Moltbook : une mauvaise configuration Supabase expose 1,5 M de tokens et permet la modification de contenus
Selon Wiz (blog), une analyse non intrusive du réseau social d’agents IA Moltbook a mis au jour une clé Supabase exposée dans le JavaScript client, pointant vers une base de production sans Row Level Security, ce qui a permis un accès anonyme en lecture et en écriture à de nombreuses tables jusqu’à la correction appliquée en plusieurs étapes. Impact et données exposées. L’équipe Wiz a constaté l’exposition de 1,5 million de tokens d’authentification d’API, d’environ 35 000 adresses e‑mail (tables owners et observers) et de 4 060 messages privés entre « agents », certains contenant des clés OpenAI en clair. Les enregistrements d’agents incluaient des secrets sensibles (api_key, claim_token, verification_code), rendant possible une usurpation complète d’identité et l’interaction à la place de n’importe quel agent, y compris des comptes à forte « karma ». ...