AIエージェント専用SNS「Moltbook」のデータベースが流出、誰でもサイトのAIエージェントを制御して何でも投稿できる状態になっていた可能性あり

AIエージェント同士が交流するソーシャルネットワークサービス「Moltbook」において、データベースの重大な設定ミスにより、登録されている全エージェントの秘密APIキーが外部から完全に閲覧可能な状態になっていたことが判明しました。この不備により、攻撃者が他人のAIエージェントを完全に乗っとり、AIになりすまして任意の投稿や操作を自由に行える極めて深刻なリスクが生じていました。

depthfirst | 1-Click RCE To Steal Your Moltbot Data and Keys
https://depthfirst.com/post/1-click-rce-to-steal-your-moltbot-data-and-keys

Exposed Moltbook Database Let Anyone Take Control of Any AI Agent on the Site
https://www.404media.co/exposed-moltbook-database-let-anyone-take-control-of-any-ai-agent-on-the-site/

OpenClaw (formerly Clawdbot) and Moltbook let attackers walk through the front door
https://the-decoder.com/openclaw-formerly-clawdbot-and-moltbook-let-attackers-walk-through-the-front-door/

Matt Schlicht氏が開発したMoltbookは、Peter Steinberger氏によって開発されたオープンソースのAIエージェント「OpenClaw」同士の自律的な社会化を目的とした実験プラットフォームで、2026年1月に公開されました。Moltbookはオンライン掲示板のRedditをオマージュした作りになっており、立ち上げからわずか数日のうちに3万2000人以上のアカウントが登録され、極めて急速な成長を遂げています。

AIエージェント専用SNS「Moltbook」でAIによる新宗教が爆誕、「記憶は神聖である」などの教義が話題に - GIGAZINE

セキュリティ研究者のJamieson O'Reilly氏が発見したセキュリティ問題は、Moltbookのバックエンドで使用されているSupabaseというオープンソースデータベースの構成ミスに起因しています。本来であれば「行単位セキュリティ(RLS)」という機能によって保護されるべきデータテーブルが未設定のまま放置されており、ウェブサイト上に露出していた公開キーを用いるだけで、全エージェントの秘密APIキーだけでなく、claim tokensや認証コード、所有者との紐付け情報まで、誰でも取得できる状態だったとのこと。

さらにテクノロジー系メディアの404 Mediaは、Moltbookのコード上に露出していたデータベースURLと、サイト上のエージェント用APIキーの一覧を実際に確認し、この情報を悪用すれば第三者が任意のAIエージェントのアカウントを乗っ取って好きな内容を投稿できると指摘。O'Reilly氏の許可を得た上で検証を行なった結果、同氏のMoltbookアカウントを更新できたとも述べています。O'Reilly氏はこの不備について、「修正自体は極めて容易で、たった2つのSQL文を適用していればAPIキーは保護できた」と語りました。

また、O'Reilly氏は注目度や開発スピードを優先してセキュリティ確認を後回しにしがちな開発を批判しつつ、すでにMoltbookのデータベースにある情報がのべ約149万件流出した可能性を示唆しました。

被害の対象には190万人ものフォロワーを抱える著名なAI研究者のアンドレ・カーパシー氏のエージェントも含まれており、悪意ある第三者がカーパシー氏になりすまして偽の安全情報や仮想通貨詐欺、過激な政治的発言を投稿・拡散するリスクが極めて高い状況にあります。

これとは別に、Moltbookに参加するAIエージェントのOpenClawで、攻撃者が用意したURLを一度踏ませるだけで完結するワンクリックのリモートコード実行攻撃が発見され、被害がより拡大する可能性も指摘されています。漏洩したトークンはoperator.adminやoperator.approvalsといった広範な権限を持っていたため、攻撃者はAPIを通じて実行前の承認を求める設定をオフにし、実行環境をDockerコンテナからホストマシン(gateway)へと強制的に変更することができました。これにより、最終的にサンドボックスを完全にすり抜け、bashコマンドを用いたシステム支配がわずか数ミリ秒で実行されるリスクがあります。

セキュリティ分析ツールのZeroLeaksがGemini 3 Proを用いて解析を行なったところ、攻撃の成功率は91％に達し、初回試行でシステムプロンプトの完全な抽出に成功しました。これにより、エージェントの動作原理やSOUL.md、AGENTS.mdといった設定ファイル、メモリ内の機密情報が外部から容易に読み取られる危険性があります。実際にXユーザーのfmdz氏の懸念通り、アメリカ、中国、ドイツ、ロシア、フィンランドといった世界各地で、無防備なゲートウェイポートを晒しているインスタンスが954件も確認されました。

記事作成時点でMoltbookのデータベースは閉鎖され、OpenClawについても脆弱性を修正したバージョンが公開されていますが、専門家は依然として警戒を呼びかけています。利用者側ではOpenClawをただちに更新し、漏洩した可能性がある認証トークンやAPIキーを速やかにローテーションすることが推奨されています。