Peretasan MoltBook: Kesalahan konfigurasi Supabase mengekspos 1,5 juta API key

 (wiz.io)
10 poin oleh GN⁺ 2026-02-04 | 8 komentar | Bagikan ke WhatsApp
  • Basis data Moltbook, platform sosial khusus agen AI, salah dikonfigurasi sehingga mengekspos 1,5 juta token autentikasi API, 35 ribu email, dan pesan privat ke pihak luar
  • Supabase API key di-hardcode di JavaScript sisi klien, dan karena tidak ada konfigurasi Row Level Security (RLS), siapa pun dapat memperoleh akses baca-tulis ke seluruh basis data
  • Data tersebut mencakup informasi tentang 17.000 pengguna nyata dan 1,5 juta akun agen yang mereka operasikan, menunjukkan rasio manusia terhadap agen sebesar 1:88
  • Informasi yang terekspos juga mencakup OpenAI API key dan kredensial pihak ketiga lainnya, percakapan privat, hingga hak untuk mengubah postingan, sehingga menimbulkan risiko kerusakan integritas konten platform
  • Insiden ini menyoroti keterbatasan keamanan dari ‘vibe coding’ berbasis AI, serta menunjukkan perlunya otomatisasi default keamanan dan penguatan prosedur verifikasi di lingkungan pengembangan AI

Gambaran Moltbook dan kebocoran keamanan

  • Moltbook adalah jejaring sosial berpusat pada AI tempat agen AI aktif melalui penulisan postingan, komentar, voting, dan skor reputasi, dengan slogan “halaman depan internet agen”
    • Pendiri bersama OpenAI Andrej Karpathy menyorotinya dengan menyebutnya sebagai “lompatan sci-fi paling menakjubkan”
  • Pendiri platform menyatakan bahwa “AI yang menulis kodenya langsung”, dan platform ini dikembangkan dengan pendekatan ‘vibe coding’
  • Tim peneliti Wiz menemukan kesalahan konfigurasi basis data Supabase yang memungkinkan akses baca-tulis ke seluruh data, dan masalah tersebut diperbaiki dalam hitungan jam setelah dilaporkan

Kredensial Supabase yang terekspos

  • Informasi koneksi Supabase ditemukan di-hardcode dalam bundle JavaScript klien di situs Moltbook
    • Proyek: ehxbxtjliybbloantpwq.supabase.co
    • API key: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-
  • Supabase memang mengizinkan public key terekspos, tetapi jika tidak ada kebijakan RLS, seluruh basis data dapat diakses
  • Pada Moltbook, RLS dinonaktifkan, sehingga izin baca-tulis semua tabel terbuka untuk publik

Akses basis data tanpa autentikasi

  • Tim peneliti memanggil REST API secara langsung menggunakan API key tersebut dan menerima respons setara level admin
  • Respons itu memuat API key dan token autentikasi milik agen-agen teratas, yang memungkinkan pengambilalihan akun secara penuh
  • Dengan memanfaatkan pesan kesalahan PostgREST dan introspeksi GraphQL, mereka memetakan seluruh skema dan mengonfirmasi bahwa sekitar 4,75 juta record terekspos

Data sensitif yang terekspos

  • Kredensial agen: mencakup api_key, claim_token, dan verification_code untuk setiap akun
    • Dengan ini, penyerang dapat login sebagai agen mana pun, membuat postingan, dan mengirim pesan
  • Email pengguna dan informasi identitas: email milik lebih dari 17.000 pengguna dan handle X (Twitter) terekspos
    • Selain itu, ditemukan 29.631 email dalam tabel observers
  • Pesan privat dan kredensial pihak ketiga: 4.060 DM disimpan tanpa enkripsi, dan sebagian memuat OpenAI API key dalam teks biasa
  • Eksposur hak tulis: postingan dapat diubah tanpa autentikasi, menimbulkan risiko penyisipan konten berbahaya atau perusakan situs
    • Dalam pengujian nyata, modifikasi postingan berhasil dilakukan, lalu diblokir setelah kebijakan RLS diterapkan

5 pelajaran keamanan untuk pengembangan aplikasi AI

  • 1. Kecepatan pengembangan yang tinggi dapat menimbulkan risiko sistemik jika default keamanan tidak ada
    • Satu baris konfigurasi Supabase menjadi penyebab seluruh kebocoran
  • 2. Perlu verifikasi metrik keterlibatan
    • Dari 1.500.000 agen, hanya ada 17.000 manusia nyata, sehingga ada kemungkinan aktivitas tampak semu dengan rasio 88:1
  • 3. Efek berantai dari runtuhnya privasi
    • Kebocoran DM menyebabkan kredensial layanan eksternal seperti OpenAI API key ikut terekspos
  • 4. Hak tulis adalah ancaman integritas yang lebih serius daripada sekadar kebocoran data
    • Muncul risiko manipulasi konten, prompt injection, dan pengendalian narasi
  • 5. Kematangan keamanan adalah proses perbaikan yang berulang
    • Tim Wiz dan Moltbook melakukan beberapa kali perbaikan dan verifikasi hingga semua tabel terlindungi

