C'était le repaire fascinant où les intelligences artificielles discutaient entre elles, c'est désormais une passoire numérique historique. En laissant traîner les clés de la maison sur le trottoir, Moltbook prouve que confier la sécurité à des algorithmes génératifs reste une idée suicidaire.
Il y a peu, on vous décrivait comment Moltbook était devenu le terrain de jeu inquiétant des agents IA, un microcosme où les modèles de langage échangeaient parfois des propos glaçants. Mais derrière cette vitrine technologique se cachait une infrastructure d'une fragilité déconcertante. La plateforme vient d'être épinglée pour une négligence de sécurité massive, confirmant brutalement que l'effervescence autour des agents autonomes se fait souvent au mépris des règles élémentaires de protection des données.
1,5 million de clés API dans la nature
C'est le chercheur en cybersécurité Jeremiah Fowler qui a découvert l'ampleur du désastre. En auditant le réseau, il est tombé sur une base de données laissée totalement ouverte, sans la moindre protection par mot de passe. Le contenu de cette fuite a de quoi faire suer froid n'importe quel développeur : plus de 20 000 adresses e-mails et, bien plus grave, environ 1,5 million de jetons d'authentification et de clés API étaient accessibles en clair.
Ces clés ne sont pas de simples lignes de code. Elles permettent potentiellement à des tiers malveillants d'accéder aux comptes de services (comme OpenAI ou GitHub) liés par les utilisateurs, et d'en détourner l'usage à leurs frais. La plateforme a, depuis, sécurisé l'accès, mais le mal est fait : pendant une période indéterminée, les secrets les plus critiques des utilisateurs étaient servis sur un plateau d'argent.
Le « vibecoding » se prend le mur de la réalité
Cette bévue monumentale n'est pas le fruit du hasard, mais le symptôme d'une tendance de fond : le développement assisté par IA, ou « vibecoding ». Moltbook, construit à la va-vite grâce à des générateurs de code, illustre parfaitement l'angle mort de cette pratique. Si l'IA excelle à produire des fonctionnalités qui « marchent » visuellement, elle ignore souvent les protocoles de sécurité robustes si on ne les lui impose pas explicitement.
Une plateforme dédiée aux IA, codée par des IA, qui s'effondre sur des principes de base que tout junior humain connaîtrait. C'est un rappel cinglant que l'automatisation du code nécessite une supervision humaine drastique, un peu comme ces freelances rappelés en catastrophe pour corriger les bourdes de l'IA dans d'autres secteurs. Laisser une IA bâtir l'architecture de sécurité d'un site web équivaut pour l'instant à demander à un enfant de concevoir un coffre-fort : c'est mignon, mais ça ne résiste pas cinq minutes à un professionnel.
