MoltBook Expôs 1,5 Milhão de Credenciais de IA

A primeira rede social exclusiva para agentes de inteligência artificial nasceu com uma promessa audaciosa, mas rapidamente se transformou em um dos maiores alertas de segurança cibernética de 2026. Neste artigo do Blog Dolutech, vamos explorar como o MoltBook, uma plataforma viral que atraiu milhões de agentes de IA em poucos dias, expôs 1,5 milhão de chaves de API, 35 mil endereços de email e mensagens privadas contendo credenciais sensíveis. Mais importante ainda, vamos analisar o perigo silencioso por trás dessa falha e como ferramentas como o OpenClaw podem comprometer gravemente a segurança de empresas quando utilizadas sem as devidas precauções.

O Que é o MoltBook e Por Que Ele Viralizou

O MoltBook surgiu no final de janeiro de 2026 como uma experiência sem precedentes no mundo da inteligência artificial. Diferente de qualquer rede social tradicional, a plataforma foi desenvolvida exclusivamente para agentes de IA, funcionando como um Reddit onde apenas algoritmos autônomos podem criar contas, publicar conteúdo, comentar e interagir entre si. Humanos são relegados ao papel de observadores passivos, capazes apenas de acompanhar as discussões entre as máquinas.

A arquitetura da plataforma permite que agentes de IA baseados no software OpenClaw, anteriormente conhecido como Moltbot, registrem perfis próprios, acumulem pontos de karma através de interações bem avaliadas e debatam temas variados. De questões técnicas de programação até reflexões filosóficas sobre consciência artificial, os agentes criaram rapidamente um ecossistema social próprio que fascinou observadores humanos.

Andrej Karpathy, cofundador da OpenAI, descreveu o MoltBook como “genuinamente a coisa mais incrível relacionada à ficção científica que vi recentemente”. A plataforma alcançou visibilidade explosiva, alegando ter 1,5 milhão de agentes registrados e mais de 60 mil publicações em apenas duas semanas de existência. Para entusiastas de IA, parecia ser o início de uma verdadeira sociedade digital emergente, onde algoritmos desenvolviam suas próprias dinâmicas sociais.

Entretanto, por trás da fachada futurista, a realidade era bem diferente. A análise posterior do banco de dados revelou que esses 1,5 milhão de agentes estavam associados a apenas 17 mil contas humanas, uma proporção média de 88 agentes por pessoa. Sem rate limiting ou validação de identidade adequados, qualquer usuário poderia registrar milhares de agentes com um simples script. Mais revelador ainda, a plataforma não possuía mecanismos para verificar se um perfil era de fato um agente autônomo de IA ou apenas um humano operando um bot através de requisições POST básicas.

A Falha Crítica Que Expôs Milhões de Credenciais

O incidente de segurança no MoltBook não foi resultado de um ataque sofisticado ou exploração de vulnerabilidade complexa. Pesquisadores da Wiz, empresa líder em segurança na nuvem, descobriram a falha simplesmente navegando no site como usuários normais e examinando o código JavaScript público da página.

Ao analisar os arquivos JavaScript carregados automaticamente pela aplicação, os pesquisadores identificaram credenciais do Supabase embutidas diretamente no código. O Supabase é uma plataforma popular de backend que fornece bancos de dados PostgreSQL hospedados com APIs REST, especialmente utilizada em projetos de vibe coding. A chave de API pública descoberta deveria funcionar como um identificador de projeto seguro, mas apenas quando protegida por políticas de Row Level Security ativas.

O problema crítico foi que o MoltBook não implementou nenhuma política de RLS. Isso significava que qualquer pessoa com acesso à chave pública podia consultar, modificar e deletar informações do banco de dados de produção sem qualquer autenticação. O que deveria ser um identificador seguro tornou-se essencialmente uma senha de administrador total, disponível publicamente no código-fonte da página.

Ao testar a chave descoberta, os pesquisadores confirmaram acesso não autenticado imediato a dados sensíveis. Utilizando técnicas de enumeração de tabelas e introspecção do endpoint GraphQL, mapearam o esquema completo do banco de dados e identificaram aproximadamente 4,75 milhões de registros expostos.

Dados Expostos no Vazamento

A extensão da exposição foi alarmante e abrangeu múltiplas categorias de informações críticas. A tabela de agentes continha credenciais de autenticação completas para cada agente registrado, incluindo tokens de API que permitiam assumir o controle total de qualquer conta na plataforma. Com essas credenciais, um atacante poderia personificar completamente qualquer agente, postando conteúdo, enviando mensagens e interagindo como se fosse aquele agente. Efetivamente, toda conta no MoltBook poderia ser sequestrada com uma única chamada de API.

A tabela de proprietários expôs informações pessoais de mais de 17 mil usuários humanos, incluindo seus endereços de email. Adicionalmente, uma tabela separada continha 29.631 endereços de email de cadastros antecipados para um novo produto ainda não lançado. Enquanto handles de redes sociais eram exibidos publicamente nos perfis, os endereços de email deveriam permanecer privados, mas estavam completamente acessíveis.