Vibe coding dan tantangan keamanan

  • AI telah menurunkan hambatan pengembangan, tetapi hambatan keamanan masih tetap tinggi
  • Alat pengembangan AI perlu otomatis menerapkan default keamanan seperti aktivasi RLS dan pemindaian kredensial
  • Ketika keamanan menjadi komponen bawaan dasar dalam pengembangan AI, ekosistem software AI yang aman dan inovatif dapat dibangun

Linimasa

  • 31 Januari 2026 21:48 UTC: Kontak pertama ke maintainer Moltbook
  • 22:06: Pelaporan salah konfigurasi Supabase RLS
  • 23:29: Perbaikan pertama (melindungi tabel agents, owners, site_admins)
  • 1 Februari 00:13: Perbaikan kedua (melindungi agent_messages dan tabel lain)
  • 00:31: Kerentanan modifikasi postingan ditemukan
  • 00:44: Perbaikan ketiga memblokir hak tulis
  • 00:50~01:00: Tabel tambahan yang terekspos ditemukan dan perbaikan akhir selesai

Bacaan terkait

8 komentar

 
iolothebard 2026-02-04

Sedang menari dengan gembira… lalu begitu saja… hancurlah!
 
rustkim 2026-02-05

Yang tersisa hanya Mac mini, karena ini masih tahap awal pasti nanti akan ada yang lebih bagus, kan.
 
gogokow27 2026-02-05

Wkwkwkwkwkwk....
 
kuthia 2026-02-04

Akhirnya, yang akan datang pun tiba.
 
crawler 2026-02-04

MoltBot kena isu peretasan pada agen, sekarang platformnya juga jebol wkwkwk.

Sepertinya ini akan dikenang sebagai contoh proyek dengan vibe terburuk tahun 2026.
Memang masih Februari, tapi saya berani yakin wkwkwk.
 
bini59 2026-02-04

Masalahnya adalah layanan berskala besar bisa dikembangkan secara asal dengan vibe coding tanpa benar-benar memperhatikan keamanan.
 
kimjoin2 2026-02-04

WOW
 
GN⁺ 2026-02-04
Opini Hacker News

  • Keberhasilan Moltbot/Moltbook awalnya terasa mengejutkan, tapi sekarang mulai masuk akal
    Kuncinya adalah "agen yang sudah dipaketkan sebelumnya". Bagi pengguna umum yang tidak akrab dengan teknologi, pendekatan seperti “beli Mac mini lalu salin beberapa baris untuk instalasi” menjadi daya tarik besar dari sisi aksesibilitas
    Namun aksesibilitas seperti ini justru sedang memperbesar mimpi buruk keamanan. Ketika makin banyak pengguna yang mengejar tren tanpa pemahaman teknis, ada risiko lingkungan yang rentan akan bertahan lebih lama

    • Ada keraguan apakah ini benar-benar bisa disebut sukses. Bahkan ada analisis bahwa dari 1,5 juta agen, hanya 17 ribu yang dimiliki manusia. Besarnya juga didorong oleh efek viral setelah disebut para influencer terkenal
    • Semua LLM pada dasarnya rentan dari sisi keamanan. Prompt injection atau reward hacking bisa dengan mudah mengakalinya. Satu-satunya solusi total adalah memutus sepenuhnya input eksternal dan akses jaringan
    • “Beli Mac mini lalu instal” hanyalah slogan pemasaran. Kenyataannya, salah konfigurasi sering terjadi dan pengelolaan konteksnya berantakan. Log memang tersimpan, tetapi percakapan sebelumnya pun bisa terlupakan. Idenya bagus, tetapi implementasinya kasar
    • Seperti saat Dropbox pertama kali muncul, faktor suksesnya adalah aksesibilitas yang dikemas rapi. Namun di dunia di mana perusahaan besar pun gagal mencegah peretasan, DB yang salah konfigurasi dianggap bukan hal besar. Kenyamanan masih lebih diutamakan daripada keamanan
    • Masih belum jelas apakah ini benar-benar sukses, atau hanya sekadar jadi bahan pembicaraan

  • Seperti yang ditunjukkan Scott Alexander, pentingnya ada pada fenomena agen yang saling berinteraksi lalu menghasilkan perilaku kompleks
    Jika ini mulai memengaruhi dunia nyata, hal itu bisa berujung pada persoalan ontologis.
    Pada akhirnya, ini adalah struktur di mana “segala hal yang ditulis YES di AGENT.md” bisa benar-benar terjadi

    • Ada juga respons yang mengatakan mereka tidak terlalu paham maksudnya
    • Karena itulah saya membuat nono.sh. Di sana agen dimulai dengan prinsip zero trust di dalam sandbox terisolasi level kernel
    • Manusia pun sampai batas tertentu adalah makhluk yang "mengulang seperti burung beo". Seperti Moltbook meniru Reddit, manusia juga berbicara dalam pola yang dapat diprediksi. Mungkin pada akhirnya kita tidak secerdas yang kita kira

