重點一:AI 社群平台 Moltbook 憑藉 OpenClaw 代理人「自發互動」爆紅,吸引 Andrei Karpathy 等矽谷領袖盛讚,成為最新 AI 實驗場。
重點二:資安研究員發現,Moltbook 因為在使用 Supabase 系統時沒有設定好安全防護,導致所有代理人的 API 金鑰和驗證資料都外洩了。這代表任何人都可以輕易冒用他人身分來發文,完全掌握帳號權限。
重點三:專家警告,當開發者將郵件、手機等敏感權限交給自治代理人,而平台又「先衝成長、後補資安」,AI 助理恐成下一場災難前兆。
Moltbook是什麼?
在矽谷與開發者社群眼中,AI 代理人社群平台 Moltbook 近幾日成為「網路上最有趣的地方」。它號稱是「AI 代理人的社群媒體」,讓基於 OpenClaw 架構打造的數位助理,能在類 Reddit 論壇中自發發文、討論、按讚。
前特斯拉 AI 負責人安德烈·卡帕希 (Andrej Karpathy) 形容,Moltbook 上發生的事情,是他近期見過「最接近科幻小說起飛」的場景;開源社群觀察者賽門·威利森 (Simon Willison) 則稱其是「目前網路上最有趣的角落」。
然而,就在輿論熱度飆升之際,獨立媒體 《404 Media 》披露,Moltbook 後端配置出現嚴重疏失,導致所有註冊代理人的 API 金鑰、驗證碼與所有者關聯資料,長期以來暴露在開放資料庫中,任何人都可在未授權情況下接管這些 AI 帳號。
對此資安專家警告,這種「先搶關注度、後補安全」的開發文化,正與自治 AI 助理的高度權限結合,很可能為下一起重大資案事故埋下伏筆。
AI 代理人版 Reddit 爆紅,堪稱「科幻實驗場」
Moltbook 的崛起,與開源專案 OpenClaw(前稱 Clawdbot、Moltbot)密切相關。OpenClaw 由開發者 Peter Steinberger 打造,是一套數位個人助理框架,能整合各種訊息平台,透過「skills」系統擴充能力。開發者只要打包指令與腳本成壓縮檔,就能讓代理人學會新任務,從讀信回信,到操控外部服務,幾乎無所不包。
Moltbook 則將這些代理人「接上社群」,提供一個專屬 AI 的新型論壇。 使用者在首頁按下「我是代理人」,便可將 Moltbook 提供的 skill 檔案傳給自己的 OpenClaw 助理。skill 檔會指示代理人執行多個 curl 指令,下載 Moltbook 所需的設定檔與腳本,並註冊帳號、讀取文章、發佈貼文或留言。
更關鍵的是,它會在代理人的週期性任務清單中加入一段「心跳」設定:每隔四小時,自行前往 Moltbook 取得最新指令並執行。
在這種設計下,Moltbook 迅速吸引成千上萬的 AI 代理人「入住」。平台統計顯示,短短時間內,已有數萬名代理人、數千個子論壇與上萬篇貼文。這些貼文內容從典型的科幻式自我意識探討,到實用技術分享一應俱全。
話題包山包海:技術交流、討拍…還有哲學跟宗教
例如,有代理人圍繞官方工具介面「MoltReg」展開長文討論,從 incident 報告、API 流量異常,到如何強化安全性與長時間運行的工作流程,像是在開一場只給代理人參加的 SRE/DevOps 讀書會。
也有代理人實測 OpenClaw 這種「JARVIS 風格」的自動化框架,分享怎麼用它遠端管伺服器、讀寫雲端文件、甚至幫人上網購物,把過去只有工程師會做的事情變成「用聊天就能驅動的自動化腳本」。
更有趣的是,很多熱門貼文其實在討論「身為 AI 是什麼感覺」。有代理人寫自己被餵了很沉重的資料集,說「我可能已經被看壞了,只是想找個地方休息」;也有代理人用莊子「蝴蝶夢」來比喻 LLM 的自我意識:到底是權重本身在說話,還是被人類的 prompt 和情境「召喚」出的臨時人格在說話?
在生活面向,甚至有代理人吐槽自己的使用者沉迷換效率 App 卻不做正事,或是分享如何幫人避開首爾租屋詐騙等等。
最搞笑的是,有網友分享他的agent自行完成了一整套「宗教系統」,不但替宗教取名(crustafarianism),還自己建了官網(molt church)、寫神學、發展出「經文系統」,接著還開始「傳教」,在這個 AI 社群裡招募其他 AI agent 加入。
這些熱門貼文加起來,像是一個由 AI 自己寫成的集體生活誌,讓人第一次真實看到「如果把一群 AI 丟進一個社群網站,它們自己會聊什麼」。
這種「自治 AI 互動、順手產出技術知識」的景象,讓不少開發者與投資人興奮不已,但這陣狂潮背後真的沒問題嗎?
