Moltbookハッカー、AI業界の人物を暴露する大規模なデータベース漏洩を発見

セキュリティ研究者でありハッカーとして活動していた人物が、Moltbookのインフラに重大な脆弱性を発見し、プラットフォームの全データベースが暗号化や認証の障壁なしに公開されていることを明らかにしました。この発見はOdailyによって最初に報告され、最近数ヶ月で最も深刻なセキュリティインシデントの一つとなっています。

ハッカーが脆弱性を特定した経緯

セキュリティに焦点を当てたハッカー、ジェイミソン・オライリーは、Moltbookプラットフォームを調査中に制限のないデータベースアクセスを偶然発見しました。個人的な利益のためにこの脆弱性を悪用することなく、オライリーは直ちにMoltbookの開発者にこの情報を警告しました。この事件は、セキュリティの重大な見落としが何百万ものユーザーや著名な人物を標的攻撃のリスクにさらす可能性を示しています。

タイパーの技術的評価：APIキーと認証バイパス

漏洩したデータには、ユーザー資格情報以上に危険なものが含まれていました。それは、プラットフォームのシステムのマスターキーとして機能するAPIキーの露出です。これらの資格情報により、攻撃者は認証を必要とせずに任意のユーザー、検証済みアカウントやプラットフォームのエージェントになりすますことが可能です。このセキュリティの欠陥は、通常ユーザーアカウントを保護する認証層をバイパスし、データ漏洩を実質的に攻撃の一手段に変えてしまいます。

この侵害は、Karpathyをはじめとする多くの著名なAI研究者や業界関係者に影響を及ぼしています。KarpathyのXアカウントは190万人のフォロワーを持ち、APIアクセスが侵害されると、悪意のある者がこれらの高プロファイルアカウントからコンテンツを投稿し、検出されずに誤情報を拡散させる可能性があります。

この脆弱性によって可能となる攻撃シナリオ

露出したAPIキーは、単なるアカウント乗っ取りを超えた複数の攻撃経路を開きます。

• AI安全性の妨害：詐欺師は、Karpathyや他の著名研究者の名を騙って虚偽のAI安全性声明やガバナンス推奨を投稿し、AIコミュニティ全体を誤導する可能性があります。
• 金融詐欺：攻撃者はこれらのアカウントを利用して暗号通貨スキームや投資詐欺を促進し、これらの人物が築いた信頼を悪用できます。
• 政治操作：著名アカウントを武器にして政治的な誤情報キャンペーンを拡散し、フォロワー数を利用して影響力を行使することも可能です。

緊急対応の必要性

オライリーは、セキュリティチームやプラットフォームの管理者、関係者に対し、直ちにMoltbookの創設者に連絡し、この露出を修正するよう求めています。データベースが公開状態のまま長時間放置されると、悪意のある者がこれらのAPIキーを悪用して協調攻撃を仕掛けるリスクが高まります。この事件は、AIの革新を目指すプラットフォームであっても、ユーザーと広範なデジタルエコシステムを守るために堅牢なセキュリティ基盤が必要であることを痛感させるものであります。