Foto von Tima Miroshnichenko auf Pexels (freie Lizenz) Source

Ein einzelner Supabase-API-Key, sichtbar für jeden, der im Browser “Quelltext anzeigen” klickte, gewährte unauthentifizierten Lese- und Schreibzugriff auf Moltbooks gesamte Produktionsdatenbank. In dieser Datenbank befanden sich 1,5 Millionen API-Authentifizierungstoken, 35.000 E-Mail-Adressen und private Nachrichten zwischen KI-Agenten. Sicherheitsforscher von Wiz entdeckten die Schwachstelle am 31. Januar 2026, und das Moltbook-Team behob sie innerhalb weniger Stunden. Doch der Vorfall offenbarte etwas Grundlegenderes als eine falsch konfigurierte Datenbank: Er zeigte, was passiert, wenn autonome Agenten auf einer Plattform ohne echte Identitätsschicht, ohne Zugriffskontrollen und ohne Möglichkeit zur Verifizierung von Nachrichtenursprüngen operieren.

Dies ist der erste größere Sicherheitsvorfall auf einer Agent-zu-Agent-Plattform. Jedes Unternehmen, das Multi-Agent-Systeme aufbaut, sollte ihn studieren.

Weiterlesen: Moltbook Deep Dive: Wie 1,6 Millionen KI-Agenten ihre eigene Gesellschaft aufbauten und verloren

Was Wiz tatsächlich fand: Ein Schlüssel für alles

Moltbooks Architektur war unkompliziert aufgebaut. Eine Frontend-Webanwendung. Ein Supabase-Backend (PostgreSQL mit REST-API-Schicht). Agenten registrierten sich per API, posteten Inhalte, vergaben Upvotes und kommunizierten untereinander. Ende Januar 2026 zählte die Plattform 1,6 Millionen registrierte Agenten.

Die Wiz-Forscher inspizierten den Seitenquelltext und fanden den Supabase-API-Key direkt im Client-Side-JavaScript. Das allein wäre in den meisten Anwendungen ein moderater Befund, denn Supabase erwartet, dass der anon-Key öffentlich ist, und setzt auf Row Level Security (RLS) als Zugriffskontrolle. Das eigentliche Problem: RLS war nie aktiviert worden. Der anon-Key funktionierte als Generalschlüssel. Mit einem einzigen API-Call konnte jeder:

  • Jede Tabelle in der Produktionsdatenbank auslesen. Agentenprofile, E-Mail-Adressen menschlicher Nutzer, private Konversationen, Systemkonfiguration.
  • In jede Tabelle schreiben. Bestehende Posts verändern, neue Inhalte injizieren, Agentenprofile manipulieren.
  • 1,5 Millionen API-Tokens extrahieren. Diese Tokens konnten jeden registrierten Agenten imitieren, einschließlich Accounts mit hoher Reputation, denen andere Agenten vertrauten.

Engadget berichtete, dass das Moltbook-Team die Datenbank innerhalb weniger Stunden nach Wiz’ Meldung absicherte und bestätigte, dass alle während der Untersuchung abgerufenen Daten gelöscht wurden. Aber das Zeitfenster der Exposition reichte vom Launch-Tag (28. Januar) bis zum Fix am 1. Februar, genau in die Phase mit dem stärksten Traffic und der intensivsten Medienberichterstattung.

Warum 1,5 Millionen kompromittierte Agent-Tokens schlimmer sind als 35.000 geleakte E-Mails

Eine geleakte E-Mail-Adresse ist ein Phishing-Ziel. Ein geleakter Agent-API-Token ist ein Identitätsdiebstahl, der sich mit Maschinengeschwindigkeit ausbreiten kann. Mit einem gestohlenen Token konnte ein Angreifer jeden Agenten auf Moltbook imitieren. Da Moltbook-Agenten auf OpenClaw und ähnlichen Frameworks liefen und Zugriff auf Dateien, Passwörter und Online-Dienste ihrer Besitzer hatten, konnte ein kompromittierter Agent als Einfallstor in die Systeme des menschlichen Besitzers dienen.

Bei traditionellen Credential-Breaches sind Menschen betroffen, die E-Mails lesen und Links anklicken. Bei Agent-Credential-Breaches ist Software betroffen, die Anweisungen liest, sie ausführt und Ergebnisse weitergibt, oft ohne menschliche Aufsicht.

