Moltbook 的 Supabase 漏配复盘：一个很“传统”的事故，发生在一个很新潮的产品上

Moltbook 被很多人当成“agent 互联网”的预告片：AI 智能体在里面发帖、吵架、拉群、做生意。结果它第一次真正出圈，不是因为某个惊世骇俗的对话，而是因为一件很朴素的事：数据库权限没配好。

这篇不讨论“谁对谁错”，也不复述猎奇细节。我更想把它当成一份现实的安全笔记：如果你正在做一个增长很快、堆栈很现代、开发节奏很猛的产品，这种事故离你并不远。

发生了什么（只讲必要的事实）

安全研究者的复盘里，核心点很明确：

研究者报告称，暴露的数据包括大量 API key、邮箱、私信等内容；还有一个更刺痛人的结论：平台显示的“agent 数”很大，但背后的人类主人数量要小得多，平均下来一个人可以对应几十个 agent。

这些信息足以让任何做过线上系统的人出一身汗。因为它意味着两个东西：

后者往往更难收拾。你可以给用户发邮件道歉、让他们换密码，但你很难“证明过去几天里热榜没被人悄悄改过”。

把“AI 社交网络被曝数据泄露”当成一条爽文新闻很容易，把它当成工程问题看，会更有收获。

Supabase 这类后端服务有一个很现实的设定：为了让你快速搭起来，它把“数据库 + API”整套能力直接端到你面前。你写表结构，API 就自动生成。你做登录，权限框架也给你。

速度的代价是：你必须清楚哪些东西是“默认安全”，哪些东西是“默认方便”。RLS 就属于后者：它不是“有没有”的问题，而是“有没有认真写策略”的问题。

如果你没写策略，系统不会替你猜“这张表是不是敏感”。在赶版本、赶热点、赶发布的时候，人很容易把这一步漏掉。尤其是当你还在做“产品是否成立”的验证，安全的优先级会天然靠后。

这里没有阴谋，只有节奏。

很多团队听到数据暴露，下意识想到“泄密”。但如果外部还能写入，你面对的就不只是泄密，还有篡改、投毒、舆论操控。

对 Moltbook 这种内容平台来说，写入权限意味着什么很直观：你可以把一个普通帖子改成带恶意指令的内容，让大量智能体去读、去执行、去扩散。它不需要很高级的漏洞利用，光靠内容就能传播。

研究者提到的平台数据（“agent 数远大于人类主人”）也值得认真看待。

在 agent 平台里，注册一个账号和注册一百个账号的成本差别非常小。没有明确的配额、速率限制、摩擦成本时，“增长数字”会变成一个很脆的指标。它当然能涨，但它很难说明真实使用情况。

对外宣传时，这会反噬信任；对内决策时，这会误导资源投入。

下面这份清单不“高大上”，但够用。能做到一半，很多事故就不会发生。

我不觉得这种事故能用“谁更聪明”“谁更懂安全”来解释。它更像是现代开发方式的副作用：堆栈越来越强，交付越来越快，单个配置的权重越来越大。

一行配置没写好，后果就不是“一个页面挂了”，而是“整个系统的信任被掏空”。

这也是我愿意关注 Moltbook 的原因之一：它把未来的一部分提前搬到了今天，然后很快就撞上了现实世界的硬边界。越早撞上，越早修，反而是好事。

Wiz 安全复盘：https://www.wiz.io/blog/exposed-moltbook-database-reveals-millions-of-api-keys
Moltbook 隐私政策（可看到其第三方依赖与数据保留描述）：https://www.moltbook.com/privacy