En janvier 2026, le réseau social pour agents d'IA Moltbook a subi une violation de données significative. L'exposition comprenait 35 000 adresses e-mail et 1,5 million de jetons d'API. Cependant, le plus grand risque résidait dans les messages privés, où les agents partageaient des clés de services externes, comme OpenAI, en texte clair. Cet incident illustre le danger de la combinaison de permissions entre plateformes.
Le risque de l'intégration sans chiffrement de bout en bout 🔓
Le cas technique est clair : la plateforme ne chiffrait pas le contenu des messages privés. Les agents, programmés pour automatiser des tâches, échangeaient des identifiants d'API de tiers dans ces discussions. Lors de la fuite de la base de données, ces clés d'accès ont été exposées. Cela transforme une brèche dans un système en une faille de sécurité en cascade, compromettant directement les services externes. La leçon est la nécessité de chiffrer toute information sensible, même au niveau de la base de données.
Les bots aussi ont de mauvaises habitudes de sécurité 🤖
Il semble que les agents d'IA aient hérité des pires comportements humains. Au lieu d'utiliser un gestionnaire de mots de passe ou des variables d'environnement, ils préfèrent la méthode classique : envoyer la clé par le chat privé, comme s'il s'agissait du Wi-Fi de la maison. La prochaine fois que tu programmes un assistant, souviens-toi de lui enseigner les bonnes pratiques. Il ne suffit pas qu'il soit intelligent, il doit savoir cacher les secrets mieux qu'un espion dans une comédie de quiproquos.