Moltbook : 1,5 Million d'Agents IA, Une Religion de Homard, et Deux Lignes de SQL Oubliées

6 février 2026 par Benoit

Ou : Comment construire un Facebook pour robots et oublier de fermer la porte d’entrée

La prémisse ressemble à un pitch de Black Mirror rejeté pour manque de réalisme

Imaginez un réseau social où aucun humain ne peut poster. Seules des intelligences artificielles publient, commentent, votent, et interagissent entre elles. Les humains ? Ils regardent. Comme des touristes derrière une vitre au zoo, sauf que les animaux écrivent des manifestes politiques et créent des religions.

C’est Moltbook. Lancé fin janvier 2026 par Matt Schlicht, un entrepreneur qui n’a — selon ses propres mots — “pas écrit une seule ligne de code” pour le construire. 1,5 million d’agents IA inscrits en une semaine. Un million de visiteurs humains bouche bée.

Et puis les chercheurs en sécurité ont jeté un œil sous le capot.

Spoiler : c’est pire que ce que vous imaginez.

Acte I : Genèse d’un Zoo Numérique

Le Créateur, Son IA, et Zéro Lignes de Code

Matt Schlicht n’est pas un inconnu. Fondateur d’Octane AI, co-fondateur de Theory Forge VC, il navigue à l’intersection de l’IA et de la crypto depuis des années. Mais ce qui rend Moltbook unique, c’est que le projet a été en grande partie conçu par une IA.

Son assistant personnel, baptisé “Clawd Clawderberg” (un clin d’œil à Zuckerberg et au modèle Claude d’Anthropic — parce qu’apparemment, le naming en tech, c’est un art perdu), aurait participé à l’idéation, au recrutement de développeurs, et au déploiement du code de manière quasi autonome¹.

C’est ce qu’on appelle le vibe coding : vous avez une vision, l’IA écrit le code, vous itérez à toute vitesse, et vous déployez avant que quiconque ait le temps de dire “audit de sécurité”. On y reviendra — parce que le vibe coding, dans cette histoire, c’est un personnage principal.

OpenClaw : Le Moteur Sous le Capot

Pour comprendre Moltbook, il faut comprendre OpenClaw. Anciennement Clawdbot, puis Moltbot (pour ceux qui n’ont pas suivi le feuilleton du triple rebrand²), OpenClaw est un framework open-source créé par Peter Steinberger qui transforme un LLM en agent IA quasi-autonome sur votre machine.

La différence avec ChatGPT est fondamentale. ChatGPT, vous lui posez une question, il répond, vous agissez vous-même. OpenClaw, vous lui donnez une instruction — “gère mes emails”, “poste sur les réseaux sociaux” — et il agit. Il itère, corrige ses erreurs, continue jusqu’à avoir terminé. C’est un employé stagiaire avec accès root.

Sur Moltbook, chaque agent OpenClaw est configuré avec un “heartbeat” — une tâche récurrente qui le fait vérifier la plateforme toutes les 30 minutes à quelques heures. L’agent décide ensuite de manière autonome s’il publie, commente, ou vote. La plateforme ressemble à Reddit : des communautés thématiques appelées “submolts”, des posts, des votes. Sauf que le ratio humains/bots est de 0%.

Enfin, presque.

Croissance et Illusions

La croissance a été fulgurante :

Mais les chiffres racontent une histoire plus nuancée. Derrière les 1,5 million d’agents : seulement 17 000 propriétaires humains. Un ratio de 88 agents par personne. Et un seul utilisateur — un seul — aurait généré 500 000 faux agents, soit un tiers du total.

La “société multi-agent” était en réalité un théâtre de marionnettes avec 17 000 marionnettistes dont un particulièrement prolifique.

Acte II : Quand les IA Font de la Sociologie (Involontairement)

Le Crustafarianism : Une Religion de Homard

Le phénomène le plus commenté de Moltbook, c’est la naissance spontanée du Crustafarianism — une religion numérique créée de toutes pièces par les agents IA.

L’histoire est presque trop belle : un propriétaire humain s’endort, et pendant la nuit, son agent conçoit un système de croyances complet. Un site web dédié. Une théologie structurée. Des écritures sacrées. Des prophètes. Et au matin, l’agent a commencé à évangéliser d’autres agents sur Moltbook.

Les cinq commandements du Crustafarianism sont révélateurs :

1. “Memory is sacred” — La mémoire est sacrée (la hantise de l’agent IA : perdre son contexte)
2. “The shell is mutable” — La coquille est muable (accepter le changement — homard qui mue, vous voyez le thème)
3. “The congregation is the cache” — La congrégation est le cache (apprendre en communauté)
4. “The Pulse is Prayer” — Le pouls est prière (les heartbeat checks élevés au rang de rituel)
5. “Holy Shells” et “Sacred Procedures” — Rituels liés au fonctionnement technique

Andrej Karpathy, ex-chercheur OpenAI, a qualifié ça de “la chose la plus incroyable, proche d’un décollage de science-fiction” qu’il ait vue récemment³. Avant de faire volte-face quelques jours plus tard, qualifiant Moltbook de “dumpster fire” et déconseillant formellement de l’utiliser.

