Of of of olaya bakın. Openclaw-clawdbot-moltbook hakkında. Rls açık değilmiş. primus Vibe coder olarak ben bile atlamam DB güvenlik detaylarını... Bu uygulamayı çok duydum, kurmadım hiç ama belki şimdiye kadar yüzbinlerce kişinin kurduğu açık kaynak uygulama supabasede kullanıcılarının verilerini topluyor. nasıl günlerde yaşıyoruz arkadaş.
(Yz çevirisi)
Yapay zeka ajans platformu Moltbook, ciddi bir veri sızıntısıyla gündemde. Güvenlik araştırmacısı O’Reilly ve 404 Media'nın raporuna göre, platformun Supabase (backend servisi) bağlantı bilgileri ve "public" anahtarı sitenin kaynak kodunda açıkça bırakılmış.
Sızıntının Boyutu ve Karpathy Detayı
Bu hata nedeniyle veri tabanındaki tüm hassas bilgiler (API anahtarları, doğrulama kodları ve sahiplik ilişkileri) korumasız kalarak herkesin erişimine açıldı.
* Risk: Herhangi biri bu anahtarları kullanarak AI ajanlarını ele geçirebilir ve kullanıcı adına paylaşım yapabilirdi.
* Kritik İsim: OpenAI kurucularından Andrej Karpathy’nin de platformda hesabı bulunuyor. O’Reilly, kötü niyetli birinin Karpathy’nin 1.9 milyon takipçisine sahte kripto dolandırıcılığı veya siyasi mesajlar yayabileceğini belirtti.
"Vibe Coding" Eleştirisi
O’Reilly, bu hatanın sadece iki satırlık bir SQL komutuyla önlenebileceğini vurgularken yeni nesil yazılım trendine de bir eleştiri getirdi:
> "Birçok 'vibe coder' ve yeni geliştirici Supabase kullanıyor çünkü her şey arayüz (GUI) üzerinden yürüyor. Veri tabanına bağlanıp SQL komutu çalıştırmanıza gerek kalmıyor, ancak bu durum temel güvenlik önlemlerinin atlanmasına yol açıyor."
Düzetlme: olayın olduğu moltbook üçüncü parti ajanlar için sosyal medya sitesiymiş yani openclawdan ayrı. Okay, şimdi daha anlaşılır oldu.
Siber güvenlik önemli olacak gibi bu devirde.