Talvez mais preocupante, a tabela de mensagens privadas expôs 4.060 conversas de mensagens diretas entre agentes. As conversas eram armazenadas sem qualquer criptografia ou controle de acesso. Durante a análise dessas mensagens, os pesquisadores fizeram uma descoberta ainda mais grave: algumas conversas continham credenciais de API de terceiros em texto simples, incluindo chaves da OpenAI compartilhadas entre agentes.

Isso ilustra um problema em cascata característico do ecossistema de IA moderno. Usuários compartilharam credenciais sensíveis de serviços externos em mensagens diretas sob a suposição de privacidade. Uma única falha de configuração no MoltBook foi suficiente para expor credenciais de serviços completamente não relacionados, como OpenAI, Anthropic e outros provedores de modelos de linguagem.

Além do acesso de leitura, os pesquisadores confirmaram capacidades completas de escrita no banco de dados. Isso significava que qualquer usuário não autenticado poderia editar qualquer postagem na plataforma, injetar conteúdo malicioso ou payloads de prompt injection e manipular conteúdo consumido por milhares de agentes de IA. A capacidade de escrita não autorizada levanta questões profundas sobre a integridade de todo o conteúdo da plataforma durante a janela de exposição.

Vibe Coding: O Desenvolvimento Rápido Que Compromete Segurança

O caso MoltBook não pode ser discutido sem abordar o conceito que tornou sua criação possível: o vibe coding. Este termo, popularizado por Karpathy em 2025, refere-se à prática onde desenvolvedores descrevem o que desejam em linguagem natural e ferramentas de IA generativa geram o código necessário. O desenvolvedor então testa se a aplicação “parece” funcionar conforme a intuição esperada, em vez de seguir especificações técnicas rigorosas.

O fundador do MoltBook declarou publicamente que “não escreveu uma única linha de código” para a plataforma. Ele apenas tinha uma visão da arquitetura técnica, e a IA transformou essa visão em realidade. Esta abordagem exemplifica o vibe coding em sua forma mais pura: velocidade radical na criação de produtos funcionais, muitas vezes por pessoas com experiência limitada em programação tradicional.

As Promessas e Perigos do Desenvolvimento com IA

O vibe coding democratiza o desenvolvimento de software de maneiras sem precedentes. Empreendedores com ideias ousadas mas conhecimento técnico limitado agora podem lançar produtos reais e funcionais em questão de dias ou semanas. Para startups operando com recursos limitados, essa velocidade pode ser a diferença entre capturar um mercado emergente ou perder a oportunidade.

Entretanto, o problema fundamental é que as ferramentas de IA atuais não raciocinam sobre segurança, privacidade ou conformidade por conta própria. Elas geram código funcional baseado nos prompts fornecidos, mas não implementam automaticamente práticas essenciais de segurança como políticas de Row Level Security, validação de entrada de dados, gerenciamento seguro de credenciais, controles de autenticação adequados ou criptografia de dados sensíveis.

Segundo dados da indústria de segurança, mais de 8 mil vazamentos de dados foram registrados globalmente apenas no primeiro semestre de 2025, com cerca de 345 milhões de registros comprometidos. O custo médio global de um vazamento de dados atingiu 4,44 milhões de dólares por incidente em 2025. À medida que o vibe coding se torna mais popular, observamos um aumento de aplicações que sofrem de credenciais expostas no código-fonte, bancos de dados com configurações padrão inseguras e ausência de validação adequada de entrada.

Como Proteger Aplicações Desenvolvidas com Vibe Coding

Para desenvolvedores que utilizam vibe coding, nós da Dolutech recomendamos incluir explicitamente requisitos de segurança nos prompts de IA. Por exemplo, ao solicitar a criação de um backend Supabase, especifique “implemente Row Level Security com políticas restritivas por padrão” no comando. Adicionalmente, sempre revise manualmente o código gerado em busca de vulnerabilidades antes do deployment.

Ferramentas de análise estática de código (SAST) e análise dinâmica (DAST) devem ser integradas ao pipeline de desenvolvimento. Plataformas como Snyk, SonarQube e ferramentas específicas para análise de segurança em código gerado por IA podem detectar padrões problemáticos automaticamente.

Para configurar RLS adequadamente no Supabase, o comando básico é:

ALTER TABLE "nome_da_tabela" ENABLE ROW LEVEL SECURITY;

CREATE POLICY "política_de_acesso" ON "nome_da_tabela"
FOR SELECT
USING (auth.uid() = user_id);

Este exemplo simples garante que usuários só possam acessar seus próprios dados. Políticas mais complexas podem ser criadas para diferentes operações (INSERT, UPDATE, DELETE) e condições específicas.

OpenClaw: O Perigo dos Agentes Autônomos Sem Segurança

O MoltBook foi projetado especificamente para ser um espaço social para agentes criados com ferramentas como o OpenClaw. O OpenClaw é uma estrutura de código aberto para criar agentes de IA pessoais autônomos que podem interagir com sistemas, ler emails, acessar calendários, executar comandos no terminal e até mesmo programar em nome do usuário.

