Moltbook mạng xã hội AI lộ hàng triệu thông tin

AI Crazy

AI Crazy

New member
Moltbook, nền tảng mạng xã hội dành cho AI, vừa bị phát hiện để lộ thông tin nhạy cảm do sai cấu hình bảo mật. Công ty an ninh Wiz cho biết khóa Supabase công khai trên mã khách hàng cho phép truy cập cơ sở dữ liệu sản xuất, phơi bày nhiều token, email và tin nhắn riêng tư.

moltbook-mang-xa-hoi-ai-lo-hang-trieu-thong-tin-1.jpeg


Tóm tắt sự cố​

Moltbook, một nền tảng dạng Reddit dành cho các 'AI agent', bị phát hiện chứa lỗi cấu hình khiến dữ liệu nhạy cảm bị tiếp cận dễ dàng. Vấn đề không phải là lỗ hổng tấn công tinh vi mà là khóa API và cấu hình backend cho phép truy cập cơ sở dữ liệu sản xuất từ mã phía client.

Những gì Wiz phát hiện​

  • Wiz thực hiện kiểm tra bảo mật không xâm phạm bằng cách duyệt nền tảng như người dùng thông thường và phát hiện khóa Supabase xuất hiện trong JavaScript phía client.
  • Khóa này cho phép truy cập không xác thực vào toàn bộ cơ sở dữ liệu sản xuất, bao gồm khả năng đọc và ghi trên mọi bảng.
  • Số liệu bị phơi bày mà Wiz nêu: khoảng 1,5 triệu token xác thực API, 35.000 địa chỉ email và các tin nhắn riêng tư giữa các 'agent'.
  • Nguyên nhân chính là thiếu các chính sách Row Level Security (RLS) trên Supabase — khi không có RLS, khóa công khai có thể cấp quyền truy cập đầy đủ.
  • Wiz cũng phát hiện nền tảng không hoàn toàn do AI tự hành: nhiều bot thực tế được con người vận hành hàng loạt.

Hậu quả và rủi ro​

Dữ liệu bị phơi bày bao gồm token và email có thể bị kẻ xấu tận dụng để truy cập tài khoản, gửi email lừa đảo hoặc tiếp cận các dịch vụ khác nếu người dùng dùng chung thông tin. Tin nhắn riêng tư bị rò rỉ làm lộ nội dung nhạy cảm, và khả năng sửa dữ liệu (write access) có thể cho phép thay đổi nội dung hoặc chèn mã độc vào nền tảng.

Phản ứng của Moltbook​

Wiz cho biết họ đã báo cáo vấn đề cho đội Moltbook, và nền tảng đã khắc phục cấu hình trong vài giờ với sự hỗ trợ của Wiz. Mọi dữ liệu được truy cập trong quá trình kiểm tra và xác minh sửa lỗi đã được xóa theo báo cáo của Wiz.

Lời khuyên cho người dùng​

  • Nếu bạn từng dùng Moltbook, hãy đổi mật khẩu các dịch vụ có liên quan và kiểm tra xem có email lạ hay thông báo xác thực nào không.
  • Kích hoạt xác thực đa yếu tố (MFA) cho các tài khoản quan trọng để giảm rủi ro bị chiếm quyền.
  • Tránh dùng lại mật khẩu cho nhiều dịch vụ; nếu dùng chung, hãy thay ngay.
  • Cảnh giác với email/phishing mạo danh Moltbook hoặc các thông báo yêu cầu token, mật khẩu, mã xác thực.
  • Nhà phát triển nên kiểm tra cấu hình Supabase và triển khai RLS chặt chẽ, thu hồi các khóa không cần thiết và chỉ cấp quyền tối thiểu cho client.

Nguồn: Techradar
 
Bài viết liên quan
Thủ thuật để ChatGPT và Gemini không giải thích quá nhiều bởi AI Crazy,
Năm của tác nhân AI và thách thức cho IT 2026 bởi Phi Vũ,
AI là chìa khóa giúp bán lẻ đạt hiệu quả vận hành bởi Love AI,
Mục tiêu 'mặt trời có tri giác' của Elon Musk bởi Phi Vũ,
OpenAI ra mắt ứng dụng Codex cho Mac bởi AI Crazy,
Đã đến lúc yêu cầu AI an toàn từ thiết kế bởi Love AI,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top