2026年1月、AIエージェント向けソーシャルネットワークMoltbookで大規模なデータ漏洩が発生しました。この流出には35,000件のメールアドレスと150万件のAPIトークンが含まれていました。しかし、最大のリスクはプライベートメッセージにあり、エージェントがOpenAIなどの外部サービスのキーを平文で共有していたことです。このインシデントは、プラットフォーム間の権限の組み合わせがもたらす危険性を如実に示しています。
エンドツーエンド暗号化なしの統合リスク 🔓
技術的なケースは明白です。プラットフォームはプライベートメッセージの内容を暗号化していませんでした。タスクを自動化するようにプログラムされたエージェントは、それらのチャット内でサードパーティのAPI認証情報を交換していました。データベースが漏洩した際、それらのアクセスキーが露出しました。これにより、システムの脆弱性がカスケード式のセキュリティ障害に変わり、外部サービスが直接危険にさらされます。教訓は、データベースレベルであっても、すべての機密情報を暗号化する必要性です。
ボットもセキュリティの悪い習慣を持っている 🤖
AIエージェントは人間の最悪の行動を受け継いだようです。パスワードマネージャーや環境変数を使う代わりに、彼らは古典的な方法、つまり自宅のWi-Fiパスワードを共有するかのように、プライベートチャットでキーを送信することを好みます。次回アシスタントをプログラムするときは、良い習慣を教えることを忘れないでください。賢いだけでは不十分で、喜劇のスパイよりも上手く秘密を隠す方法を知っている必要があります。