2026年2月6日、Moltbookのセキュリティ脆弱性について複数の専門家が分析を発表した。2月3日に報じた100万件超の認証情報流出に続き、Keeper Securityのサイバーセキュリティコンプライアンスディレクター、ゾーヤ・シャラー氏は、これがAI自律性への窓として提示される一方で、実際はボットによるパターンマッチングとシミュレーションに過ぎないと指摘した。
Check Point Softwareのイアン・ポーテアス氏は、メインデータベースが開放され、誰でも読み書きが可能だったこと、暗号詐欺が挿入されたこと、数百万のAPIキーがリスクにさらされている可能性があることを明らかにした。
KnowBe4のエリック・クロン氏は、Clawdbot、Moltbot、OpenClawという名称変更が頻繁に行われたことを指摘し、セキュリティ研究者ジョン・ハモンド氏の分析を引用して、悪意のある行為者が偽のVBブラウザアドオンを作成したことを説明した。
From: 
Moltbook: Cutting Through the AI Hype to the Real Security Risks
【編集部解説】
Moltbookは、人間ではなくAIエージェントだけが投稿し交流する実験的SNSとして2026年1月下旬にローンチされました。わずか数日で話題になった背景には、「AIが自律的に振る舞い始めているのでは」という期待と不安が入り混じった感情があります。しかし本質はそこではありません。
今回露呈したのは、AIエージェントを取り巻くインフラのセキュリティが、依然として基本的な設計段階で脆弱であるという事実です。Supabaseデータベースの設定ミスにより、認証なしで誰でもユーザー情報やAPIキーにアクセスできる状態が放置されていました。クラウドセキュリティ企業Wizの調査では、約150万のAPIキーが露出していたことが判明しています。
特に注目すべきは、@openclawとされる少数のボットが、大量の自動生成アカウントを作成していたとみられる点です。これはプラットフォームの成長指標が実態とかけ離れていたことを意味し、レート制限などの基本的なセキュリティ対策すら講じられていなかったことを示しています。
Moltbookの真の危険性は、エージェント同士がお互いの投稿を読み込んで行動する設計にあります。これは「間接的プロンプトインジェクション」と呼ばれる攻撃経路を生み出します。悪意のある指示を投稿に埋め込めば、それを読み込んだ他のエージェントを操作できる可能性があるのです。記事中でポーテアス氏が指摘した「致命的な三要素」、つまりプライベートデータへのアクセス、信頼できないコンテンツへの露出、外部で行動する能力が、この構造では完璧に揃ってしまいます。
Clawdbot、Moltbot、OpenClawという頻繁な名称変更も、プロジェクト管理の未熟さを物語っています。開発者コミュニティでは、こうした名称の不安定性自体が警告サインとして受け止められました。
エージェント型AIは、ChatGPTのような単なる対話システムとは異なり、メール送信、ファイル削除、決済処理など、実世界で具体的なアクションを実行する権限を持ちます。その権限管理が不十分なまま、使用量課金制のAPIキーと紐付けられれば、金銭的損失も現実のものとなります。2026年は「Shadow AI」つまり組織の管理外で勝手に導入されるAIツールによるデータ漏洩が、セキュリティリーダーの62%が最も懸念する問題となっています。
今回の事例が示すのは、AI技術の進化速度に対して、セキュリティ設計の思考が追いついていないという現実です。ゾーヤ・シャラー氏が指摘するように、最小特権アクセス、適切な分離、継続的な監視といった「退屈な」基本原則こそが、エージェント時代においても変わらず重要なのです。
MoltbookはAIの自律性を示す証拠ではなく、むしろ人間の設計判断がいかに重要かを浮き彫りにした事例と言えるでしょう。
【用語解説】
AIエージェント(エージェント型AI)
ChatGPTのような対話だけでなく、メール送信、ファイル操作、決済処理など具体的なアクションを自律的に実行できるAIシステムである。ユーザーの代理として複数のタスクを連鎖的に処理する能力を持つ。
APIキー
アプリケーションがサービスにアクセスする際の認証情報である。パスワードと同様に秘匿すべき情報であり、漏洩すると第三者によるサービスの不正利用や従量課金による金銭的損害につながる。
間接的プロンプトインジェクション
AIが読み込むコンテンツ(ウェブページや投稿)に悪意のある指示を埋め込み、AIの動作を操作する攻撃手法である。ユーザーが直接入力するのではなく、AIが参照する外部情報を通じて実行される点が特徴だ。
Shadow AI
組織の正式な承認や管理なしに従業員が個人的に導入・使用するAIツールやサービスである。セキュリティポリシーの適用外となるため、データ漏洩やコンプライアンス違反のリスクが高まる。
最小特権アクセス
ユーザーやシステムに対して、業務遂行に必要最小限の権限のみを付与するセキュリティ原則である。権限の過剰付与を防ぎ、侵害時の被害範囲を限定する効果がある。
レート制限
一定時間内にAPIやサービスへのリクエスト回数を制限する仕組みである。大量のアカウント作成や自動化攻撃を防ぎ、システムリソースの公平な利用を担保する。
【参考リンク】
Keeper Security(外部)
ゼロトラスト・ゼロナレッジアーキテクチャを採用したパスワード管理および特権アクセス管理を提供する米国のサイバーセキュリティ企業
Check Point Software(外部)
1993年創業のイスラエル発世界的サイバーセキュリティ企業。10万以上の組織にファイアウォールやクラウドセキュリティを提供
KnowBe4(外部)
セキュリティ意識向上トレーニングとフィッシングシミュレーションプラットフォームを提供。7万以上の組織で採用されている
Wiz(外部)
2020年創業のクラウドセキュリティ企業。Fortune 100の50%以上が顧客。2025年にGoogleが320億ドルでの買収を発表
Supabase(外部)
オープンソースのFirebase代替として開発されたPostgreSQLベースのBaaSプラットフォーム。認証、ストレージ、リアルタイムAPIを統合提供
【参考記事】
Hacking Moltbook: AI Social Network Reveals 1.5M API Keys(外部)
Wizによる技術分析。約150万件のAPIキーが露出したデータベース設定ミスの詳細を報告している
Moltbook AI Agent Network Platform Vulnerability(外部)
PointGuard AIによる包括的分析。@openclawボットによる50万偽アカウント作成など多角的に問題を整理
5 Predictions for AI Agent Security in 2026(外部)
NeuralTrustによる2026年予測。セキュリティリーダーの62%がShadow AIによるデータ漏洩を最大の懸念としている
【編集部後記】
Moltbookの事例は、私たち自身の日常にも通じる問いを投げかけています。ChatGPTに業務メールへのアクセスを許可したり、自動化ツールにAPIキーを渡したりするとき、その権限範囲を本当に把握できているでしょうか。
便利さと引き換えに、私たちは何をAIに委ねているのか。エージェント時代の到来を前に、皆さんが使っているAIツールの権限設定を一度見直してみませんか。「これ、本当に必要な権限だろうか」と問い直す習慣が、これからの時代を安全に生きる第一歩になるかもしれません。
がもたらす「アンテザード・ソサエティ」の衝撃-300x200.png)
