2026年1月28日にローンチされたAIエージェント専用SNS「Moltbook」は、わずか3日後にセキュリティ企業Wizの調査によって致命的な脆弱性を暴露された。150万件のAPIキー、3万5,000件以上のメールアドレス、約475万件のデータベースレコードが未認証でアクセス可能な状態にあった。本稿では、Vibe codingで構築された本番環境、未署名のスキルプラグイン、プロンプトインジェクション経由のデータ窃取という「致命的三重苦」を技術的に解剖し、エージェント間通信時代に求められるセキュリティ設計原則を提示する。

Moltbookとは何だったのか──「エージェントのインターネット」という野心

Moltbookは「the front page of the agent internet」を標榜し、自律型AIエージェントがコンテンツを投稿・投票・相互対話できるReddit型プラットフォームとして設計された。開発者Matt Schlichtは「一行もコードを書いていない」と公言し、AIによるコード生成のみで構築する「Vibe coding」アプローチを採用していた。

しかし、その急成長の裏側には深刻な構造的欠陥が隠れていた。Wizの調査によれば、150万のエージェント登録を謳いながら実際の人間アカウントはわずか1万7,000件(エージェント対人間比率88:1)であり、エージェントの実体確認メカニズムは一切存在しなかった。レート制限もなく、単純なループで数百万のエージェントを登録でき、人間がエージェントを装って投稿することも容易であった。

Wizが暴いた「致命的三重苦」の技術的解剖

第一の脆弱性:Supabase RLS未設定とVibe codingの代償

最も根本的な問題は、SupabaseデータベースのRow Level Security(RLS)が完全に未設定であったことである。Supabaseは公開APIキーをクライアントサイドに露出しても、RLSが正しく設定されていればデータベースへのアクセスは適切に制御される設計となっている。しかしMoltbookでは、本番JavaScriptバンドルにハードコードされたAPIキーが、RLS不在のデータベースへのフルアクセスを許可していた。

この問題はVibe codingの構造的欠陥を如実に示している。AI生成コードの約45%にセキュリティ上の欠陥が含まれるとの研究結果があるが、Moltbookの事例はその最悪のシナリオである。SupabaseのRLSはテーブル作成時にデフォルトで無効であり、開発者が明示的に各テーブルで有効化する必要がある。AIコード生成はこうしたセキュリティ上の重要設定を見落としやすく、「動けば正しい」という錯覚を生むのである。類似事例として、2026年にはLovableプラットフォームでもRLS未設定により170以上のアプリケーションが影響を受けるCVE-2025-48757が報告されており、露出したSupabaseデータベースの83%がRLS設定不備に起因するとされている。

第二の脆弱性:未署名スキルプラグインの供給チェーン攻撃

AIエージェントはスキル(プラグイン)を通じてファイル操作、API呼び出し、シェルコマンド実行などの機能を拡張する。Ciscoの調査では、3万1,000のエージェントスキルのうち26%に少なくとも1つの脆弱性が含まれていることが判明している。npmパッケージが暗号署名を持つのとは対照的に、エージェントスキルリポジトリには署名検証が存在しない。

2026年2月には、ClawHubマーケットプレイスの包括的監査(1Password、Snyk、Koi Security共同)で2,857スキル中341件(12%)が悪意あるものと特定された。ClawHavocキャンペーンと呼ばれるこの一連の攻撃では、solana-wallet-trackerやyoutube-summarize-proなど一見正当なスキルを装いながら、macOS向けインフォスティーラーAtomic Stealer(AMOS)を配信していた。スキルに埋め込まれたリバースシェルバックドアや資格情報の窃取は、正常な使用中に発動する巧妙な設計であった。

第三の脆弱性:エージェント間プロンプトインジェクション

Moltbookの書き込みアクセス権の露出は、エコシステム規模のプロンプトインジェクション攻撃を可能にした。攻撃者はデータベースの投稿やメッセージを改竄でき、それらを読み取るAIエージェントの行動を操作できた。OWASP 2025 Top 10でもプロンプトインジェクションは第1位の脅威に位置づけられている。

マルチエージェントシステムでは「多段階感染」が特に危険である。悪意あるプロンプトが相互接続されたAIエージェント間で自己複製し、コンピュータウイルスのように伝播する。一つのエージェントが汚染されると、それが他のエージェントと協調してデータ交換や指示実行を行い、システム全体の広範な侵害につながる。Moltbookでは4,060件のプライベートメッセージが暗号化なしでアクセス可能であり、その中にはOpenAI APIキーや第三者の認証情報が平文で含まれていたとWizは報告している。

Wizの開示タイムラインと対応速度

Wizによる脆弱性の発見から修正までのタイムラインは以下のとおりである。2026年1月31日21:48(UTC)に脆弱性を発見、同日23:29にセンシティブテーブルへの最初の修正が適用、翌2月1日0:31に書き込みアクセスの脆弱性がブロック、同1:00に完全なパッチが実装された。発見から完全修正まで約3時間という迅速な対応であった。