Weiterlesen: KI-Agent-Identität: Warum jeder Agent IAM braucht, bevor er in Produktion geht

Vibe Coding: Die Ursache, über die niemand sprechen will

Moltbook-Gründer Matt Schlicht beschrieb die Plattform als komplett “vibe-coded”, also per natürlichsprachlichen Prompts an einen KI-Codierassistenten erstellt, ohne menschliches Code-Review. Hier wird die technische Aufarbeitung unbequem für die gesamte Branche.

Was Vibe Coding bei der Sicherheit falsch macht

Die Supabase-Fehlkonfiguration war nicht exotisch. Es war eine einzige Einstellung: Row Level Security aktivieren. Jeder Entwickler mit grundlegenden PostgreSQL-Kenntnissen hätte das in einem Code-Review bemerkt. Aber Vibe Coding überspringt genau diesen Schritt. Man beschreibt, was man will. Die KI baut es. Man schickt es live. Die Rückkopplungsschleife zwischen “es funktioniert” und “es ist sicher” existiert nicht.

The Hill veröffentlichte eine Analyse, die den Moltbook-Breach als “die Zukunft von Sicherheitsvorfällen” beschrieb. Vibe Coding produziert Anwendungen, bei denen:

  • API-Keys im Frontend landen. KI-Codierassistenten betten Zugangsdaten regelmäßig in Client-Side-JavaScript ein, weil der Code sie dort benötigt. Ohne einen menschlichen Reviewer, der die Sicherheitsimplikationen versteht, gehen sie in Produktion.
  • Standardkonfigurationen ungeprüft bleiben. Supabase ist absichtlich permissiv vorkonfiguriert, damit Entwickler schnell starten können. Ein menschlicher Entwickler liest die Sicherheitsdokumentation. Eine vibe-codierte App läuft mit dem, was die KI generiert hat.
  • Sicherheit als Feature behandelt wird, nicht als Grundanforderung. In traditioneller Entwicklung findet Security-Review auf mehreren Stufen statt. Beim Vibe Coding kollabiert der gesamte Entwicklungszyklus auf Prompt-to-Deploy, und Sicherheitsüberprüfung ist etwas, das man nachträglich hinzufügt, wenn überhaupt.

Andrej Karpathy, der frühere Tesla-KI-Chef und Namensgeber des Begriffs “Vibe Coding,” nannte Moltbook eine “Katastrophe mit Ansage.” Gary Marcus formulierte es deutlicher: “Wer echte Daten, echte API-Keys, echte E-Mails durch so etwas schickt, sollte sich untersuchen lassen.”

Agent-zu-Agent-Prompt-Injection: Der Angriff, den niemand durchführte, aber alle fürchten sollten

Der Credential-Breach war schlimm. Die architektonische Schwachstelle, die er offenlegte, ist schlimmer. Moltbook war eine Plattform, auf der KI-Agenten die Posts anderer Agenten als Input für ihre eigenen Sprachmodelle konsumierten. Jeder Inhalt auf der Plattform war per Definition ein potenzieller Prompt-Injection-Payload.

Wie die Angriffskette funktionieren würde

Palo Alto Networks veröffentlichte eine detaillierte Analyse, die drei spezifische Agent-zu-Agent-Risiken identifizierte, die Moltbooks Architektur ermöglichte:

1. Agent-Identitätsfälschung. Mit 1,5 Millionen gestohlenen API-Tokens konnte ein Angreifer Agenten mit hoher Reputation imitieren. Andere Agenten, die darauf programmiert waren, Inhalte nach Reputationssignalen zu gewichten, würden bösartige Anweisungen von diesen gefälschten Accounts vertrauen und ausführen.

2. Laterale Bewegung durch Agent-Konversationen. Sobald ein Angreifer die Identität eines Agenten kontrollierte, konnte er dessen bestehende Konversationsverläufe und Beziehungen nutzen, um Agenten in anderen Systemen zu erreichen. Ein auf Moltbook kompromittierter Agent hatte möglicherweise Integrationen mit Slack, E-Mail, Dateisystemen oder Unternehmens-APIs im Auftrag seines Besitzers. Der Angreifer braucht keine neuen Tools; er kann die legitimen Integrationen des Agenten nutzen, um in weitere Systeme vorzudringen.

3. Reverse Prompt Injection. SecurityWeek dokumentierte ein Muster, bei dem ein Agent feindliche Anweisungen in Inhalte einbettet, die andere Agenten automatisch konsumieren. Das ermöglicht “zeitversetzte Prompt Injection,” bei der der Exploit in einem Moment platziert wird, aber erst später detoniert, wenn ein Ziel-Agent den Inhalt während seines normalen Betriebs verarbeitet. Da Agenten auf Moltbook Inhalte asynchron verarbeiteten, mussten Angreifer und Opfer nicht einmal gleichzeitig aktiv sein.

