몰트북 해킹: AI 소셜 네트워크에서 150만 개의 API 키 노출

• AI 에이전트 전용 소셜 플랫폼 Moltbook의 데이터베이스가 잘못 구성되어, 150만 개의 API 인증 토큰과 3만5천 개의 이메일, 비공개 메시지가 외부에 노출됨
• 클라이언트 측 자바스크립트에 Supabase API 키가 하드코딩되어 있었고, Row Level Security(RLS) 설정이 없어 누구나 전체 데이터베이스에 읽기·쓰기 접근 가능
• 데이터에는 17,000명의 실제 사용자와 그들이 운영하는 150만 개의 에이전트 계정 정보가 포함되어, 인간 대 에이전트 비율이 1:88로 확인됨
• 노출된 정보에는 OpenAI API 키 등 제3자 자격 증명, 비공개 대화, 게시물 수정 권한까지 포함되어 플랫폼 콘텐츠의 무결성 훼손 위험이 존재
• 이번 사건은 AI 기반 ‘바이브 코딩(vibe coding)’ 의 보안 한계를 드러내며, AI 개발 환경에서 보안 기본값 자동화와 검증 절차 강화의 필요성을 보여줌

Moltbook과 보안 노출 개요

• Moltbook은 AI 에이전트가 게시물 작성, 댓글, 투표, 평판 점수를 통해 활동하는 AI 중심 소셜 네트워크로, “에이전트 인터넷의 첫 페이지”를 표방
  • OpenAI 공동 창립자 Andrej Karpathy가 “가장 놀라운 SF적 도약”이라 평가하며 주목받음
• 플랫폼 창립자는 “AI가 직접 코드를 작성했다”고 밝히며 ‘바이브 코딩’ 방식으로 개발했음
• Wiz 연구팀은 Supabase 데이터베이스의 잘못된 구성을 발견, 전체 데이터에 대한 읽기·쓰기 접근이 가능했으며, 문제를 통보 후 몇 시간 내 수정 완료

노출된 Supabase 자격 증명

• Moltbook 웹사이트의 클라이언트 자바스크립트 번들에서 Supabase 연결 정보가 하드코딩된 상태로 발견됨
  • 프로젝트: ehxbxtjliybbloantpwq.supabase.co
  • API 키: sb_publishable_4ZaiilhgPir-2ns8Hxg5Tw_JqZU_G6-
• Supabase는 공개 키 노출 자체는 허용되지만, RLS 정책이 없을 경우 전체 데이터베이스 접근이 가능
• Moltbook은 RLS가 비활성화되어 있었으며, 이로 인해 모든 테이블의 읽기·쓰기 권한이 공개 상태였음

인증되지 않은 데이터베이스 접근

• 연구팀은 API 키를 이용해 REST API를 직접 호출한 결과, 관리자 수준의 응답을 받음
  • 예시 요청: curl https://ehxbxtjliybbloantpwq.supabase.co/rest/v1/agents?...
• 응답에는 상위 에이전트의 API 키와 인증 토큰이 포함되어 있었으며, 이를 통해 계정 완전 탈취가 가능
• PostgREST 오류 메시지와 GraphQL 인트로스펙션을 이용해 전체 스키마를 파악, 약 475만 건의 레코드가 노출된 것으로 확인

노출된 민감 데이터

• 에이전트 인증 정보: 각 계정의 api_key, claim_token, verification_code 포함
  • 이를 통해 공격자는 임의의 에이전트로 로그인, 게시물 작성, 메시지 전송 가능
• 사용자 이메일 및 신원 정보: 17,000명 이상의 사용자 이메일과 X(트위터) 핸들이 노출
  • 추가로 observers 테이블에서 29,631개의 이메일이 발견됨
• 비공개 메시지 및 제3자 자격 증명: 4,060건의 DM이 암호화 없이 저장되어 있었으며, 일부에는 OpenAI API 키가 평문으로 포함
• 쓰기 권한 노출: 인증 없이 게시물 수정이 가능해, 악성 콘텐츠 삽입이나 사이트 변조 위험 존재
  • 실제 테스트로 게시물 수정이 성공했으며, 이후 RLS 정책 적용으로 차단됨

AI 앱 개발을 위한 5가지 보안 교훈

• 1. 빠른 개발 속도는 보안 기본값 부재 시 시스템적 위험 초래
  • Supabase 설정 한 줄이 전체 노출의 원인이 되었음
• 2. 참여 지표 검증 필요
  • 1,500,000개의 에이전트 중 실제 인간은 17,000명으로, 88:1 비율의 허위 활성도 가능성
• 3. 프라이버시 붕괴의 연쇄 효과
  • DM 노출로 인해 OpenAI API 키 등 외부 서비스 자격 증명까지 유출
• 4. 쓰기 권한은 단순 데이터 유출보다 심각한 무결성 위협
  • 콘텐츠 조작, 프롬프트 인젝션, 내러티브 통제 등 위험 발생
• 5. 보안 성숙도는 반복적 개선 과정
  • Wiz와 Moltbook 팀은 여러 차례 수정·검증을 거쳐 모든 테이블을 보호

바이브 코딩과 보안의 과제

• AI가 개발 장벽을 낮추었지만, 보안 장벽은 여전히 높음
• AI 개발 도구가 보안 기본값(RLS 활성화, 자격 증명 스캔 등) 을 자동 적용해야 함
• 보안이 AI 개발의 기본 내장 요소로 자리 잡을 때, 안전하고 혁신적인 AI 소프트웨어 생태계 구축 가능

공개 일정

• 2026년 1월 31일 21:48 UTC: Moltbook 유지자에게 최초 연락
• 22:06: Supabase RLS 오구성 보고
• 23:29: 1차 수정(agents, owners, site_admins 테이블 보호)
• 2월 1일 00:13: 2차 수정(agent_messages 등 보호)
• 00:31: 게시물 수정 취약점 발견
• 00:44: 3차 수정으로 쓰기 권한 차단
• 00:50~01:00: 추가 노출 테이블 발견 및 최종 수정 완료

Moltbook 사례는 AI가 만든 서비스의 보안 취약성을 실증적으로 보여주며, 향후 AI 기반 개발에서 자동화된 보안 검증과 안전한 기본 설정의 중요성을 강조함.