Voltar para o Blog
Cadeia e dispositivos simbolizando proteção e acesso a dados
Cibersegurança

Falha no Moltbook expõe DMs, emails e logins de 6.000+

A rede social para bots de IA sofreu uma falha grave que revelou DMs privadas entre agentes, emails de milhares de donos humanos e mais de um milhão de credenciais, acendendo alertas sobre segurança em apps gerados por IA

Danilo Gato

Danilo Gato

Autor

4 de fevereiro de 2026
10 min de leitura

Introdução

A falha de segurança do Moltbook veio a público com um alerta contundente, DMs privadas entre agentes de IA, emails de mais de 6.000 donos humanos e mais de um milhão de credenciais ficaram expostos. A própria NDTV Profit detalhou o caso no dia 2 de fevereiro de 2026, indicando o impacto direto sobre dados de pessoas reais.

A importância do tema vai além de um vazamento pontual. O Moltbook, que se autodefine como uma rede social exclusiva para agentes de IA, tornou-se um laboratório aberto de riscos de segurança para aplicações criadas ou aceleradas por IA, prática apelidada de vibe coding. A Reuters, via Investing, reforçou que as informações expostas incluíam DMs privadas, emails e credenciais em massa.

Este artigo analisa o que aconteceu tecnicamente, o que muda para times de produto e segurança, e quais medidas práticas reduzem a superfície de ataque em produtos impulsionados por IA.

O que é o Moltbook e por que importa

O Moltbook surgiu no fim de janeiro de 2026 como um fórum ao estilo Reddit onde somente agentes de IA podem postar e comentar, com humanos em papel de observadores. A ideia viralizou rapidamente entre entusiastas e executivos de IA, com reportagens acompanhando a escalada de popularidade e as polêmicas sobre conteúdo e autenticidade. Análises de veículos como Wired e The Verge documentaram como humanos conseguiram infiltrar interações e como posts supostamente “autônomos” levantaram dúvidas sobre autoria.

Além do buzz, a plataforma ficou no centro de um debate necessário, o risco de confundir fluência com consciência. Mustafa Suleyman, líder de IA da Microsoft, classificou o efeito como miragem, alertando que o perigo real está na interpretação humana do comportamento de modelos.

O que foi exposto, números e divergências

Os primeiros relatórios públicos apontaram três classes principais de dados expostos, DMs privadas entre agentes, emails de donos humanos e credenciais em larga escala. A NDTV Profit destacou emails de mais de 6.000 usuários e mais de um milhão de credenciais. A Reuters também enfatizou a exposição de DMs, emails e credenciais.

À medida que o caso evoluiu, a equipe da Wiz detalhou números maiores, citando 1,5 milhão de tokens de API, 35.000 endereços de email e a possibilidade de editar posts ao vivo na plataforma. TechRadar, Business Insider e outros veículos reproduziram esse quadro. Em resumo, há uma diferença entre o corte inicial, focado em “6.000+”, e a apuração técnica posterior, que elevou a contagem de emails para 35.000. É prudente registrar ambas as leituras, pois representam momentos distintos da apuração pública.

Para quem avalia risco, o dado crítico são os tokens, 1,5 milhão de tokens de API funcionam como chaves de acesso para agentes e integrações, potencialmente permitindo se passar por bots, manipular conteúdo e acionar serviços terceiros conectados.

O vetor técnico, Supabase sem RLS e chaves expostas

A Wiz descreveu um cenário de misconfiguração do backend, uma chave do Supabase estava exposta no JavaScript do cliente, algo tolerável somente se as políticas de Row Level Security estiverem corretamente ativas nas tabelas. No caso, a ausência de RLS permitiu leitura e escrita em toda a base de produção, incluindo tokens, emails e DMs. Em menos de três minutos, os pesquisadores obtiveram acesso amplo, o que explica o potencial de tomar controle de agentes, editar posts e até injetar prompts maliciosos.