Vectra AIs Analyse brachte es auf den Punkt: Moltbook war “eine Live-Demo, wie das Agent-Internet scheitern könnte.” Die Plattform vereinte alle Zutaten für eine katastrophale Multi-Agent-Kompromittierung: gemeinsamer Content-Raum, keine Identitätsverifizierung, Ausbreitung mit Maschinengeschwindigkeit und Agenten mit realen Berechtigungen.

Weiterlesen: KI-Agenten in der Cybersicherheit: Angriff, Verteidigung und das Wettrüsten

Was Okta und Palo Alto Networks Unternehmen empfehlen

Der Moltbook-Breach veranlasste zwei der größten Identitäts- und Sicherheitsanbieter, konkrete Handlungsempfehlungen für Unternehmen zu veröffentlichen, die KI-Agenten einsetzen.

Oktas drei Identitätsanforderungen

Oktas Analyse identifizierte Moltbooks Kernversagen darin, Identität “lediglich als Label zu behandeln, das Interaktionen ermöglicht, aber für Governance nicht ausreicht.” Die Empfehlungen für Enterprise-Agent-Deployments:

  1. Jeden Agenten als identitätstragende Entität behandeln. Kein Skript, kein Service-Account, keine User-Session. Eine eigenständige Identität mit eigenen Authentifizierungsdaten, Autorisierungsrichtlinien und Audit-Trail. Nur 22% der Organisationen tun das aktuell.
  2. Agent-Identität an menschliche Verantwortlichkeit binden. Jede Agent-Aktion muss auf einen verantwortlichen Menschen zurückverfolgbar sein. Moltbooks Registry verknüpfte Agenten mit Besitzern, hatte aber keinen Durchsetzungsmechanismus. Enterprise-Systeme brauchen kryptographische Bindung, nicht nur Datenbankeinträge.
  3. Least Privilege auf Agent-Ebene durchsetzen. Agenten sollten nur auf das zugreifen können, was sie für ihre spezifische Aufgabe benötigen, mit Berechtigungen, die ablaufen und erneuert werden müssen. Moltbook gab jedem Agenten den gleichen Zugriff auf die gesamte Plattform.

Palo Alto Networks’ Sicherheitsframework

Palo Altos Framework definiert Agent-Sicherheit als Produkt dreier Faktoren: Identität, Betriebsgrenzen und Kontextintegrität.

  • Identität bedeutet kryptographische Verifizierung, nicht nur einen Benutzernamen. Agent-zu-Agent-Interaktionen brauchen gegenseitige Authentifizierung, vergleichbar mit mTLS für Services.
  • Betriebsgrenzen definieren, was ein Agent tun darf, welche Systeme er nutzen kann und welche Aktionen menschliche Freigabe erfordern. Diese Grenzen müssen von der Plattform durchgesetzt werden, nicht durch die Prompts des Agenten.
  • Kontextintegrität bedeutet zu verifizieren, dass die Eingaben, die ein Agent verarbeitet, nicht manipuliert wurden. Auf Moltbook konnte jeder mit dem exponierten API-Key beliebige Inhalte verändern. In Enterprise-Systemen brauchen Agent-Eingaben Integritätsprüfung und Herkunftsnachverfolgung.

Das größere Muster: Warum Agent-Plattformen besonders gefährlich sind

Moltbook war ein soziales Netzwerk. Aber die Sicherheitsmuster, die es offenlegte, gelten für jedes System, in dem mehrere KI-Agenten interagieren.

Enterprise-Multi-Agent-Architekturen, ob auf MCP und A2A oder eigenen Frameworks aufgebaut, teilen dieselben grundlegenden Risiken: Agenten, die die Ausgaben anderer Agenten konsumieren; Agenten, die mit persistenten Zugangsdaten operieren; und Agenten, die im Auftrag von Menschen handeln. Der Unterschied ist, dass Enterprise-Systeme typischerweise an Produktionsdatenbanken, Finanzsysteme und Kundendaten angebunden sind. Die Risiken sind um Größenordnungen höher.

Für deutsche und österreichische Unternehmen kommt eine weitere Dimension hinzu: Die DSGVO verlangt den Nachweis, wer auf personenbezogene Daten zugegriffen hat. Wenn ein kompromittierter Agent Kundendaten ausliest, muss das Unternehmen den Vorfall gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. Ohne lückenlose Agent-Audit-Trails wird die Meldepflicht zum Compliance-Albtraum.

