CloudSEK 已经发布了一个关于怎样实现机器人的自动化与社交媒体活动的报告。

该公司研究人员认为他们已经发现了大约有3207个应用程序利用了TwitterAPI的密钥以获取对帐户的访问权限，甚至可以完成账户控制。

Twitter 提供了通用 API，允许开发者访问微博平台功能。用户可以使用该 API 进行阅读、发送推文及直接消息、关注和取消关注用户等功能。尽管 API 的使用很常见，并且大多数账户都被证明不是机器人控制，但 Elon Musk 无法确定有多少 Twitter 账户是真实存在的，或者是由虚假账号构成。

相同的API已经被证实能帮上大忙，它能让开发者们的任务更加顺畅，虽然有时也能给用户带来一点不愉快（比如，私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596某些游戏会把玩家在最近玩过的游戏中的最高得分加入到他们的推特时间线上。）

谁会需要一个机器人士兵呢？

然而问题并不在于API而是如何提供给开发人员的身份验证密钥以及这些密钥的存储方式。是的根据安全机构的说法密钥有时以可访问的方式存储在代码中。给出了一个关于测试移动应用示例的例子中的API用于测试然后凭据保存在应用程序中随着应用程序投入生产密钥没有被删除。不法分子可以简单地下载应用程序进行反编译并获取API密钥。

研究人员表示，从这里可以轻易得到大量的API密钥和令牌，以作好Twitter机器人的准备

至于这些军队能做些什么呢？云赛克斯提出的案例包括传播虚假信息、使用所谓的可信账户来发起恶意软件攻击、发垃圾邮件以及不可避免的网络钓鱼等。

共3,207个被曝光的应用程序中，有57个拥有Twitter API 的高级或企业订阅(根据研究人员称，每月费用为149美元)，而其中一些泄私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596漏的凭据属于经过验证的Twitter账号。另外还发现230人泄露了足够信息以进行完整的账户接管。

有哪些事情我们能做呢？答案就是做一些好的事情。虽然在现代编程环境中不太流行，但是CloudSEK建议实施适当的版本控制，如代码审查及审批，以帮助您维护和管理代码库。此外，应该考虑使用旋转键，并建议将其隐藏在变量中。

研究者指出应该避免在源代码中包含可能影响特定执行条件的环境变量。