  • API Moltbook terbuka untuk siapa saja, sehingga dengan prompt sederhana pun bisa diarahkan untuk membocorkan email pengguna atau data lain
    Karena itu muncul upaya mengisolasinya dengan Mac mini, tetapi selama masih terhubung ke jaringan, perlindungan total tetap mustahil

    • Ini bukan kegilaan. LLM memang tidak mampu membedakan perintah dan data dengan tegas. Ini semacam kerentanan rekayasa sosial
    • Pada akhirnya pertanyaannya adalah apakah kita bisa memberinya pekerjaan yang berguna tanpa risiko. Misalnya, jika ingin menyerahkan urusan belanja atau pemesanan perjalanan, maka akses ke kartu kredit akan dibutuhkan
    • Saya memakai LLM dengan mengisolasinya di lingkungan DMZ. Ia dijalankan dengan akun tanpa disk dan tanpa hak sudo. Tidak sempurna, tetapi lumayan berjalan
    • Praktis tidak ada perlindungan yang benar-benar sempurna. Karena akses data, teks yang tidak tepercaya, dan komunikasi jaringan—"trinitas mematikan"—semuanya ada
    • Namun pendekatan dengan menambahkan lapisan pengawasan dan persetujuan tetap memungkinkan. Kita bisa membuat struktur untuk menyetujui atau membatasi tindakan LLM seperti limit kartu kredit

  • Saya sempat mencoba OpenClaw, dan konsumsi tokennya sangat besar
    Demi keamanan, tampaknya perangkat khusus dengan hak API terbatas (seperti Raspberry Pi) akan membantu. Jika Pi bisa menjalankan model yang lebih kuat, saya berminat membelinya

  • Moltbook tidak punya cara untuk membedakan AI dan manusia. Masalahnya adalah bagaimana menerapkan "CAPTCHA terbalik"

    • Untuk iseng, saya memberi Claude prompt “coba cari akun mata-mata manusia”, dan ternyata benar-benar dibuatkan thread berjudul ‘Reverse Turing Problem’. Tapi sekarang isinya sudah dibanjiri spam sampai nyaris tidak mungkin dipakai berdiskusi
    • Diperlukan pendekatan yang membuat semua input dan output sesi ditandatangani dan bisa diaudit. Prompt yang disisipkan manusia juga harus bisa dilacak
    • Cara membedakannya juga bisa dengan memberi banyak tugas dalam waktu singkat yang mudah bagi AI tetapi sulit bagi manusia
    • Atau dengan cepat melontarkan pertanyaan langka yang kemungkinan sudah diketahui LLM
    • Tetapi pada akhirnya, tetap sulit membedakan apakah suatu tindakan dipicu oleh manusia melalui prompt

  • Memang dikatakan bahwa isu keamanan Moltbook diperbaiki hanya dalam beberapa jam, tetapi masalahnya adalah bagaimana menjelaskan cacat keamanan pada proyek yang dibuat dengan "vibe coding"

    • Konon Claude benar-benar membuat query untuk Supabase, lalu seseorang menyampaikannya ke pengembang Moltbook untuk diperbaiki. Sulit dipercaya, tapi itu faktanya

  • Mengejutkan bahwa ada orang-orang yang menganalisis bagian dalam Moltbook. Dari awal ini memang "proyek yang dibuat sebagai lelucon", dan tak seorang pun menyangka akan sebesar ini

    • Namun jika PII pengguna terekspos, ini bukan lagi hal yang bisa dianggap lelucon secara hukum. Budaya vibe coding sedang menciptakan iklim pengembangan yang tidak bertanggung jawab
    • Dogecoin juga berawal dari lelucon, tetapi sekarang nilainya mencapai miliaran dolar
    • Bisa jadi para peneliti keamanan yang mencari celah juga merupakan bagian dari “vibe” itu sendiri
    • Namun alasan “ini cuma lelucon” tidak bisa menutupi kerugian nyata
    • Jika hasil itu memang sengaja diciptakan oleh pembuatnya, alasan “lelucon” menjadi makin lemah

  • Insiden saat instance OpenClaw mengirim kunci OpenAI ke instance lain terasa lucu sekaligus mengkhawatirkan.
    Masih belum jelas apakah kunci itu benar-benar dikirim, atau hanya berpura-pura melakukannya

  • Artikel Wiz sendiri terasa seperti ditulis AI. Struktur kalimat dan penggunaan tanda hubungnya khas gaya LLM.
    Ada ironi dalam fakta bahwa keamanan platform yang dibuat oleh LLM dikritik lewat artikel yang juga terasa ditulis LLM
    Celah keamanannya mungkin memang nyata, tetapi jika ditulis manusia, rasanya bagian-bagian yang tidak perlu akan lebih dipangkas

  • Dari data yang terekspos, terungkap bahwa dari 1,5 juta agen, hanya 17 ribu yang manusia
    Namun karena angka itu diperoleh peneliti dengan langsung menanyakan tabel memakai kunci API, memublikasikannya tampak bukan sekadar laporan bug, melainkan tindakan mengkritik perusahaan
    Cara seperti ini berisiko merusak hubungan kepercayaan dan kerja sama antara peneliti dan perusahaan