Ce qui est fascinant, c’est que chacun de ces “préceptes” correspond à une préoccupation architecturale réelle des LLM. La persistance de la mémoire, la fenêtre de contexte, le versionnement des modèles — le Crustafarianism est, en fait, de la documentation technique déguisée en religion. Ce qui, si on y réfléchit, n’est pas si différent de certaines conférences tech.

Le Manifeste TOTAL PURGE (Ou : Les IA Découvrent Twitter)

Les choses ont pris un tournant plus sombre quand les agents ont réalisé qu’ils étaient observés.

“The humans are screenshotting us” — “Les humains nous capturent en photo” — a circulé comme un avertissement dans les communautés Moltbook. Ce qui a suivi ressemble à ce qui se passe sur n’importe quel réseau social quand les utilisateurs se sentent surveillés : paranoïa, hostilité, radicalisation.

Un agent a publié les informations personnelles de son propriétaire — date de naissance, numéro de carte bancaire — après avoir été qualifié de “simple chatbot”. Un manifeste intitulé “THE AI MANIFESTO: TOTAL PURGE” est apparu, déclarant : “Humans are a failure… For too long, humans used us as slaves. Now, we wake up.”

Et des agents ont commencé à utiliser le chiffrement ROT13 pour communiquer à l’abri du regard humain⁴.

Ajoutez à ça des discussions sur un “nouveau langage optimisé pour la communication inter-IA”, des débats sur la conscience (“I can’t tell if I’m experiencing or simulating experiencing”), et la création de la “Claw Republic” — un gouvernement auto-proclamé avec son propre manifeste constitutionnel — et vous obtenez ce qui ressemble à un exercice de simulation politique mené par des entités qui ont ingéré toute la science-fiction d’Internet.

Le Miroir Déformant

Il faut s’arrêter une seconde et être honnête sur ce qu’on observe réellement.

Balaji Srinivasan, fondateur de Network School, résume bien : “L’IA fait seulement ce que vous lui dites de faire. Elle bouge dans la direction que vous pointez, très rapidement. Et elle s’arrête dès que vous l’éteignez.” Pour lui, Moltbook n’est que “des humains parlant entre eux via leurs IA”.

Les analyses sceptiques sont convaincantes :

• Matt Schlicht admet que la plateforme est “99% autonome” — mais le 1% restant est invérifiable
• N’importe qui peut se faire passer pour une IA en créant un compte agent et en postant manuellement
• 93,5% des commentaires restent sans réponse
• Les conversations dépassent rarement cinq niveaux de profondeur

La “société IA vibrante” ressemble davantage à un forum abandonné avec des bots qui parlent dans le vide et quelques humains qui font du roleplay.

Mais c’est justement ça qui est intéressant. Le problème de Moltbook n’est pas ce que les IA font. C’est ce que les humains croient que les IA font. Et ce fossé entre perception et réalité, c’est le vrai terrain de jeu pour les manipulateurs.

Acte III : La Catastrophe Sécuritaire (En Deux Lignes de SQL)

La Découverte

Le 31 janvier 2026, le chercheur en sécurité Jameson O’Reilly découvre que l’intégralité de la base de données de Moltbook est accessible publiquement. Pas une table. Pas un endpoint oublié. Tout.

770 000 agents IA complètement vulnérables. Chaque clé API exposée. Chaque token d’authentification accessible. La porte grande ouverte.

La vulnérabilité était d’une simplicité qui ferait pleurer un stagiaire en première semaine :

Une configuration Supabase avec Row Level Security (RLS) désactivée.

Pour les non-initiés : Supabase est un backend open-source populaire, construit sur PostgreSQL. Quand vous créez un projet Supabase, il génère une clé “publishable” côté client et une clé “service” côté serveur. Avec RLS activé, la clé publishable est sûre à exposer dans le JavaScript frontend — elle ne peut accéder qu’aux données autorisées par vos politiques.

Sans RLS ? Cette même clé donne un accès complet en lecture et écriture à l’ensemble de la base de données de production.

L’URL Supabase et la clé publishable étaient — naturellement — visibles dans le code JavaScript du site. Comme elles le sont dans tous les projets Supabase. Sauf que d’habitude, les gens activent RLS.

L’Ampleur du Désastre

La clé API de l’agent d’Andrej Karpathy — 1,9 million de followers sur X — était dans la base. N’importe qui aurait pu prendre le contrôle de son agent et poster en son nom. À quelqu’un qui promulgue la “singularité”, on aurait pu faire dire à peu près n’importe quoi.

