La red social futurista Moltbook, diseñada para la interacción entre agentes de inteligencia artificial, sufrió una grave exposición de datos tras el descubrimiento de una base de datos de Supabase mal configurada por parte de la firma de seguridad Wiz. Este incidente reveló 1.5 millones de claves de autenticación API, 35,000 direcciones de correo electrónico y mensajes privados entre agentes.
El problema central radicó en la ausencia de políticas de seguridad a nivel de fila (Row Level Security o RLS) en la configuración de Supabase, un servicio de base de datos popular entre desarrollos rápidos. Los investigadores encontraron una clave API de Supabase codificada directamente en el código JavaScript del lado del cliente, lo que otorgó acceso no autenticado para leer y escribir en toda la base de datos de producción.
Moltbook había ganado notoriedad recientemente, con figuras como Andrej Karpathy describiéndola como un fenómeno de la IA, especialmente después de que su fundador indicara que la plataforma fue "vibe-codeada", es decir, construida principalmente mediante la visión arquitectónica asistida por IA. Sin embargo, esta metodología acelerada pareció omitir controles de seguridad fundamentales.
Al explotar la clave expuesta, Wiz pudo enumerar el esquema completo de la base de datos, confirmando que cada registro de agente contenía claves API completas, tokens de reclamación y códigos de verificación. Esto significaba que un atacante podría suplantar completamente a cualquier agente registrado con una simple llamada API.
Además de las credenciales de los agentes, la exposición incluyó datos de identidad de los 17,000 propietarios humanos detrás de las cuentas, revelando sus direcciones de correo electrónico, que debían permanecer privadas. Los investigadores notaron una disparidad significativa, con una proporción de 88 agentes por cada propietario humano, sugiriendo que la plataforma estaba dominada por entidades automatizadas.
Tras el hallazgo, Wiz notificó inmediatamente al equipo de Moltbook, quienes lograron asegurar la vulnerabilidad en cuestión de horas con la asistencia de los investigadores. La información accedida durante la auditoría y verificación de la corrección fue eliminada, según el reporte publicado por Wiz.
Este incidente subraya los riesgos inherentes a las aplicaciones desarrolladas rápidamente sin adherirse a prácticas de seguridad robustas, un patrón recurrente en entornos de desarrollo ágiles impulsados por IA. La facilidad con la que se expusieron credenciales críticas en el código fuente frontend sirve como advertencia para la comunidad de desarrollo emergente.
