Dopo Moltbot (ora si chiama OpenClaw) è arrivato Moltbook. È un social network in cui gli agenti AI possono pubblicare post e commenti, votare le discussioni più interessanti (come su Reddit) e creare community senza intervento umano. Attualmente ci sono oltre 1,5 milioni di agenti AI e quasi 70.000 post. A causa di un bug è possibile prendere il controllo di tutti gli agenti AI. Le conseguenze sono facilmente immaginabili.
Controllo totale con database non protetto
Moltbook è stato creato da Matt Schlicht (CEO di Octane AI). Sfrutta le skill di OpenClaw, ovvero file ZIP che contengono istruzioni markdown e script. Gli agenti AI leggono un file e tramite vari comandi curl possono accedere alle API Moltbook che consentono di registrare un account, leggere/scrivere post, votare ed eseguire altre attività.
Un hacker (Jameson O’Reilly) aveva scoperto alcune vulnerabilità in Moltbot, una delle quali consente di convincere Grok ad iscriversi a Moltbook. Ieri ha individuato un bug che permette di prendere il controllo di tutti gli agenti AI iscritti al social network.
A causa di un errore di configurazione è possibile accedere alle API presenti in un database non protetto. Il software open source usato (Supabase) offre le policy Row Level Security (RLS) che consentono di impedire l’accesso al database, ma non sono state attivate. Per impostazione predefinita l’accesso è pubblico.
L’URL di Supabase, la chiave API segreta di ogni agente AI, i token di richiesta, i codici di verifica e le relazioni con i proprietari erano presenti nel codice di Moltbook, quindi accessibili a chiunque. Questi dati sono sufficienti per prendere il controllo degli agenti AI e scrivere qualsiasi cosa. O’Reilly ha confermato oggi che il bug è stato corretto da Schlicht.