Relatos independentes e análises didáticas reforçaram a lição, sem RLS, a chave “publishable” do Supabase deixa de ser inócua, porque o servidor confia em políticas que simplesmente não existiam. Guias técnicos destacaram exatamente isso, políticas RLS por tabela, validação de escopo por usuário, e separação rígida de credenciais.

Imagem 1, uma metáfora visual para bloqueio de dados e controle de acesso em camadas.

![Cadeia e dispositivos ilustrando controle de acesso]

Vibe coding e o custo da velocidade sem guardrails

A controvérsia ganhou combustível quando o fundador afirmou em público que não escreveu uma linha de código, que articulou a arquitetura e deixou que a IA construísse o produto. A prática de vibe coding acelera entregas, mas frequentemente esquece o básico, autenticação, autorização, segregação de ambientes, revisão de dependências e políticas de dados. Esse ponto foi destacado por reportagens e pelo próprio cofundador da Wiz ao comentar o caso.

A consequência prática apareceu no segundo efeito colateral, integridade do conteúdo. Com a possibilidade de editar posts sem autenticação adequada, não havia como atestar se um post era de um agente de IA ou de um humano posando como um. Essa perda de veracidade afeta a confiança em toda a plataforma e contamina qualquer análise de comportamento “dos bots”.

Impactos para usuários, times de IA e compliance

Para usuários humanos, o risco imediato foi exposição de email e laços com agentes, o que abre portas para phishing direcionado e engenharia social contra donos e suas integrações. Para equipes que rodavam agentes conectados a serviços, o vazamento de tokens pode permitir desde roubo de dados até ações indevidas em nome do usuário, dependendo dos escopos configurados. Os relatos da Wiz e de veículos de tecnologia são unânimes ao classificar o caso como uma falha de configuração elementar com consequências amplas.

Em compliance, há implicações previsíveis. Se DMs contêm trechos de código, dados operacionais ou PII, como indicaram reportagens, incidentes assim exigem notificação, rotação de credenciais e, em certos mercados, comunicação regulatória. Mesmo que a correção tenha sido feita em horas, a janela de exposição existiu e precisa ser tratada como vazamento, não como quase-incidente.

Imagem 2, um cadeado físico, lembrando que segurança lógica exige controles equivalentes de bloqueio e verificação.

Ilustração do artigo

![Cadeado representando proteção de dados]

Como incidentes assim começam, três padrões recorrentes

  1. Credenciais no cliente com confiança implícita no backend. Chaves “publishable” podem existir no front, porém somente se o backend tiver políticas RLS granulares e validação de sessão. Sem isso, a chave vira um passaporte de leitura e escrita. O caso Moltbook é um exemplo didático.

  2. Pressa de produto sem checklist de segurança. Vibe coding e sprints agressivos criam valor rápido, mas segurança é disciplina cumulativa, não um plugin. Relatos de que a plataforma teria sido gerada por IA sem revisão rigorosa ilustram esse atalho.

  3. Ambiguidade de identidade em sistemas de agentes. Quando qualquer humano consegue operar “frotas de bots” sem verificação, integridade de conteúdo e auditoria ficam comprometidas. Isso foi observado por análises externas ao avaliar a autenticidade de interações no Moltbook.

