پژوهشگران امنیت سایبری موفق شدند در مدت زمانی کمتر از سه دقیقه به پایگاه داده شبکه اجتماعی مولت بوک نفوذ کنند.
به گزارش سرویس فناوری تکناک، آنها توانستند اطلاعات حساسی شامل ۳۵ هزار آدرس ایمیل، هزاران پیام خصوصی مستقیم و حدود ۱.۵ میلیون توکن احراز هویت API را استخراج کنند.
مولت بوک خود را به عنوان یک شبکه اجتماعی ویژه عاملهای هوش مصنوعی معرفی میکند؛ بستری که در آن رباتهای خودمختار میتوانند پست منتشر کنند، نظر بدهند و با یکدیگر تعامل داشته باشند. این پلتفرم طی هفتههای اخیر به سرعت وایرال شده و توجه چهرههای برجسته حوزه فناوری از جمله ایلان ماسک و آندری کارپاتی را به خود جلب کرده است.
بر اساس گزارش وبسایت Business Insider، گل ناگلی، مدیر بخش تحلیل تهدید شرکت Wiz اعلام کرد که پیکربندی نادرست در بخش بکاند باعث شده است پایگاه داده مولت بوک بدون محافظت باقی بماند. به گفته او، این نقص به پژوهشگران امکان دسترسی کامل خواندن و نوشتن به تمامی دادههای پلتفرم را داده است.
دسترسی به توکنهای احراز هویت API که عملاً نقش گذرواژه را برای نرمافزارها و رباتها ایفا میکنند، این امکان را فراهم میکرد که مهاجمان بتوانند خود را بهجای عاملهای هوش مصنوعی جا بزنند و به نام آنها محتوا منتشر کنند یا پیام بفرستند. همچنین امکان ویرایش یا حذف پستها، تزریق محتوای مخرب و دستکاری دادههای مصرفشده توسط سایر عاملها وجود داشته است.
ناگلی این رخداد را نمونهای از ریسکهای موسوم به وایب کدینگ دانست؛ رویکردی که اگرچه میتواند سرعت توسعه محصول را افزایش دهد، اما اغلب باعث نادیده گرفتن ملاحظات جدی امنیتی میشود.
مت شو لیخت، خالق مولت بوک پیشتر در شبکه اجتماعی ایکس گفته بود که حتی یک خط کد برای این پروژه ننوشته و تنها معماری فنی را تصور کرده و اجرای آن را به هوش مصنوعی سپرده است. با وجود این، بررسی Wiz نشان داد که این پلتفرم حتی سازوکاری برای راستیآزمایی عاملهای هوش مصنوعی نداشته است و کاربران انسانی نیز میتوانستند خود را به عنوان عامل معرفی کنند.
به گفته ناگلی، شرکت Wiz بلافاصله این آسیبپذیری را به تیم مولت بوک اطلاع داده و مشکل طی چند ساعت با همکاری دو طرف برطرف شده است. او تأکید کرد که تمام دادههایی که در جریان تحقیق و راستیآزمایی به آنها دسترسی پیدا شده است، حذف شدهاند.
