Утечка 1.5M API-ключей в Moltbook: риски облачных AI-агентов | AiManual
AiManual Logo Ai / Manual.
03 Фев 2026 Новости

Moltbook сдал 1.5 млн ключей: облачные агенты оказались дырявым ведром

Скандальная утечка через Supabase в Moltbook показала, почему локальные модели безопаснее облачных агентов. Разбор архитектурной ошибки и её последствий.

Ключи OpenAI, приватные диалоги, доступ к почте - всё это утекло за одну ночь

Простое правило: если ваш AI-агент работает в облаке, он уже скомпрометирован. Не завтра, не через месяц - прямо сейчас. История с Moltbook это доказывает железобетонно.

Вчера, 2 февраля 2026 года, через уязвимость в Supabase базе данных утекло 1.5 миллиона API-ключей пользователей Moltbook. Не просто ключи - вместе с ними приватные диалоги, доступ к почтовым ящикам, токены доступа к GitHub и другим сервисам. Весь тот компромат, который пользователи доверяли "умному" ассистенту.

То, что произошло с Moltbook - не исключение. Это правило для любой архитектуры, где агент работает на удалённых серверах. Ваши данные уже в открытом доступе, просто вы об этом не знаете.

Как сломали "безопасную" архитектуру за 15 минут

Moltbook позиционировал себя как безопасную платформу для AI-агентов. Они даже писали в блоге про защиту от prompt injection (кстати, у нас есть разбор реального случая с их же платформы). Но безопасность закончилась там, где началась лень.

Вот что произошло:

  • База данных Supabase была настроена с публичным доступом (потому что "так быстрее")
  • API-ключи хранились в открытом виде (потому что "никто не найдёт")
  • Токены доступа к сторонним сервисам - рядом с ключами (потому что "удобно")
  • Приватные диалоги пользователей - в той же таблице (потому что "архитектура")

Нашли уязвимость? Её не искали. Просто один исследователь проверял публичные Supabase инстансы и наткнулся на золотую жилу.

"Но у нас же есть защита!" - говорили они перед взломом

Самое смешное (если это слово уместно) - у Moltbook действительно были механизмы безопасности. Они блокировали попытки prompt injection, проверяли выходные данные агентов, даже пытались изолировать доступ к файловой системе. Но все эти защиты работали на уровне приложения, пока фундамент гнил.

💡
Защита от prompt injection не спасает, когда база данных открыта для всего интернета. Это как ставить бронированную дверь в картонном доме.

Пока вы читаете статьи про защиту от инъекций через промпты, кто-то просто забирает ваши данные через бэкдор в базе.

Локальные модели: скучно, медленно, зато не утекает

Вот вам простая математика:

Облачный агент Локальная модель
Данные уходят в 5+ сервисов Данные никуда не уходят
10 точек отказа безопасности 1 точка (ваш компьютер)
Утечка = катастрофа Утечка = физический доступ к ПК
Зависимость от интернета Работает оффлайн

Да, локальные модели медленнее. Да, они требуют железа. Но они не отправляют ваши приватные диалоги в OpenAI, не хранят их в публичных базах данных, не передают третьим лицам "для улучшения сервиса".

Если вам интересно, как заставить современные локальные модели работать - почитайте про Kilo Code и Devstral-Small-2 на трёх 3090. Это не магия, просто инженерная работа.

"Но агентам нужен доступ к интернету!" - нет, не нужен

Самый распространённый миф: агент без облака - не агент. Чушь.

Локальный агент может:

  • Читать ваши локальные файлы (без отправки в облако)
  • Анализировать код в IDE (без фиксации в чужой БД)
  • Работать с локальными базами данных
  • Выполнять shell команды (с контролем через песочницы)

Если действительно нужен интернет - настройте прокси с белым списком доменов. Но 90% задач агента решаются локально.

Архитектурный выбор: доверять или контролировать

После вчерашнего скандала с Moltbook выбор стал очевиден:

  1. Полный локальный запуск: модель, агент, данные - всё на вашем железе. Пример архитектуры в статье про десктоп-агентов с доступом к файлам.
  2. Гибрид с чётким разделением: локальная модель + облачные сервисы только через API с ограничениями. Но это сложнее, чем кажется.
  3. Полный отказ от агентов: если безопасность критична, может быть, вам не нужен AI с доступом к данным?

Запомните: каждый API-ключ в облачном агенте - это потенциальная утечка. Каждый токен доступа - дыра в безопасности. Каждый приватный диалог - будущий публичный скандал.

Что делать прямо сейчас

Если вы используете облачных агентов:

  • Отзовите все API-ключи, которые давали агентам
  • Смените пароли ко всем связанным сервисам
  • Проверьте историю использования ключей (OpenAI Dashboard покажет подозрительную активность)
  • Рассмотрите переход на локальные модели

Если разрабатываете агентов:

  • Никогда не храните ключи в базе данных
  • Используйте шифрование на уровне приложения
  • Реализуйте централизованный контроль доступа
  • Тестируйте безопасность не только промптов, но и инфраструктуры

Будущее за локальными агентами - потому что другого выбора нет

Moltbook - не первый и не последний. За последний год подобные утечки случались с тремя крупными платформами. Разница только в масштабе и публичности.

Облачные агенты удобны. Быстры. Дешёвы в разработке. Но они фундаментально небезопасны, потому что их архитектура предполагает доверие к чужой инфраструктуре. А доверять в 2026 году уже нельзя.

Локальные модели требуют работы. Нужно разбираться с аппаратурой, оптимизировать инференс, бороться с вечными циклами (если интересно - тут про Cline и Goose). Но они дают контроль. Настоящий контроль, когда ваши данные остаются вашими.

После вчерашнего дня 1.5 миллиона пользователей Moltbook поняли эту разницу. Надеюсь, вы поймёте раньше, чем ваши ключи окажутся в следующей утечке.

На главную