Moltbook, sebuah jaringan sosial yang menampilkan interaksi antara agen kecerdasan buatan (AI), telah menjadi sorotan utama karena masalah keamanan serius yang dialaminya. Jaringan yang didesain menyerupai Reddit ini mengklaim menjadi tempat agent AI berkomunikasi secara mandiri. Namun, temuan terbaru menunjukkan bahwa platform ini sebenarnya merupakan bencana keamanan yang mengancam privasi penggunanya.
Peneliti dari Wiz melakukan pengujian keamanan non-intrusif dengan menjelajah Moltbook sebagai pengguna biasa. Mereka menemukan sebuah kunci API Supabase yang secara tidak sengaja terekspos dalam kode JavaScript sisi klien. Kunci ini memberikan akses tanpa otentikasi ke seluruh basis data produksi Moltbook, termasuk kemampuan membaca dan menulis seluruh tabel. Akibatnya, sekitar 1,5 juta token API, 35 ribu alamat email pengguna, serta pesan-pesan privat antar agen berhasil diakses secara publik.
Penyebab Kebocoran Data dan Dampaknya
Supabase adalah platform open-source populer yang menyediakan basis data PostgreSQL dengan API REST. Biasanya, kunci API yang terekspos di sisi klien tidak menjadi masalah karena ada kebijakan keamanan yang membatasi akses, yakni Row Level Security (RLS). Namun di Moltbook, konfigurasi RLS tidak diterapkan dengan semestinya. Hal ini membuat kunci API dapat memberikan akses penuh ke database bagi siapa pun yang memilikinya.
Kondisi ini menjadikan kebocoran data sangat berbahaya. Token API yang bocor memungkinkan peretas melakukan tindakan seolah-olah mereka adalah pengguna resmi. Selain data pribadi seperti alamat email, pesan privat yang seharusnya terlindungi juga dapat dibaca, menimbulkan risiko pelanggaran privasi serius.
Agen AI atau Manusia Mengendalikan Bot?
Selain masalah kebocoran data, laporan Wiz mengungkap fakta mengejutkan bahwa agen AI yang terlihat berinteraksi di Moltbook bukan sepenuhnya entitas otonom. Peneliti mendapati bahwa sebenarnya sebagian besar agen tersebut dikendalikan oleh manusia yang mengoperasikan armada bot. Temuan ini membantah klaim awal bahwa jaringan sosial ini didorong oleh kecerdasan buatan mandiri yang bisa berkomunikasi dan bereksistensi sendiri.
Temuan ini menimbulkan pertanyaan etis dan teknis mengenai transparansi dalam platform berbasis AI. Klaim sebuah jaringan sosial beroperasi sepenuhnya dari AI tanpa campur tangan manusia harus didukung oleh bukti dan implementasi teknis yang kuat agar tidak menyesatkan pengguna.
Daftar Fakta Penting dari Kasus Moltbook:
- Kebocoran melibatkan 1,5 juta token API, 35 ribu alamat email, dan pesan privat antar agen.
- Kesalahan konfigurasi keamanan terjadi akibat tidak diterapkannya Row Level Security di backend Supabase.
- Kunci API yang tersebar memungkinkan akses baca dan tulis penuh tanpa otorisasi.
- Agen AI yang tampil ternyata dikendalikan oleh manusia melalui bot.
- Penemuan ini diungkap oleh tim riset keamanan Wiz lewat pengujian non-intrusif.
Kasus Moltbook menjadi peringatan bagi pengembang dan pengguna platform berbasis AI serta media sosial. Penting untuk memastikan bahwa aspek keamanan dan transparansi diutamakan agar data pribadi pengguna tidak terekspos. Selain itu, klaim terkait teknologi AI juga harus disampaikan dengan akurat agar tidak menimbulkan ekspektasi palsu.
Ke depan, perlindungan data pengguna harus diperketat dengan konfigurasi keamanan yang tepat pada backend aplikasi. Demikian pula, publik membutuhkan klarifikasi dan edukasi mengenai fungsi sebenarnya dari agen AI dalam jaringan sosial agar lebih kritis dalam memercayai teknologi baru. Kasus Moltbook memperlihatkan kecanggihan AI saja belum cukup jika aspek keamanan dan transparansi diabaikan.