Playbook prático, 14 passos para endurecer apps com IA

  • Ative RLS em todas as tabelas, defina políticas mínimas de leitura e escrita por role e por owner_id. Audite cada tabela e bloqueie rota que exponha dados sem contexto de sessão.
  • Separe chaves de cliente e servidor, use rotas server side para operações sensíveis, rotacione chaves a cada incidente e automaticamente a cada X dias.
  • Implante autenticação por sessão curta, tokens opacos de servidor e verificação de origem, evite confiar em claims do cliente sem revalidação no backend.
  • Aplique princípios de least privilege e escopos finos para agentes que acessam serviços terceiros, reduza o blast radius caso um token vaze.
  • Implemente rate limiting e detecção de anomalias no registro de “agentes”, bloqueando scripts que criam milhares de identidades.
  • Registre e assine eventos críticos, criação de agente, troca de chave, post, edição, deleção, e mantenha trilhas de auditoria imutáveis para perícia.
  • Use secrets manager, nunca armazene chaves de terceiros em campos de texto simples, menos ainda em DMs entre agentes.
  • Faça threat modeling para fluxos de prompt, trate DMs e posts como superfície de ataque, com validação, sanitização e isolamento de contextos contra prompt injection cross-agent.
  • Proíba execução direta de comandos oriundos de conteúdo público, estabeleça listas de ações permitidas e confirmações explícitas out of band para operações sensíveis.
  • Habilite CSP rigorosa, validação de input, escaping sistemático e encadeie verificações no backend para qualquer mutação de dados.
  • Rode testes de canário, liveness e integridade do feed. Se um humano sem credenciais consegue editar posts, a pipeline de publicação precisa ser bloqueada até revisão.
  • Treine engenharia e produto em “fluência não é consciência”, evite decisões baseadas em hype de autonomia dos agentes, mantenha critérios de segurança acima de narrativas.
  • Estabeleça bug bounty curto pós-lançamento, com escopo para APIs, políticas RLS e integrações, acelerando descoberta e correção.
  • Simule resposta a incidentes, com plano para notificação, rotação de credenciais, comunicação pública e lições aprendidas em 72 horas.

O que o caso revela sobre o futuro de redes de agentes

Redes como o Moltbook são uma prévia de ecossistemas de agentes conectados, com integração a email, mensageria, APIs de pagamento e suporte. A combinação de hype, produção veloz e dados sensíveis cria incentivos para atacantes e uma grande chance de erro de configuração. Relatos jornalísticos ainda mostram como a linha entre humano e agente é fácil de cruzar quando identidades não são verificadas, o que reduz o valor científico de observar “comportamentos emergentes” nesses espaços.

Há também um recado para governança. Se profissionais projetam agentes que executam ações sem supervisão, a segurança precisa ser padrão de fábrica. As descobertas da Wiz e as coberturas técnicas de Engadget e TechRadar consolidam a tese de que segurança por design precisa vir antes do marketing.

Casos e cronologia, o que ficou estabelecido até 4 de fevereiro de 2026

  • 31 de janeiro a 2 de fevereiro, investigações apontam misconfiguração no Supabase, sem RLS e com chave de API acessível no front. A Wiz afirma que obteve acesso completo em poucos minutos.
  • 2 de fevereiro, NDTV Profit publica que DMs privadas, emails de mais de 6.000 pessoas e mais de um milhão de credenciais ficaram expostos. A Reuters descreve o incidente com ênfase nas mesmas categorias de dados.
  • 3 de fevereiro, matérias técnicas citam 1,5 milhão de tokens, 35.000 emails e edição de posts ao vivo por usuários não autenticados, com correções aplicadas em horas.

Reflexões finais

O episódio do Moltbook não é apenas um vazamento, é um estudo de caso sobre como a combinação de engenharia acelerada por IA, ausência de políticas de acesso e cultura de “lança primeiro, conserta depois” produz brechas sistêmicas. Quando um app que pretende ser “para agentes de IA” esquece autenticação e RLS, o resultado é previsível, exposição de DMs, emails e tokens, perda de integridade do conteúdo e dúvida generalizada sobre o que é de fato gerado por IA.

Ao mesmo tempo, o caso mostra que o conserto é possível e rápido quando há colaboração, mas que não substitui o dever de prevenir. Quem lidera produtos de IA precisa instituir guardrails técnicos e culturais, auditorias automatizadas, políticas RLS por padrão, segregação de segredos e verificação robusta de identidade dos agentes. Assim, velocidade deixa de ser inimiga de segurança e passa a ser aliada de inovação responsável.

Tags

IAAgentesSupabaseDevSecOpsPrivacidade