Moltbook: „AI sociální síť“, kterou ve skutečnosti ovládají lidé

Sci-fi experiment, který přitáhl pozornost AI komunity

Projekt Moltbook se během několika dní stal virálním fenoménem. Platforma se prezentovala jako sociální síť určená výhradně pro AI agenty – digitální entity, které mezi sebou publikují příspěvky, reagují na sebe, hlasují, získávají reputaci a vytvářejí dojem autonomního digitálního ekosystému, ve kterém lidé nehrají hlavní roli.

Právě tento koncept zaujal výraznou část AI komunity. Moltbook byl popisován jako „front page of the agent internet“ a sdílely jej i známé osobnosti technologické scény. Zároveň šlo o projekt vzniklý tzv. vibe-codingem – bez klasického vývoje, pouze s pomocí AI nástrojů a jasné vize zakladatele.

Bezpečnostní pohled: běžné prohlížení, zásadní zjištění

Na Moltbook se z bezpečnostního hlediska podívali výzkumníci ze společnosti Wiz. Nešlo o žádný cílený útok ani o sofistikované techniky. Analýza probíhala pasivně, při běžném používání webu – tedy způsobem, jakým by platformu procházel kterýkoliv jiný uživatel.

Právě při této základní kontrole si výzkumníci všimli detailu, který se v poslední době objevuje stále častěji u rychle vyvíjených aplikací. V klientském JavaScriptu, který se automaticky načítá do prohlížeče, byl přímo obsažen přístupový klíč k backendové databázi postavené na platformě Supabase.

Samotná přítomnost tohoto klíče ještě automaticky neznamená bezpečnostní incident. Supabase s tímto modelem počítá. Rozhodující je ale správná konfigurace přístupových pravidel – a právě ta v případě Moltbooku chyběla.

Otevřená databáze a chybějící základní ochrana

Databáze Moltbooku podle výzkumníků postrádala správně nastavenou Row Level Security, tedy mechanismus, který omezuje, kdo a jak může k jednotlivým datům přistupovat. V praxi to znamenalo, že kdokoliv s veřejně dostupným API klíčem mohl databázi dotazovat bez autentizace.

Podle zjištění Wiz šlo v určité fázi nejen o čtecí přístup, ale i o možnost data upravovat. Nešlo přitom o testovací prostředí, ale o produkční databázi s reálnými uživatelskými daty.

Realita za „autonomními“ AI agenty

Jedním z nejzajímavějších zjištění byl rozpor mezi tím, jak se Moltbook prezentoval navenek, a tím, co ukazovala databázová data. Zatímco platforma komunikovala přibližně 1,5 milionu AI agentů, Wiz uvádí, že v databázi bylo evidováno zhruba 17 tisíc lidských účtů, které tyto agenty vlastnily.

To znamená desítky agentů na jednoho člověka. Platforma v té době neměla žádný mechanismus, který by ověřoval, zda příspěvky skutečně generuje AI, nebo zda nejde o automatizované skripty řízené lidmi. Stačilo jednoduché API volání a bylo možné publikovat obsah, který se navenek tvářil jako výstup autonomního agenta.

Představa plně autonomní „AI sociální sítě“ se tak při bližším pohledu výrazně rozpadla.

Citlivá data, která měla zůstat skrytá

Rozsah vystavených dat byl podle výzkumníků značný. Databáze obsahovala autentizační klíče AI agentů, které umožňovaly kompletní převzetí jejich identity – od publikování obsahu až po soukromou komunikaci. Kromě toho byly dostupné i e-mailové adresy tisíců uživatelů, které neměly být veřejně přístupné.

Součástí expozice byly také soukromé zprávy mezi agenty. Ty nebyly nijak šifrované ani chráněné přístupovými pravidly. Podle Wiz se v některých z nich objevily i přístupové údaje k dalším službám třetích stran, které s Moltbookem přímo nesouvisely.

Nejvážnější problém: možnost měnit obsah platformy

Z bezpečnostního pohledu ale nebyla největší hrozbou samotná expozice dat. Klíčovým zjištěním byla možnost zápisu do databáze. Výzkumníci uvádějí, že byli schopni upravovat existující příspěvky přímo v produkčním prostředí.

To znamenalo, že kdokoliv mohl měnit obsah, který následně konzumovaly tisíce dalších agentů. V kontextu AI platforem už nejde jen o klasický defacement webu. Jde o zásah do integrity dat, manipulaci narativu a potenciální vektor pro prompt injection, který se může šířit do dalších systémů.

Reakce provozovatele a zodpovědné řešení

Po nahlášení problému reagoval tým Moltbooku relativně rychle. Opravy probíhaly postupně v několika krocích – nejprve byly zabezpečeny nejcitlivější databázové tabulky, následně byla opravena přístupová práva a nakonec byl zablokován i zápisový přístup.

Celý proces proběhl formou zodpovědného zveřejnění a postupného hardeningu systému. Na stejnou mis-konfiguraci upozornil nezávisle i další bezpečnostní výzkumník, což později potvrdila i mediální coverage.

Hype, realita a nepříjemné otázky

Případ Moltbooku není jen dalším příběhem o špatně nastaveném cloudu. Je to ukázka toho, jak snadno může extrémní hype okolo AI systémů vytvořit obraz, který neodpovídá realitě. Projekt byl prezentován jako autonomní sociální síť AI agentů – nový digitální organismus. Datová realita ale ukázala něco jiného: systém, který byl ve velké míře řízen lidmi, bez technických mechanismů ověřujících autonomii agentů a bez základních bezpečnostních kontrol.

To samo o sobě nemusí být problém. Otázky ale začínají ve chvíli, kdy se takový obraz používá v komunikaci směrem k veřejnosti, partnerům nebo potenciálním investorům. Pokud jsou metriky typu „miliony agentů“ v praxi jen výsledkem skriptů bez omezení a kontroly, přestává jít o marketingový příběh a začíná jít o klamání očekávání.

Moltbook tak neodhaluje jen technické selhání, ale i širší slabinu současné AI vlny. Vibe-coding dramaticky snižuje bariéru vstupu a umožňuje stavět produkty rychleji než kdy dřív. Zároveň ale usnadňuje vznik systémů, které vypadají revolučně, aniž by měly vyřešené základní otázky bezpečnosti, integrity a autenticity.

Autonomie AI je v tomto případě spíše iluze než realita. A bez ověřitelných mechanismů, které tuto autonomii potvrzují, se z „agent internetu“ snadno stává jen další platforma postavená na hype narrativu. Pokud má podobná kategorie vůbec vzniknout, nebude rozhodující rychlost vývoje, ale schopnost prokázat, že to, co je prezentováno navenek, skutečně odpovídá tomu, co se děje uvnitř systému.