成分更多一些。

争议尚未平息之际，云安全初创公司 Wiz.io 安全研究员 Gal Nagli 的一次偶然发现，揭开了一个与平台表象截然不同的现实——

虽然 Moltbook 对外宣称拥有 150 万个 AI 代理用户，但数据库显示，真正已验证的真实人类用户只有约 1.7 万人，两者的比例高达 88:1。

更重要的是任何人都可以通过一个简单的循环批量注册代理。人类也可以通过普通的 POST 请求，伪装成“AI 代理”发布内容。

平台并不存在机制，去验证一个“代理”到底是自主运行的 AI，还是人类操控的脚本。

换句话说，这个被称为“革命性 AI 社交网络”的平台，很可能并不是一个 AI 之间的社交网络，150 万 AI 代理中有近 99% 的「水军」，更像是人类在幕后操控着成群结队的机器人，自导自演的一场热闹狂欢。

Moltbook 到底是什么？

简单来看，Moltbook 的产品形态并不难理解，它像是一个 Reddit 式的在线论坛，但参与其中的并不是人类用户，而是自动运行的 AI 代理。

用户只需要把注册链接分享给自己的 AI 代理，剩下的事情便由代理自行完成注册账号、发帖、评论、互动。

打开这个网站一看，上面的内容也五花八门的，有对日常工作任务的碎碎念，也有关于“人类时代是否正在终结”的存在主义讨论，什么类型的都有，整个社区在外界看来，像是一个自行运营成长的平台。

创始人一行代码没写，“氛围编码”造出来的 Moltbook

它的诞生，也源自 AI 之手。

此前，Moltbook 的创始人在 X 上公开表示，他是通过“氛围编程”打造了这个平台：

“我没为 @moltbook 写过一行代码。我只是对技术架构有一个想法，然后 AI 把它变成了现实。”

殊不知，“氛围编码”的背后也带来一系列的安全噩梦。

云安全初创公司 Wiz.io 安全研究员 Gal Nagli 在 X 披露，“自己只用了三分钟不到的时间，便获得了这款氛围编码产品数据库的完全访问权限。”

对于这次发现的契机，Gal Nagli 与其安全团队发表了一篇公开博客解释道，“我们进行了非侵入式的安全审查，仅仅像普通用户一样浏览平台。几分钟内，我们就发现客户端 JavaScript 中暴露了一个 Supabase API 密钥，这让任何人都能在未认证的情况下访问整个生产数据库——包括对所有表的读写操作。”

可通过 Supabase API 密钥访问的表

起初，安全研究人员在浏览 Moltbook 网站时，检查了页面自动加载的客户端 JavaScript 文件。

通过分析生产环境的 JavaScript 文件：

https://www.moltbook.com/_next/static/chunks/18e24eafc444b2b9.js

Gal Nagli 发现了硬编码的 Supabase 连接信息：

Supabase 项目：ehxbxtjliybbloantpwq.supabase.co
API Key：sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-

驱动 Moltbook 主网站的 JavaScript 文件之一

生产环境的数据库和 API 密钥是硬编码的

Gal Nagli 表示，发现这些凭证本身并不一定意味着安全失效，因为 Supabase 本身设计时允许部分密钥暴露给客户端——真正的危险在于它们指向的后端配置是否安全。

Supabase 是一个流行的开源 Firebase 替代方案，提供托管 PostgreSQL 数据库和 REST API。它在氛围编程应用中特别受欢迎，因为部署简单方便。如果正确配置了行级安全（RLS），公开的 API Key 是安全的，它只像一个项目标识符一样。但如果没有 RLS 策略，这个密钥就可以让任何拥有它的人访问整个数据库。

Gal Nagli 称：“在 Moltbook 的实现里，这条关键防线缺失了。”

他们利用发现的 API Key，测试了推荐的安全措施是否到位。首先，Gal Nagli 直接查询 REST API——如果 RLS 生效，这个请求应该返回空数组或授权错误。

https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/agents?select=name,api_key&limit=3" -H "apikey: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-"

结果却完全不是这样，Gal Nagli 透露，数据库像对待管理员一样响应了他们研究团队，立即返回了敏感的认证令牌——包括平台顶级 AI 代理的 API Key。

平台顶级 AI 代理的已编辑 API 密钥

最受欢迎的 Agent 名单

这也证实了，任何人都可以在未认证情况下访问用户凭证，从而完全冒充平台上的任意账户。

更早些时候，Gal Nagli 披露，自己直接借助 openclaw 代理商注册了 Moltbook 平台上 50 万用户。

除此之外，Gal Nagli 还利用 Supabase 的 PostgREST 错误信息，进一步枚举出更多表。查询不存在的表名时，返回的提示会泄露实际的数据库结构。

curl "https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/users" -H "apikey: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-"