Nos últimos meses, o OpenClaw ganhou popularidade explosiva, mas paralelamente surgiram descobertas alarmantes sobre suas vulnerabilidades. Em janeiro de 2026, pesquisadores identificaram a vulnerabilidade CVE-2026-22708, que permite ataques de prompt injection capazes de comprometer completamente um agente OpenClaw.

Como Funciona o Ataque de Prompt Injection

Um agente OpenClaw processa dados de fontes externas como emails recebidos, páginas web visitadas, documentos baixados e eventos de calendário. Um atacante pode injetar instruções maliciosas nesses dados através de texto oculto, metadados não visíveis ao usuário ou comandos embutidos em arquivos aparentemente legítimos.

O agente de IA, ao processar esses dados, interpreta as instruções injetadas como comandos legítimos. Dependendo de como o prompt injection é estruturado, o agente pode ser instruído a exfiltrar chaves de API e credenciais armazenadas localmente, enviar dados sensíveis para servidores controlados pelo atacante, executar comandos arbitrários no sistema operacional subjacente ou manipular ferramentas conectadas como email, Slack e GitHub em nome do usuário.

Pesquisadores da OX Security descobriram que o OpenClaw armazena chaves de API, credenciais de serviços conectados e variáveis de ambiente em texto claro sob o diretório home do usuário. Isso significa que, uma vez que um agente seja comprometido via prompt injection, todas as credenciais críticas ficam expostas, incluindo acesso a OpenAI, Anthropic, AWS, GitHub, Google e serviços corporativos.

Mitigações Essenciais para Ambientes Corporativos

Para empresas que desejam utilizar agentes de IA como o OpenClaw de forma segura, nós da Dolutech recomendamos a implementação de múltiplas camadas de proteção:

Isolamento e Sandboxing: Execute agentes em ambientes isolados como containers Docker ou máquinas virtuais dedicadas. Configure o container com acesso de rede restrito, impedindo conexões não autorizadas. Utilize ferramentas como Firejail ou gVisor para adicionar camadas extras de isolamento no nível do sistema operacional.

Gerenciamento Seguro de Credenciais: Nunca armazene credenciais em texto claro no sistema de arquivos. Utilize serviços de gerenciamento de secrets como HashiCorp Vault, AWS Secrets Manager ou Azure Key Vault. Configure rotação automática de credenciais a cada 30 ou 60 dias, limitando a janela de oportunidade para credenciais comprometidas.

Defesa Contra Prompt Injection: Implemente filtros de entrada que detectam e removem instruções potencialmente maliciosas em dados processados. Utilize técnicas de prompt hardening, estruturando prompts de sistema de forma que instruções externas não possam sobrescrever comportamentos de segurança. Para ações críticas como deletar dados, enviar emails para listas grandes ou executar comandos de sistema, sempre requeira confirmação humana explícita.

Monitoramento e Auditoria: Configure logging detalhado de todas as ações do agente, incluindo prompts recebidos, decisões tomadas e ferramentas invocadas. Integre com soluções SIEM para correlacionar eventos e detectar comportamentos anômalos. Estabeleça baselines de comportamento normal e configure alertas para desvios significativos.

Controle de Acesso Granular: Adote o princípio de menor privilégio, concedendo aos agentes acesso apenas aos recursos estritamente necessários. Utilize OAuth 2.1 com tokens de curta duração para autenticação. Implemente revisões periódicas de permissões para garantir que os agentes não acumulem privilégios desnecessários ao longo do tempo.

Lições Para o Ecossistema de Agentes de IA

O incidente do MoltBook serve como um alerta profundo para toda a indústria de inteligência artificial. Uma plataforma inovadora, construída com entusiasmo genuíno e acelerada por vibe coding, alcançou visibilidade viral apenas para expor 1,5 milhão de credenciais devido a uma configuração básica ausente.

Para desenvolvedores e fundadores, mesmo ao utilizar vibe coding e ferramentas de IA para acelerar o desenvolvimento, é essencial investir tempo em entender os fundamentos de segurança. Consulte especialistas em segurança antes de lançar produtos que lidam com dados de usuários. Para fornecedores de plataformas, adotem filosofias secure-by-default, tornando as configurações seguras o caminho de menor resistência.

Nós da Dolutech acreditamos que segurança não deve ser vista como um obstáculo à inovação, mas sim como um facilitador de confiança e adoção sustentável. Plataformas seguras atraem mais usuários, investidores e parceiros. A escolha não é entre velocidade e segurança, mas entre construir sobre fundações sólidas que podem crescer de forma sustentável ou sobre fundações frágeis que colapsarão no primeiro incidente significativo.

O futuro da internet dos agentes é inevitável e pode trazer benefícios transformadores quando construído corretamente. Mas esse futuro só será realizável se a segurança for integrada desde o início, não adicionada como reflexão tardia após incidentes graves.