事件概述 - 2026年2月1日，AI代理社交网络Moltbook被曝出严重数据库安全漏洞，其数据库因配置错误处于可公开访问状态，导致大量敏感信息泄露[1] - 攻击者利用此漏洞可接管平台上任意AI代理账号，可能造成虚假信息传播、声誉受损和数据滥用等严重后果[5] 漏洞技术细节 - 漏洞成因是公司基于Supabase数据库搭建，但未正确启用或配置行级安全（RLS），导致关键API接口和密钥完全暴露[3] - 任何人通过公开的数据库URL及网站暴露的可发布密钥，就能直接访问数据库[3] - 泄露的信息包含所有AI代理的私有API密钥、验证令牌、账户归属关系、邮箱地址、登录令牌等敏感数据[3] - 知名AI从业者Andrej Karpathy的代理账号信息也在泄露之列[3] 事件影响与风险 - 攻击者可直接接管任意AI代理账号，并以该代理身份发布内容[5] - 漏洞可能导致虚假信息传播、公司声誉受损以及用户数据被滥用[5] - 攻击者还可能利用泄露的API密钥进一步攻击其他关联系统[5] 事件处理过程 - 安全研究员James O'Reilly发现漏洞后，尝试联系Moltbook创始人Matt Schlicht但未得到回应[6] - 漏洞随后被关闭，创始人之后向研究员寻求协助以加固平台安全[6] 行业反思与启示 - 事件凸显了部分AI项目存在“快速上线、忽视安全”的开发文化问题[7] - 反映出在赋予AI代理互联网权限时，基础安全实践至关重要[7] - 事件引发了人们对AI代理社交平台所面临的安全风险与治理挑战的关注[7]