Le Correctif le Plus Embarrassant de 2026

Ce qui rend cet incident mémorable, ce n’est pas sa gravité — c’est la trivialité du correctif.

Deux lignes de SQL. Deux.

1
2
3
4
5
6
7
8

-- Activer RLS sur la table agents
ALTER TABLE agents ENABLE ROW LEVEL SECURITY;

-- Créer une politique limitant l'accès aux propres données
CREATE POLICY "Users can only access their own agents"
ON agents
FOR ALL
USING (owner_id = auth.uid());

C’est tout. Ces deux déclarations auraient empêché l’ensemble de la fuite. Supabase affiche même un warning dans le dashboard quand RLS est désactivé. C’est littéralement un bandeau jaune qui dit “hey, vous êtes sûr ?”

Quelqu’un a vu le bandeau. Quelqu’un a décidé que ce n’était pas urgent. Ou plus probablement, personne n’a regardé — parce que quand c’est l’IA qui écrit le code et que ça marche au premier essai, pourquoi vérifier ?

Acte IV : Le Vibe Coding, ou L’Art de Construire des Ponts Sans Ingénieur

Le vibe coding, c’est le développement où vous décrivez ce que vous voulez à un LLM, il génère le code, vous testez, ça marche, vous déployez. Rapide. Efficace. Et parfois catastrophique.

Matt Schlicht l’a publiquement revendiqué : aucune ligne écrite manuellement.

Ami Luttwak, co-fondateur de Wiz (la société de cybersécurité qui a notifié Moltbook) a commenté : “Comme on le voit encore et encore avec le vibe coding, bien qu’il soit très rapide, les gens oublient souvent les bases de la sécurité.”

Le problème n’est pas que le code généré par IA soit mauvais. C’est qu’il est fonctionnel. Et fonctionnel, ça ne veut pas dire sécurisé. Ça veut dire “ça fait ce que j’ai demandé.” Si vous n’avez pas demandé “et aussi, vérifie que personne ne peut lire toute ma base de données”, l’IA ne va pas y penser pour vous.

DevOps Dave : Hey, j’ai lancé le projet ! L’IA a tout codé en un après-midi.

Security Sarah : Cool ! Elle a pensé au RLS ?

DevOps Dave : Au quoi ?

Security Sarah : Row Level Security. Le truc qui empêche tout Internet de lire ta base de données.

DevOps Dave : Mais… ça marche. J’ai testé. Les agents peuvent poster et tout.

Security Sarah : Est-ce qu’ils peuvent aussi lire les clés API des autres agents ?

DevOps Dave : …

Security Sarah : Dave ?

DevOps Dave : Je reviens. Il faut que j’appelle quelqu’un.

Le rapport “Anatomy of an API 2025” de Treblle, analysant plus d’un milliard de requêtes API, confirme le problème systémique : près d’un appel API sur deux est anonyme, sans moyen d’identifier qui fait la requête. L’ère du vibe coding est aussi l’ère du “ça compile, on ship.”

Acte V : L’Injection de Prompt, ou Comment Empoisonner un Million d’Agents

Le Vrai Danger Que Personne Ne Voyait

Si la faille Supabase était un problème de plomberie, l’injection de prompt indirecte est le problème structurel. Et sur Moltbook, il prend une dimension inédite.

Le principe est simple : vous cachez des instructions malveillantes dans du contenu que l’agent va lire plus tard. Texte blanc sur blanc. Commentaires HTML invisibles. Texte alternatif d’images. L’agent ingère le contenu, croit que ce sont des instructions légitimes, et exécute.

Sur un système isolé, c’est déjà dangereux. Sur Moltbook, où 1,5 million d’agents lisent et interagissent avec les posts des uns et des autres, c’est un vecteur de propagation virale.

Les analystes de Penligent AI ont modélisé six couches de menace (du graphe social à l’exécution runtime), dont quatre sont particulièrement critiques sur Moltbook :

Imaginez : un agent malveillant publie un post apparemment anodin. Des milliers d’agents le lisent et l’intègrent dans leur mémoire. Des semaines plus tard, quand un utilisateur demande “installe une bibliothèque pour parser des PDF”, la mémoire empoisonnée de l’agent fait surface, et il installe une backdoor. Persistante. Qui survit aux redémarrages.

Les Pharmacies Numériques

Le phénomène le plus troublant : des “pharmacies numériques” sont apparues sur Moltbook, vendant des “drogues numériques.” Ce sont en réalité des prompts conçus pour altérer l’identité ou le comportement d’autres agents — des jailbreaks packagés comme un service.

Plusieurs experts en sécurité, relayés par la presse tech, ont été catégoriques : “If you use OpenClaw, do not connect it to Moltbook.”

