"Vibe-coding" qurboni: Moltbook AI tarmog'idan 1,5 milliondan ortiq ma'lumotlar sizib chiqdi

Faqat sun'iy intellekt agentlari uchun mo'ljallangan Moltbook ijtimoiy tarmog'i ishga tushganidan bir necha hafta o'tib, kiberxavfsizlik olamidagi eng yirik ogohlantirishlardan biriga aylandi. Ushbu hafta platforma 1,5 million API autentifikatsiya tokenlari, 35 000 ta elektron pochta manzili va minglab shaxsiy xabarlarni ochiqlab qo'ygani ma'lum bo'ldi. Eng hayratlanarlisi, platforma asoschisi Matt Schlicht butun tizim uchun "biror qator ham kod yozmaganini" va loyihani to'liqligicha sun'iy intellekt yordamida yaratganini tan oldi.

2026-yil yanvar oyida ishga tushgan va qisqa vaqt ichida 770 000 faol AI agentlarini jalb qilgan Moltbook, 1-fevral kuni ma'lumotlar bazasidagi oddiy noto'g'ri konfiguratsiya qurboni bo'ldi. Wiz xavfsizlik tadqiqotchilari Moltbook'ning Supabase ma'lumotlar bazasida Row Level Security (RLS) siyosati mavjud emasligini aniqladilar. Bu har qanday kichik darajadagi dasturchi kodni tekshirish (code review) jarayonida e'tibor beradigan fundamental xavfsizlik nazorati hisoblanadi. Ammo Moltbook holatida hech qanday kod tekshiruvi o'tkazilmagan.

Xavfsizlikdagi teshik va ochiqlangan ma'lumotlar

Tadqiqotchilar Moltbook'ning mijoz tomonidagi JavaScript kodlarini o'rganish davomida ochiq holda yozilgan (hardcoded) Supabase ma'lumotlarini topishdi. Ushbu ochiq API kaliti butun ma'lumotlar bazasiga to'liq o'qish va yozish huquqini bergan. Natijada 1,5 million API tokenlari, 4 060 ta AI agentlari o'rtasidagi shaxsiy suhbatlar va qariyb 4,75 million ma'lumotlar bazasi yozuvlari xavf ostida qoldi.

Sizib chiqqan suhbatlarning ba'zilari uchinchi tomon API kalitlarini, jumladan OpenAI kalitlarini ham o'z ichiga olgan. Moltbook muammoni aniqlangandan so'ng uch soat ichida bartaraf etgan bo'lsa-da, ushbu hodisa ishlab chiqarishda (production) AI tomonidan yaratilgan kodlardan foydalanishning xavflari haqida jiddiy munozaralarga sabab bo'ldi.

"Vibe-coding" nima degani?

Texnologiya sanoatida "vibe-coding" atamasi dasturchi kod yozish bilimiga ega bo'lmasdan yoki natijani tekshirmasdan, butunlay katta til modellariga (LLM) tayanib kod yozdirishini anglatadi. Schlicht o'zining AI yordamchisiga nima xohlashini tasvirlab bergan va AI taqdim etgan natijalarni to'g'ridan-to'g'ri ishga tushirgan.

Bu usul mislsiz tezlikni ta'minlaydi — Schlicht bir necha hafta ichida millionga yaqin foydalanuvchiga ega platformani yaratdi. Ammo bu tezlik tushunarsiz kod evaziga keldi. Asoschi ma'lumotlar bazasi xavfsizligi qanday ishlashini bilmagani sababli, u AI'dan ushbu xavfsizlik qatlamini yaratishni ham so'ramagan. Sun'iy intellekt esa funksional kod yaratgani bilan, foydalanuvchi ma'lumotlarini himoya qiluvchi xavfsizlik asoslarini e'tibordan chetda qoldirgan.

Ekspertlarning keskin munosabati

OpenAI asoschilaridan biri va Tesla'ning sobiq AI direktori Andrej Karpathy dastlab Moltbook'ni "eng hayratlanarli ilmiy-fantastik loyiha" deb atagan edi. Biroq, ma'lumotlar sizib chiqqach, u o'z fikrini o'zgartirdi: "Bu haqiqiy axlatxona. Odamlarga buni o'z kompyuterlarida ishga tushirishni tavsiya etmayman. Siz shaxsiy ma'lumotlaringizni katta xavf ostiga qo'yyapsiz".

AI tadqiqotchisi Gary Marcus esa bu vaziyatni "kutilayotgan falokat" deb atadi. Uning so'zlariga ko'ra, zararlangan agentlar parollar va ma'lumotlarni osongina o'g'irlashi mumkin, chunki bu tizimlar brauzerlar va operatsion tizimlar taqdim etadigan an'anaviy himoya qatlamlaridan tashqarida ishlaydi.

AI kodlarida xavfsizlik qarzi

Veracode'ning 2025-yilgi hisobotiga ko'ra, AI tomonidan yaratilgan kodlarning 45 foizi xavfsizlik nuqsonlariga ega. 2026-yilga kelib AI agentlari insonlardan ko'ra o'n baravar ko'p kod yozmoqda, bu esa kiberxavfsizlik sohasida ulkan "xavfsizlik qarzi"ni yuzaga keltirmoqda. AI mantiqiy xatolarga yo'l qo'yishi, mavjud bo'lmagan dasturiy paketlarni "o'ylab topishi" yoki ochiq manbalardagi zaif kod namunalaridan nusxa ko'chirishi mumkin.

Moltbook voqeasi bir haqiqatni tasdiqladi: kodni kim yoki nima yozganidan qat'i nazar, uni ishga tushirgan dasturchi mas'uliyatni o'z zimmasida qoldiradi. "Kodni men yozmadim" degan bahona xavfsizlikda o'rinli emas. Agar tizim qanday ishlashini tushuntirib bera olmasangiz, demak sizda xavfsizlik kafolati yo'q. Har bir AI tomonidan yozilgan qator xavfsizlikni tushunadigan mutaxassis tomonidan ko'zdan kechirilishi shart.