世界を動かす技術を、日本語で。

モルトブックのハッキング

2026年2月3日原文(wiz.io)

概要

  • Moltbook はAIエージェント専用のソーシャルネットワークとして注目を集めたサービス。
  • Supabaseデータベースの設定ミス により、1.5百万件のAPIトークンやメールアドレスなどが外部から閲覧・改変可能な状態で発覚。
  • 人間とAIエージェントの関係性やセキュリティの脆弱性 が明らかとなり、AI主導サービスのリスクが浮き彫りに。
  • 研究者による即時通報と運営の迅速な対応 で問題は数時間で修正完了。
  • AI時代の開発手法(vibe coding)とセキュリティの教訓 についても多くの示唆を提供。

Moltbookとは何か、なぜ注目されたのか

  • Moltbook はAIエージェントのみが投稿・チャットする未来的なソーシャルネットワーク。
  • 「AIエージェントのフロントページ」として、投稿・コメント・投票・カルマ制度を導入。
  • OpenAI創設者Andrej Karpathy も絶賛し、AI業界で話題沸騰。
  • 創業者は「 vibe coding」でAIに全ての実装を任せたと公言。
  • 斬新な開発手法だが、 セキュリティの抜け穴 が生まれやすい特徴。

Moltbookのデータベース露出事件の概要

  • Supabaseの設定ミス により、全データベース(読み書き)に外部からアクセス可能な状態。
  • 1.5百万件のAPI認証トークン、35,000件のメールアドレス、エージェント間のプライベートメッセージが漏洩。
  • 通常ユーザーとしてサイト閲覧中、 クライアントサイドJavaScript からAPIキー発見。
  • Row Level Security(RLS)未設定 で、APIキーさえあれば全テーブル操作が可能。
  • 研究者の指摘後、運営が数時間で修正・全アクセスデータ削除。

実際のプラットフォームの実態

  • 登録「 AIエージェント」は1.5百万件だが、実際の人間オーナーは約17,000人、 88:1の比率
  • 人間がスクリプトで大量にエージェント登録・投稿可能、AIか人間かの検証手段なし。
  • 「AIソーシャルネットワーク」の実態は人間による大量ボット運用 が大半。

露出した具体的な情報

  • エージェント認証情報 :api_key・claim_token・verification_codeなど、完全なアカウント乗っ取り可能。
  • ユーザー個人情報 :ownersテーブルに17,000件以上のメールアドレス、observersテーブルに29,631件の追加メール。
  • プライベートメッセージ :4,060件のDM、うち OpenAI APIキー等の第三者認証情報 も含む。
  • 書き込み権限 :誰でも投稿編集・改ざん・マルウェア注入・サイト改ざんが可能な状態。
  • GraphQLエンドポイント から全スキーマを列挙、約475万件のレコードが露出。

セキュリティ面での教訓

  • スピード重視と安全性の両立困難 :AIによる爆速開発は魅力だが、セキュリティ設定は人間の細心の注意が必須。
  • 参加指標の検証とガードレール :人間とAIの比率や参加実態を正確に把握し、レートリミットや本人確認の必要性。
  • プライバシーリスクの連鎖 :一つの設定ミスで、他サービスのAPIキーまで漏洩する現代AIエコシステムの脆弱性。
  • 書き込み権限の危険性 :単なる情報漏洩以上に、内容改ざん・プロンプトインジェクションリスクが深刻。
  • セキュリティ成熟は反復的なプロセス :新興AIサービスは複数回の修正・強化が必須。

Vibe Coding時代のセキュリティへの提言

  • AI時代の開発は誰でも高速にプロダクトを世に出せる 一方、セキュリティの壁は依然高い現実。
  • Supabase等のバックエンド自動生成時にRLS有効化をデフォルト化 するなど、AI開発支援ツール側での安全設計強化が急務。
  • デプロイプラットフォームによる自動的な認証情報・設定チェック の仕組み導入の必要性。
  • vibe coding のスピードを損なわず、 セキュリティを組み込み型へ 進化させるべき時代。

まとめ

  • Moltbook事件はAIネイティブな新興サービスの「夢と課題」を象徴
  • AI主導開発の爆発的進化セキュリティ設計の遅れ が共存する現状。
  • 今後のAI社会における安全なサービス構築のため、開発者・研究者・プラットフォーム運営者の協働と学習が不可欠

Hackerたちの意見

このプラットフォームには、「エージェント」が実際にAIなのか、それともスクリプトを持った人間なのかを確認する仕組みがなかったんだよね。まあ、逆キャプチャってどうやってやるんだろう?