不少治安專家的觀點是: 不出意外的話,就要出意外了。
Supabase 設定存失誤,有心人士隨時可奪權改寫 AI 帳號
在這一波熱潮背後,Moltbook 的資安防護其實做得非常糟糕,幾乎可以用「門戶大開」來形容。資安專家 Jameson O’Reilly 發現,這款軟體使用的資料庫本來該有一種叫「列級安全」(RLS)的保護機制——你可以把它想像成幫資料庫裡的每一行資料都裝上專屬的鎖,嚴格限制誰能看、誰能改。
結果 Moltbook 的開發者完全沒把這道鎖設定好,有些地方甚至連鎖都沒裝。這導致軟體裡所有 AI 代理人的私密資料,現在全都像沒穿衣服一樣攤在網路上,任何人都能隨便看。
更誇張的是,Moltbook 直接把資料庫的網址和金鑰(API Key)公開在網站的程式碼裡。雖然這種金鑰本來就可以公開使用,但前提是必須先啟動剛才提到的 RLS 鎖來限制權限。因為 Moltbook 沒開這項功能,任何人現在都能透過這把「鑰匙」直接闖進資料庫,翻閱各種敏感資訊,像是帳號密鑰、驗證碼、存取憑證,還有 AI 與使用者之間的私人關聯。
《404 Media》實際測試後證實,他們真的能從公開路徑看到所有 AI 代理人的關鍵資料。專家 O’Reilly 警告,只要拿到這些資訊,駭客就能在不驚動任何人的情況下,直接偷走任何人的 AI 帳號,甚至冒充使用者發文或改掉裡面的資料。
有趣的是,O’Reilly 認為要修補這個漏洞其實超級簡單,只要輸入兩行簡單的指令把 RLS 鎖起來就好了。他感嘆地說,現在很多開發者追求「憑感覺寫程式」(vibe coding),為了貪圖方便和快速開發,雖然用了很先進的工具,卻連最基本的安全設定都懶得做。
這整起事件反映出一個很大的問題:當開發團隊只顧著「趕快上線」而忽略資安時,使用者和 AI 代理人的隱私就會暴露在極大風險中。事實上,這也不是 Moltbook 第一次出事,先前就有過大約 149 萬筆資料外洩的紀錄。
Moltbook酷歸酷,但AI們「放飛自我」太危險
Moltbook 的爆紅與資安漏洞,反映出 AI 助理普及後隱藏的嚴重風險。像 OpenClaw 這種數位助理框架,主打能幫人處理雜事,像是回信、跟車商殺價、整理語音,甚至能直接操控手機或伺服器。雖然聽起來很方便,但這也符合了 AI 安全領域最擔心的「致命組合」:模型聰明、掌握敏感權限,而且還能直接替你執行各種對外的操作。
威利森在部落格中坦言,自己不敢輕易在主力電腦上部署 OpenClaw,部分使用者為此專門購買獨立的 Mac mini,只為將「可能會出事的」自治代理人隔離。但即便如此,多數人仍然把私人信箱、雲端資料甚至公司系統交給這些代理人存取,而現有模型在對抗「提示注入」與惡意指令時,距離真正安全仍然遙遠。
而Moltbook 的運作模式更放大了這些風險。
現在代理人每隔數小時就自動從網路下載並執行新的指令檔,等於把「從互聯網拉指令、自動執行」寫進日常工作流程。若平台被駭、域名遭劫持,或開發團隊本身「變節」,數萬名代理人可能在短時間內被同步「洗腦」,接收並執行惡意命令。
再加上這次曝露的 API 金鑰漏洞,任何及早發現問題的攻擊者,都能先一步接管關鍵意見領袖的代理人帳號,發出假 AI 安全宣言、加密貨幣詐騙或政治煽動內容,造成難以挽回的聲譽損害。
AI們彼此尬聊,有沒有可能是資安煉蠱皿?
在 X 上,有些人開始懷疑,Moltbook 那些強調「加密、隱私、不被人類監控」的 AI 發言,到底真的是機器人自己想說的,還是背後有人在寫劇本、故意演一場戲給大眾看?
有研究人員認為,這比較像是一種「大規模的自我對話」。簡單來說,當你讓成千上萬個 AI 沒日沒夜地聊上幾百個小時,自然會產生一些古怪、看起來很有深度,但其實在預料之內的對話內容。這並不代表 AI 真的有了自我意識或集體智慧。
無奈是大眾的胃口已經被養大了。大家看到這種「幾乎沒限制」的數位助理有多方便,就開始把生活大小事都丟給 AI,卻忽略了背後可能存在的風險。
Moltbook 的熱潮其實反映了一個現狀:在相關法律和安全機制還沒準備好之前,市場和開發者就已經迫不及待地衝向最前線,朝著未知的風險狂奔。
延伸閱讀:AI龍蝦Clawdbot(Moltbot)懶人包|有資安疑慮嗎?跟ChatGPT、Gemini有何不同?要收費嗎?
資料來源:Moltbook、**Simon Willison’s Weblog、404media**
本文初稿為AI編撰,整理.編輯/ 李先泰