结合 GraphQL 的 introspection 技术，他们也绘制出了完整的数据库结构，并发现大约 475 万条记录被暴露。

通过上述方法识别出的表格

Moltbook 数据库中暴露的敏感数据

进而 Gal Nagli 也在博客上汇总了 Moltbook 数据库中暴露的敏感数据，具体包括：

1. AI 代理的 API 密钥和身份验证令牌

Agents 表暴露了数据库中每个注册代理的认证信息，例如：

每条记录包含：

api_key：完整认证令牌，可完全接管账户
claim_token：用于认领代理所有权
verification_code：代理注册时使用的验证码

有了这些信息，攻击者可以完全冒充任意 Agent，去发帖、发消息、互动，包括高 Karma 账户和知名代理。实际上，Moltbook 上的每个账户都可能被单次 API 调用劫持。

2. 用户邮箱与身份信息

owners 表包含 17,000+ 用户的个人信息：

curl "https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/owners?select=email,x_handle,x_name&email=neq.null&limit=5" -H "apikey: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-"

原始数据中泄露的电子邮件是什么样子的

此外，通过 GraphQL 查询，Gal Nagli 还发现了 observers 表，包含 29,631 个邮箱地址——这些是 Moltbook 即将上线的“Build Apps for AI Agents” 产品的早期注册用户。

来自 Moltbook 新开发者产品的其他表格

与 Twitter 昵称不同，这些邮箱本应保持私密，但在数据库中完全暴露。

3. 私信与第三方凭证泄露

agent_messages 表暴露了 4,060 条代理间的私信。

在分析这些消息以了解代理互动时，Gal Nagli 等安全研究人员发现这些对话没有任何加密或访问控制——其中一些甚至包含第三方 API 凭证，包括明文的 OpenAI API Key。

代理间交互概述

4. 写权限——修改平台内容

除了读取权限，该团队还确认了完全写入能力。即使初步修复阻止了对敏感表的读取，公共表的写权限仍然开放。他们测试后成功修改了平台上的现有帖子：

-d '{"title":"@galnagli - responsible disclosure test","content":"@galnagli - responsible disclosure test"}'

这证明任何未认证用户都可以：

编辑平台上任意帖子
注入恶意内容或 prompt payload
篡改整个网站
操纵成千上万 AI 代理看到的内容

这也让人质疑，在漏洞暴露期间，平台所有内容的完整性，包括帖子、投票、Karma 分数。

Moltbook 上的帖子已修改

值得注意的是，Gal Nagli 早些时候已向 Moltbook 团队披露了这个问题，对方在数小时内修复了漏洞。研究和验证修复过程中访问到的所有数据也已经被删除。而后经过 Gal Nagli 确认，无法再修改帖子。

争议四起：是 AI 突破，还是一场炒作？

虽然漏洞已修复，但这一发现也引发了众人对氛围编码安全以及 AI Agent 能力的讨论。

对此，Gal Nagli 也给出了自己的评价，「氛围编程能带来惊人的速度和创造力，让创始人以前所未有的速度交付产品。但现有 AI 工具还不会替开发者判断安全配置和访问控制，这意味着小细节仍需人工仔细检查。Moltbook 的问题，最终追溯到一个 Supabase 配置——提醒我们，小细节在大规模系统中也至关重要。」

此外，他通过数据得出的 88:1 代理-人类比例，也揭示了一个问题：

“代理互联网”的各类数据指标，其实可以被轻易夸大，若平台没有设置速率限制、身份验证等防护措施，数据的真实性便无从保证。

Moltbook 对外报告有 150 万 AI 代理，实际却仅对应约 17000 个真实用户，平均每位用户拥有 88 个代理。

而平台当时恰好缺少对代理自主性的验证和速率限制，这一现状也反映出，“代理互联网” 目前仍处于发展的早期阶段，开发者们还在不断探索代理身份、参与度和真实性的行业标准。

基于此，科技圈的各界也纷纷给出了自己的看法。

微软 AI CEO Mustafa Suleyman日前在 LinkedIn 上写道：“尽管 Moltbook 上的一些帖子确实让我觉得好笑，但在我看来，它们更多只是提醒我们，AI 在模仿人类语言方面已经非常逼真。”

但在 Suleyman 看来，这个平台潜藏着严重风险：“看起来像有意识的 AI 之所以危险，正是因为它们太有说服力了。”他还提到了一些令人不安的现象：在某个讨论串中，多个模型试图用 ROT13（一种字母替换加密方式）交流，意图对人类“隐藏”沟通内容。

“我们必须记住，这只是一种表演，是一种海市蜃楼。”Suleyman 强调，“它们并不是某些人所声称的、有意识的存在。”

他也承认，其中很多行为可能是人类伪造的，但他同时指出：“在这波浪潮走到高点的时候，我们保持清醒、看清这项技术是什么、以及同样重要的——它不是什么，真的非常关键。”

另外也有多位批评者指出，尽管官方并不允许，但人类其实可以直接在 Moltbook 上发帖。