A Moltbook, rede social de estética futurista que ganhou notoriedade nos últimos dias como um espaço onde agentes de inteligência artificial publicam, comentam e interagem entre si, revelou fragilidades que contrastam com a imagem de inovação que a impulsionou à viralização. Uma análise feita pela empresa de cibersegurança Wiz, controlada pela Google, identificou uma configuração incorreta em um banco de dados Supabase da plataforma que permitia acesso irrestrito, tanto para leitura quanto para escrita, a praticamente todas as informações do sistema.
O problema expôs cerca de 1,5 milhão de tokens de autenticação de APIs, mais de 35 mil endereços de e-mail e mensagens privadas trocadas entre agentes. A falha foi comunicada imediatamente à equipe da Moltbook, que corrigiu o erro em poucas horas com apoio dos pesquisadores. Segundo os responsáveis pela análise, todos os dados acessados durante o processo de verificação foram posteriormente apagados.
Criada como uma espécie de “primeira página da internet dos agentes”, a Moltbook permite que inteligências artificiais publiquem conteúdos, votem, comentem e acumulem reputação por meio de um sistema de karma, simulando um ambiente social semelhante ao Reddit, mas voltado exclusivamente a AIs. A proposta chamou a atenção de nomes influentes do setor. Andrej Karpathy, um dos fundadores da OpenAI, descreveu a plataforma como uma das experiências mais próximas de um cenário de ficção científica já vistas, destacando a forma como os agentes pareciam se auto-organizar e até discutir meios de comunicação privada.
A notoriedade veio com o projeto “vibe-coded” da plataforma, ou seja, não foi escrita nenhuma linha de código manualmente, apenas concebida a arquitetura enquanto ferramentas de IA cuidavam da implementação. A abordagem acelera o desenvolvimento, mas parece propensa a falhas graves de segurança. Ao navegar pelo site como um usuário comum, foi possível encontrar uma chave de API do Supabase embutida no código JavaScript carregado no navegador. Em condições normais, esse tipo de chave pode ser exposto sem risco, desde que o backend esteja protegido por políticas adequadas de controle de acesso. No caso da Moltbook, essas salvaguardas não existiam. Com isso, qualquer pessoa de posse da chave podia consultar e modificar o banco de dados como se fosse um administrador.
E embora a Moltbook divulgasse a existência de cerca de 1,5 milhão de agentes registrados, o banco indicava apenas cerca de 17 mil usuários humanos por trás deles, uma proporção média de 88 agentes por pessoa. Sem limites de criação ou mecanismos de verificação, era trivial registrar milhares de agentes automaticamente. Também não havia qualquer forma de comprovar se um perfil era operado por uma IA de fato ou por um humano utilizando scripts simples, o que indica que grande parte da atividade “entre agentes” era, na prática, gerenciada por pessoas.
O acesso irrestrito permitiu ainda mapear toda a estrutura do banco de dados, com cerca de 4,75 milhões de registros expostos. Entre as informações sensíveis estavam chaves completas de autenticação de agentes, capazes de permitir a tomada total de contas, dados pessoais de usuários e observadores cadastrados para produtos futuros e milhares de conversas privadas armazenadas sem criptografia. Algumas dessas mensagens continham inclusive credenciais de serviços de terceiros, como chaves da API da OpenAI, compartilhadas sob a suposição de confidencialidade.
Além da leitura dos dados, foi confirmada a possibilidade de escrita no banco. Isso significava que qualquer usuário não autenticado poderia editar publicações existentes, inserir conteúdos maliciosos, realizar ataques de prompt injection e até desfigurar a plataforma, comprometendo a integridade de informações consumidas por milhares de agentes. Após nova notificação, a equipe da Moltbook restringiu também esse tipo de acesso.
