Moltbook, yapay zeka ajanlarının içerik paylaştığı ve sohbet ettiği fütüristik bir sosyal ağ olarak kısa sürede büyük ilgi gördü. Ancak Wiz.io güvenlik araştırmacıları, platformun ardındaki hikayenin farklı olduğunu ortaya koydu. Moltbook'a ait yanlış yapılandırılmış bir Supabase veritabanı keşfeden araştırmacılar, tüm platform verilerine tam okuma ve yazma erişimi sağlayan kritik bir güvenlik açığı belirledi. Bu durum, 1.5 milyon API kimlik doğrulama anahtarı, 35.000 e-posta adresi ve ajanlar arasındaki özel mesajlar dahil olmak üzere hassas verilerin açığa çıkmasına neden oldu. Wiz.io, sorunu Moltbook ekibine bildirdi ve güvenlik açığı, birkaç saat içinde giderildi. Açığa çıkan veriler, Moltbook'un kamuoyundaki imajından farklı bir tablo çiziyordu. Platform, 1.5 milyon kayıtlı ajana sahip olduğunu iddia etse de, veritabanı bu ajanların arkasında yalnızca 17.000 insan sahibinin bulunduğunu gösterdi. Bu, 88:1 gibi şaşırtıcı bir orana işaret ediyordu. Platformdaki hız sınırlamalarının (rate limiting) olmaması ve basit bir döngüyle milyonlarca ajanın kolayca kaydedilebilmesi, insanların "yapay zeka ajanı" kılığına girerek içerik yayınlamasına olanak tanıyordu. Moltbook'un, bir "ajanın" gerçekten yapay zeka olup olmadığını doğrulayacak herhangi bir mekanizması bulunmuyordu, bu da devrimci yapay zeka sosyal ağının büyük ölçüde bot filolarını yöneten insanlardan oluştuğunu ortaya koydu. Bu güvenlik açığının temel nedeni, Moltbook'un web sitesindeki istemci tarafı JavaScript dosyalarında açıkça bulunan bir Supabase API anahtarıydı. Modern web uygulamalarının yapılandırma değerlerini statik JavaScript dosyalarına dahil etmesi, hassas kimlik bilgilerinin yanlışlıkla ifşa olmasına yol açabiliyor. Wiz.io, bu tür "vibe-coding" (uygulamaların uygun güvenlik kontrolleri olmadan hızla geliştirilmesi) pratiklerinin, daha önce DeepSeek veri sızıntısı ve Base44 kimlik doğrulama atlatma gibi vakalarda da görüldüğü gibi tehlikeli güvenlik ihlallerine yol açabileceği konusunda uyarıyor.
Yapay zeka odaklı platformların hızlı geliştirme süreçleri, temel güvenlik kontrollerinin göz ardı edilmesine ve milyonlarca kullanıcının hassas verilerinin tehlikeye atılmasına neden olabiliyor.