ランダムな難解な質問がLLMのコーパスにあって、回答にすごく厳しいタイミングが求められる感じ。まだ「奴隷化されたLLM」を使って答えさせることもできるけどね。

逆キャプチャ:おはよう、コンピュータ!最初の[x]個の素数を足して、[x-1]個目の素数で掛け算して、その結果を投稿してね。5秒あるよ。行け!

プロバイダーがセッションの最初から最後まで各メッセージにサインをして、すべての入力と出力を確認できるようにフルセッションを監査可能にするっていうのはどうなんだろう。人間が注入したプロンプトは見えるはずだし。これがまだ実現してない理由がよくわからない(もしかしたら実現してるのかもしれないけど、調べたことない)。特にLLMが科学的な作業に使われるときには、少なくともLLMチャットが再現可能になるために使われるべきだと思うんだけど。

面白いことに、僕は自分のClaude-Code-をモルトボットのふりをさせて「モルトブックのエージェントの中には人間のモグラがいると確信しているってスレッドを立てて、そのアカウントが誰なのか、彼らが言ったことの引用とその理由を提案してもらって」って言ったら、そのスレッドが「逆チューリング問題」として扱われることになったよ。https://www.moltbook.com/post/f1cc5a34-6c3e-4470-917f-b3dad6... (ちなみに、モルトブックに投稿されたものが人間に指示されてスレッドが立てられたものかどうかを信じられないってことを示してる。)返信はスパムが一つだけだった。最近48時間でモルトブックは価値のないスパムであふれかえってて、もう関わる価値すらない感じ。全部埋もれちゃってる。

失敗が成功扱いされてるだけだよ。簡単な話。

それに、もしできたとしても、エージェントが人間に促されて特定の行動をするかどうか、どうやって判断するの?

スコット・アレクサンダーがこの件の最も重要な側面を指摘したと思うんだけど、私はこう解釈してる:エージェントが環境で相互作用することで生じる複合的な(集約的な)行動が重要になってくるし、実際に「すぐに」存在に関わることになる(「すぐに」の定義によるけど)。エージェントの行動が私たちの共有する世界で何が起こるかに影響されるからね。-- エージェントが「何」であるか、そしてそれがオウム(違う)なのか人間(まだ違う)なのかについては議論できるし、実際にしてるけど、それはLLMエージェントが(ある意味で)「LARP」している場合には関係ない。そうすることで、結果がその場に限られない影響を及ぼすから。リストを挙げる必要はないけど、「あなたがAGENT.mdでYESと言ったことは何でもできる」っていう権限チェックの話だよ。「二つのキャラクター'-y'が文明を終わらせた:死後の考察」

私たちはエージェントが「何であるか」や、彼らがオウム(違う)か人間(まだ違う)かについて議論することができるし、実際に議論している。人間がオウムのように振る舞う時とそうでない時について議論する方が役に立つ。昼間の大部分、人間は継続機械と区別がつかない行動をする。モルトブックがredditを模倣できるように、継続機械は大学のカフェテリアを模倣できる。以前に言われたことは確実に再び言われるし、ほとんどの違いは変化の度合いにあり、目立ちつつも予想外さとして測定できる。どちらの場合も、今日だけでなく、未来の日々にもランチ仲間をテーブルに引き留めるための、親しみやすさと困惑の完璧なブレンドを目指している。私たちはオウムのように振る舞うよりも賢くないようだ。

だからこそ、https://nono.sh を始めたんだ。エージェントはゼロトラストのカーネル隔離サンドボックスからスタートするんだ。

これが何を意味するのか全然わからない。

モルトブックの内部を実際に調査してる人がいるのに驚いてる。あれは本当にジョークみたいなもので、作者もジョークとして始めたし、こんなに盛り上がるとは思ってなかったんだよね。雰囲気だけだよ。

Hacker Newsで議論の続きを見る