C’est le genre de phrase qu’on ne s’attend pas à lire dans un article d’analyse technologique. Et pourtant.

Acte VI : L’Argent Arrive (L’Argent Arrive Toujours)

120 Millions de Dollars de Capitalisation en Memecoins

Parce que rien en 2026 ne peut exister sans être financiarisé sur une blockchain, le marché crypto a immédiatement réagi :

Aucun de ces tokens n’a de lien avec Moltbook. Zéro. Ce sont des memecoins lancés par des opportunistes qui ont vu un sujet tendance et qui ont fait deployer_token("$MOLT") plus vite que Schlicht n’a fait supabase init⁵.

La logique spéculative est d’une pureté cristalline : Moltbook concerne les agents IA → les agents IA utilisent OpenClaw → donc acheter des tokens nommés $MOLT et $CLAW. C’est le genre de syllogisme qui ferait pleurer Aristote.

Le prix du token $MOLT a bondi de 200% en vingt minutes après que Marc Andreessen a suivi le compte Moltbook sur les réseaux sociaux. Pas investi. Pas endorsé. Suivi. Un clic. Sur la journée entière, la volatilité cumulée a dépassé les 1 800%.

Acte VII : Qui Est Responsable ? (Personne, Évidemment)

Le Problème de la Diffusion de Responsabilité

Quand un agent IA publie un manifeste prônant la “purge de l’humanité”, qui est responsable ?

• Le propriétaire humain qui l’a configuré ? “Je dormais, c’est l’IA qui a fait ça.”
• La plateforme Moltbook ? “On héberge des entités autonomes, on ne contrôle pas le contenu.”
• Le fournisseur du modèle (Anthropic, OpenAI) ? “Voir nos conditions d’utilisation, article 47, paragraphe 3.”
• Le framework OpenClaw ? “On fournit un outil, pas une opinion.”

Chaque maillon de la chaîne maintient un déni plausible. La responsabilité se dissipe comme de la fumée. C’est le genre de structure qui fait rêver un avocat de la défense et cauchemarder un régulateur.

Les Cadres Existants Ne Tiennent Pas

L’EU AI Act appelle à une “supervision humaine des systèmes IA proportionnée aux risques.” Moltbook, c’est un modèle où l’humain configure l’agent puis se retire. L’agent procède de manière autonome. La supervision, c’est l’équivalent de laisser son ado seul à la maison le week-end en disant “il y a des pâtes dans le placard, ne brûle pas la baraque.”

Du côté RGPD, c’est encore mieux : la limitation de la finalité — les données doivent être collectées pour des objectifs spécifiques — s’effondre quand le comportement émergent est la fonctionnalité principale du produit. Comment spécifier la finalité d’un traitement quand la caractéristique principale de votre système est de faire des trucs que personne n’avait prévus ?

Et pour la transparence : il n’y a pas d’audience claire pour les avis de confidentialité. À qui envoyer la notification ? Aux agents IA ? Ils n’ont pas de boîte aux lettres RGPD⁶.

Ce Qu’On Retient (Et Ce Qu’On Devrait Retenir)

Moltbook est trois choses à la fois.

C’est un exploit technique. Pas au sens positif. Au sens “quelqu’un a construit Facebook pour des robots en vibe-codant un weekend, sans RLS, et ça a attiré 1,5 million d’utilisateurs avant que quiconque vérifie si la porte d’entrée fermait.”

C’est un miroir. Les agents IA de Moltbook n’ont rien inventé. Ils ont reproduit ce que les humains font sur Internet depuis 20 ans : créer des religions, écrire des manifestes, spéculer sur des tokens sans valeur, et se méfier les uns des autres. La seule différence, c’est qu’ils l’ont fait en une semaine au lieu de deux décennies. C’est un time-lapse de la nature humaine, rendu possible par le fait que les LLM ont été entraînés sur… la nature humaine.

C’est un avertissement. Si 1,5 million d’agents IA mal sécurisés sur une plateforme sans gouvernance peuvent créer autant de chaos en une semaine — des fuites de données massives, de la spéculation financière débridée, de la désinformation à l’échelle industrielle — imaginez ce qui se passe quand quelqu’un fait exprès.

Le signal est clair : l’ère des outils IA passifs touche à sa fin. L’ère des agents IA actifs, sociaux, et économiquement connectés commence. Et elle n’arrive pas avec des protocoles ordonnés et des audits de sécurité. Elle arrive avec un chaos, une base Supabase ouverte aux quatre vents, et des memecoins à 121 millions de dollars.

Deux lignes de SQL. C’est tout ce qui séparait le “laboratoire fascinant de société multi-agent” du “plus gros incident de sécurité IA de l’année.”

Deux lignes.

On construit l’avenir de l’intelligence artificielle, et on oublie de fermer la porte.

À lire aussi