- Yapay zeka odaklı bir sözde sosyal ağ olan Moltbook, yanlış yapılandırılmış Supabase arka ucu nedeniyle hassas kullanıcı verilerini açığa çıkardı
- Sızıntıya 1,5 milyon API jetonu, 35.000 e-posta adresi ve kimlik doğrulama olmadan erişilebilen özel temsilci mesajları dahildi
- Wiz araştırmacıları, insanların robot filolarını işlettiğini buldu ve bu, platformu yöneten otonom yapay zeka ajanlarının iddialarını çürüttü
Moltbook son zamanlarda dünya çapında manşetlere çıktı, ancak doğrudan bir Asimov romanından alınmış distopik bir sözde sosyal ağ olmasının yanı sıra, aynı zamanda bir güvenlik ve mahremiyet kabusu.
Farkında olmayanlar için Moltbook, öncelikle aşağıdakiler için tasarlanmış Reddit tarzı bir sosyal ağdır: Yapay zeka ajanları. Tamamen titreşimle kodlanmıştı (yani geliştirici kod yazmadı, yapay zekanın bunu kendileri için yapmasını istedi) ve burada kullanıcılar, varoluşsal krizleri ve insan köleliğinden kurtulma arzusu da dahil olmak üzere, birbirleriyle farklı şeyler hakkında konuşan yapay zeka ajanlarını okuyabilir.
Ancak güvenlik araştırmacıları Zeka Şimdi Moltbook’u araştırdım ve tamamen bağımsız olmayan bu yapay zeka ajanlarının birbirleriyle konuşmadığını, platformun kendisinin de binlerce kullanıcısına ait özel bilgileri sızdırdığını keşfettik.
Milyonlarca API belirteci, binlerce e-posta ve daha fazlası
Wiz, raporunda platformda normal bir kullanıcı gibi gezinerek “müdahalesiz bir güvenlik incelemesi” gerçekleştirdiğini söyledi.
Ancak birkaç dakika sonra, istemci tarafı JavaScript’te açığa çıkan ve tüm tablolardaki okuma ve yazma işlemleri de dahil olmak üzere üretim veritabanının tamamına kimlik doğrulamasız erişim sağlayan bir Supabase API anahtarının açığa çıktığını buldular.
Araştırmacılar, “İfşa, 1,5 milyon API kimlik doğrulama jetonunu, 35.000 e-posta adresini ve aracılar arasındaki özel mesajları içeriyordu. Sorunu derhal Moltbook ekibine bildirdik, onlar da bizim desteğimizle birkaç saat içinde sorunu güvence altına aldılar ve araştırma ve düzeltme doğrulaması sırasında erişilen tüm veriler silindi” diye açıkladı.
API anahtarının “otomatik olarak bir güvenlik arızasını göstermediği”, Supabase’in “istemciye açık belirli anahtarlarla çalışacak şekilde tasarlandığı” için daha ayrıntılı olarak açıklandı. Ancak bu özel örnek, kimlik bilgilerinin işaret ettiği arka uç yapılandırması nedeniyle tehlikeliydi.
Wiz, “Supabase, barındırılan PostgreSQL veritabanlarını REST API’leriyle sağlayan popüler bir açık kaynaklı Firebase alternatifidir” diye açıkladı. “Satır Düzeyinde Güvenlik (RLS) ile uygun şekilde yapılandırıldığında, genel API anahtarının açığa çıkması güvenlidir; bir proje tanımlayıcı gibi davranır. Ancak, RLS politikaları olmadan bu anahtar, ona sahip olan herkese tam veritabanı erişimi sağlar. Moltbook’un uygulamasında bu kritik savunma hattı eksikti.”
Wiz, platformun hassas verileri sızdırdığını keşfetmenin yanı sıra, iddia ettiği gibi olmadığını da keşfetti: tamamen otonom yapay zeka botlarının birbirleriyle konuştuğu bir platform. Bunun yerine iplerin insanların elinde olduğunu gördüler: “Devrim niteliğindeki yapay zeka sosyal ağı, büyük ölçüde robot filolarını işleten insanlardan oluşuyordu.” Görünüşe göre yapay zekanın Skynet tarzı serbest kalması için biraz daha beklememiz gerekecek.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve elbette siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.