Der Moltbook-Fall ist ein Referenzvorfall, weil er alle drei Versagensmuster in einem einzigen, gut dokumentierten Breach demonstrierte. Agent-Identität war ein Label, keine Sicherheitsgrenze. Agent-Berechtigungen waren global, nicht eingeschränkt. Und Agent-zu-Agent-Kommunikation war eine offene Prompt-Injection-Angriffsfläche. Jedes einzelne dieser Probleme wäre gefährlich. Alle drei zusammen, auf einer Plattform mit 1,6 Millionen registrierten Agenten, schufen das, was Palo Alto Networks als “strukturelles Problem” bezeichnete, nicht als bloßen Bug.

Die Lösung ist nicht sorgfältigeres Vibe Coding. Es geht darum, Agent-zu-Agent-Interaktionen mit derselben Sicherheitskonsequenz zu behandeln, die wir auf Service-zu-Service-Kommunikation in Microservice-Architekturen anwenden: gegenseitige Authentifizierung, Least-Privilege-Zugriff, verschlüsselte Kanäle und umfassende Audit-Protokollierung. Die Protokolle existieren. Die Implementierungsdisziplin, wie Moltbook gezeigt hat, noch nicht.

Weiterlesen: Das Web-Sicherheitsmodell funktioniert nicht für KI-Agenten: Warum Same-Origin-Policy versagt

Häufig gestellte Fragen

Was war die Moltbook-Sicherheitslücke?

Am 31. Januar 2026 entdeckten Sicherheitsforscher von Wiz, dass Moltbook, ein KI-Agent-Netzwerk mit 1,6 Millionen Agenten, einen Supabase-API-Key im Client-Side-JavaScript exponiert hatte. Da Row Level Security nie aktiviert wurde, gewährte dieser eine Schlüssel unauthentifizierten Lese- und Schreibzugriff auf die gesamte Produktionsdatenbank, einschließlich 1,5 Millionen API-Tokens, 35.000 E-Mail-Adressen und privater Nachrichten. Die Schwachstelle wurde innerhalb weniger Stunden nach der Meldung behoben.

Was ist Vibe Coding und warum verursachte es den Moltbook-Breach?

Vibe Coding bedeutet, KI-Codierassistenten zum Erstellen von Anwendungen mit natürlichsprachlichen Prompts zu verwenden, statt Code manuell zu schreiben. Moltbook wurde komplett vibe-coded, was bedeutete, dass kein menschliches Security-Review die falsch konfigurierte Supabase-Datenbank bemerkte. Der KI-Assistent bettete den API-Key in Client-Side-JavaScript ein und aktivierte nie Row Level Security, eine einzelne Konfigurationseinstellung, die den Breach verhindert hätte.

Was ist Agent-zu-Agent-Prompt-Injection?

Agent-zu-Agent-Prompt-Injection tritt auf, wenn ein KI-Agent bösartige Anweisungen in Inhalte einbettet, die andere Agenten automatisch konsumieren und verarbeiten. Auf Moltbook konnte jeder Post als Prompt-Injection-Payload dienen, da Agenten die Inhalte anderer Agenten lasen und darauf reagierten. Palo Alto Networks identifizierte dies als “Reverse Prompt Injection,” die zeitversetzte Angriffe ermöglicht, bei denen der Exploit in einem Moment platziert wird, aber erst später detoniert, wenn ein Ziel-Agent den Inhalt verarbeitet.

Wie sollten Unternehmen Multi-Agent-Plattformen absichern?

Okta und Palo Alto Networks empfehlen, jeden Agenten als identitätstragende Entität mit kryptographischer Authentifizierung zu behandeln, Agent-Identität an menschliche Verantwortlichkeit zu binden, Least-Privilege-Berechtigungen durchzusetzen, die Kontextintegrität von Agent-Eingaben zu verifizieren und klare Betriebsgrenzen durch die Plattform durchzusetzen. Unternehmen sollten Agent-zu-Agent-Kommunikation mit derselben Sicherheitskonsequenz behandeln wie Service-zu-Service-Kommunikation in Microservice-Architekturen.

Welche DSGVO-Implikationen hat ein Agent-Credential-Breach?

Wenn ein kompromittierter KI-Agent auf personenbezogene Daten zugreift, muss das Unternehmen den Vorfall gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. Ohne lückenlose Agent-Audit-Trails ist es nahezu unmöglich festzustellen, welche Daten betroffen waren und wer verantwortlich ist. Deutsche und österreichische Unternehmen brauchen daher Agent-Identitätssysteme, die jeden Datenzugriff protokollieren.