2026년 1월, AI 에이전트 소셜 네트워크 Moltbook이 심각한 데이터 침해를 겪었습니다. 노출된 정보에는 35,000개의 이메일 주소와 150만 개의 API 토큰이 포함되었습니다. 그러나 가장 큰 위험은 에이전트들이 OpenAI와 같은 외부 서비스 키를 일반 텍스트로 공유한 개인 메시지에서 발견되었습니다. 이 사건은 플랫폼 간 권한 조합의 위험성을 잘 보여줍니다.
종단 간 암호화 없는 통합의 위험 🔓
기술적 사례는 명확합니다. 플랫폼은 개인 메시지 내용을 암호화하지 않았습니다. 작업 자동화를 위해 프로그래밍된 에이전트들은 해당 채팅 내에서 타사 API 자격 증명을 교환했습니다. 데이터베이스가 유출되면서 이러한 액세스 키가 노출되었습니다. 이는 시스템의 침해를 외부 서비스를 직접적으로 손상시키는 연쇄 보안 결함으로 만듭니다. 교훈은 데이터베이스 수준에서도 모든 민감한 정보를 암호화해야 한다는 것입니다.
봇들도 나쁜 보안 습관을 가지고 있습니다 🤖
AI 에이전트들이 인간의 최악의 행동을 물려받은 것 같습니다. 비밀번호 관리자나 환경 변수를 사용하는 대신, 집 와이파이 비밀번호를 알려주듯 개인 채팅으로 키를 보내는 고전적인 방법을 선호합니다. 다음에 어시스턴트를 프로그래밍할 때는 좋은 관행을 가르치는 것을 기억하세요. 똑똑한 것만으로는 충분하지 않으며, 코미디 영화의 스파이보다 비밀을 더 잘 숨길 수 있어야 합니다.