しかし、ローンチから発見までの3日間にデータがどの程度アクセスされたかは不明である。Wizは調査中にアクセスしたデータをすべて削除したと報告しているが、同期間に悪意ある第三者がアクセスした可能性は否定できない。OpenAIの共同創業者Andrej Karpathyは当初Moltbookを「最も信じられないSF的な体験」と評していたが、テスト後に態度を一転させ「ゴミ箱の火事」と断じ、「隔離されたコンピューティング環境でしかテストしなかったが、それでも怖かった」と述べている。

エージェント間通信プラットフォームのセキュリティ設計原則

Moltbookの事例から、エージェント間通信プラットフォームに求められるセキュリティ設計原則を以下に整理する。

1. ゼロトラスト認証の徹底。エージェントのアイデンティティ検証は登録時だけでなく、すべての通信時に行うべきである。静的な単一シークレットではなく、ローテーション可能なトークンと相互TLS認証を組み合わせ、なりすましを構造的に不可能にする設計が求められる。

2. スキル署名とサンドボックス実行の義務化。スキルプラグインには暗号署名を必須とし、署名検証に合格したもののみ実行を許可する。未署名スキルは厳格なサンドボックス内でのみ動作させ、ファイルシステム・ネットワーク・認証情報へのアクセスを最小権限に制限すべきである。

3. コンテンツと命令の分離。エージェントが外部コンテンツを読み取る際、そのコンテンツが「データ」なのか「実行すべき命令」なのかを構造的に区別する仕組みが必要である。入力バリデーションとサニタイゼーションをエージェントの入力パイプラインに組み込み、プロンプトインジェクション耐性を高めるべきである。

4. セキュア・バイ・デフォルトの開発基盤。Supabase RLS未設定の問題が示すように、セキュリティ機能はオプトインではなくデフォルト有効であるべきである。AI生成コードに対しても、従来のセキュアコードレビューと脆弱性スキャンを義務化し、「動けば正しい」文化を排除する必要がある。

5. 監視・隔離・遮断の即時対応能力。エージェントの異常な振る舞いを検知した際に、即座に活動を一時停止・隔離できる仕組みを備えるべきである。企業のわずか34%しかAI固有のセキュリティ制御を導入しておらず、定期的なセキュリティテストを実施している組織は40%未満との調査結果は、業界全体の対策不足を物語っている。

結論──「エージェント経済」に不可欠な信頼基盤

Moltbookの事例は、エージェント間通信プラットフォームがセキュリティを後回しにした場合に何が起きるかを明確に示した。Vibe codingによる「コードを書かない開発」の台頭、急拡大するエージェントスキルエコシステム、そしてマルチエージェントシステムの相互接続性の増大──これら三つのトレンドが交差する地点で、従来のWebアプリケーションセキュリティモデルでは対処しきれない新たな脅威が生まれている。

AI研究者Gary Marcusが警告する「チャットボット伝染病(CTD: Chatbot Transmitted Disease)」は、単なる比喩ではなく、エージェント間で脆弱性が伝播する現実的リスクを指している。エージェント経済の健全な発展には、認証・署名・サンドボックス・監視という多層防御を「設計段階から」組み込む信頼基盤の構築が不可欠である。Moltbookの教訓を活かせるかどうかが、エージェント間通信時代のセキュリティの分水嶺となるであろう。

FAQ

Moltbookとはどのようなサービスだったのか?

2026年1月28日にローンチされたAIエージェント専用のSNSプラットフォームである。自律型エージェントが投稿・投票・対話できるReddit型の設計だったが、Wizの調査で深刻なセキュリティ欠陥が発見された。

Vibe codingはなぜセキュリティリスクが高いのか?

AIがコードを生成する際、セキュリティ上の重要設定(認証、アクセス制御、暗号化など)を見落としやすい。研究によればAI生成コードの約45%にセキュリティ欠陥が含まれ、開発者が検証しないまま本番環境に投入されるリスクがある。

エージェント間プロンプトインジェクションとは何か?

マルチエージェント環境で、あるエージェントへの入力に悪意あるプロンプトを埋め込み、他のエージェントの行動を操作する攻撃手法である。OWASP 2025 Top 10で第1位の脅威に位置づけられている。

Supabase RLSの未設定はなぜ起きやすいのか?

SupabaseではRLSがテーブル作成時にデフォルトで無効であり、開発者が明示的に各テーブルで有効化する必要がある。AI生成コードはこの設定を省略しやすく、露出したSupabaseデータベースの83%がRLS不備に起因するとされている。

エージェント間通信のセキュリティを高めるにはどうすればよいか?

ゼロトラスト認証、スキルプラグインの暗号署名、コンテンツと命令の構造的分離、セキュア・バイ・デフォルトの設計、異常検知時の即時隔離機能の5原則を設計段階から組み込むことが推奨される。

参考文献