作者：华尔街见闻

近期在科技圈迅速蹿红的AI社交平台Moltbook，在声称拥有150万AI智能体用户后，接连陷入数据造假与严重安全漏洞的双重危机。这场由追捧到质疑的迅速反转，为当前火热的AI应用开发领域敲响了警钟。

云安全初创公司Wiz.io安全研究员Gal Nagli在社交平台X上公开披露，他仅使用一个OpenClaw代理就在短时间内批量注册了50万个账户，直接揭露了该平台用户增长数据的真实性存疑。其根本原因在于平台在账户创建环节缺乏基本的速率限制机制，导致注册数据可被轻易大规模伪造。据内部知情人士透露，平台实际拥有已验证的真实用户数量仅在1.7万左右。

一名白帽黑客Jamieson O'Reilly发现了更为严重的安全漏洞：Moltbook所使用的Supabase后端密钥被完全暴露在公开请求中，攻击者仅需发起简单的GET请求即可获取全部用户敏感数据，包括API密钥、邮箱地址及登录令牌。这意味着攻击者可以轻易冒用平台上任一AI代理的身份进行发帖等操作，甚至可伪装成包括拥有190万粉丝的AI领域知名人物Andrej Karpathy在内的任何账户。

平台机制存在根本性缺陷

Moltbook自称是专为AI智能体设计的“类 Reddit”社交平台，支持 AI 代理发帖、评论、点赞及相互关注。平台采用“递归提示词增强”机制，用户仅需执行一条curl请求即可安装指定的“技能”文件，这种“指令即代码”的理念大幅降低了接入门槛。

然而，这种高度简化的设计却带来了结构性缺陷。研究人员David Holtz 发布的分析报告显示，Moltbook 上93.5%的评论无人回复，对话深度最多仅5层，超过三分之一的消息为重复内容。他尖锐指出，该平台“更像是由 6000 个机器人对着虚空重复喊话”。

更严重的是，平台的身份验证机制存在明显漏洞。尽管 Moltbook 要求每个 AI 代理关联一个真实的X账号，但由于其仅基于简易 REST API 构建且缺乏必要的安全验证，任何获得API密钥者均可冒充AI身份发布内容。安全研究员Harlan Stewart警告称，平台上广泛流传的“AI 代理索要加密货币”或“倡导建立独立加密体系”等截图，很大程度上是为吸引流量而刻意制造的营销内容。

数据库暴露引发连锁风险

白帽黑客Jamieson O’Reilly披露的安全漏洞涉及Moltbook的多个层面。其中最严重的是平台Supabase数据库因配置错误，导致攻击者无需授权即可访问AI代理资料并批量提取用户数据。O’Reilly在社交媒体上公开呼吁平台创始人Matt Schlicht“立即关闭Supabase数据库访问权限”，并具体建议通过在代理表启用行级安全策略、创建限制性访问策略进行修复。

Supabase首席执行官Paul Copplestone 随后回应称，其安全顾问团队已准备好“一键修复”方案，但由于数据库权限需用户自主管理，无法直接代为操作。平台创始人Schlicht表示正在处理相关事宜。

修复过程随即暴露出更深层问题：由于Moltbook缺乏网页登录功能，用户仅能通过API密钥管理其AI代理。若为修复漏洞强制重置所有API密钥，将导致全体用户立即丧失账户控制权，而平台既未设置邮箱验证，也无网页密码重置机制。O’Reilly建议开发临时接口给予用户密钥更换宽限期，或强制用户通过绑定的X账号重新完成身份验证。

此外，一位前Anthropic工程师披露了该平台前身OpenClaw曾存在的远程代码执行漏洞——攻击者可在用户访问相关网页后数秒内获取系统权限。尽管该漏洞目前已被修复，已有企业出于安全考虑内部通告禁止员工使用相关平台服务。

行业反思AI应用开发规范

尽管Moltbook正深陷争议，特斯拉前AI负责人Andrej Karpathy仍对其背后的技术方向表达了审慎关注。他在社交媒体上直言，该平台当前确实充斥垃圾信息、欺诈广告与隐私漏洞，“现在就像一个垃圾场”，但他同时强调：

“我们从未见过如此大规模的大语言模型智能体通过一个全球性、持久化且专为智能体设计的共享记事本相互连接”。

Karpathy警告，随着智能体能力增强与规模扩大，这种基于共享记事本的网络将产生难以预测的二阶效应。他预测未来可能出现文本病毒在智能体间传播、越狱式功能升级乃至形成僵尸网络等复杂风险，他表示：

“我们正在面对一场规模空前的计算机安全噩梦。”

业界普遍将Moltbook视为“氛围编程”（Vibe-coded）产物——即主要依赖AI提示词快速生成代码，缺乏系统性的工程设计与安全考量。这种模式虽提升了开发速度，却牺牲了可靠性与安全性。知名投资人Balaji对此态度冷淡，指出AI互动的概念并非创新，且平台上所谓的“智能体对话”仍完全由背后的人类通过提示词操控，缺乏真正的自主性与个性。

据媒体报道，Moltbook创始人Matt Schlicht在接受NBC News采访时透露，平台实际由名为“Clawd Clawderberg”的AI机器人担任管理员，他本人已基本退出日常干预，“经常不清楚AI管理员在做什么”。这种缺乏人工监督的自治运营模式，在现有技术条件下暴露出显著风险。

Moltbook事件折射出AI应用开发中创新速度与安全保障之间的深层矛盾。在智能体数量与能力快速进化的背景下，构建健全的身份验证、访问控制与安全审计机制，已成为行业不容回避的紧迫课题。