網絡安全公司Wiz Research揭示了Base44的關鍵漏洞,這是網站巨頭Wix最近收購的“ Vibe編碼”平台。瑕疵,在7月29日公開披露,允許未經授權化的訪問對私人企業的私人申請。 Wix, which purchased Base44 in June, promptly patched the vulnerability within 24 hours of它於7月9日的負責任披露。
該事件對新興AI驅動的開發趨勢的安全風險施加了嚴厲的啟示。它緊隨最近的數據-靜止菸絲之後,涉及Google的工具並進行了回复,提出了有關AI-Native平台安全性的嚴重問題。
Wiz Research發現的脆弱性在簡單性上令人震驚,這是由於API安全性的基本監督而引起的。 在詳細的技術披露中,該公司解釋了其偵察始於映射Base44的公共領域,從而導致了公共可訪問的Swagger-uii Interface的發現。該工具旨在幫助開發人員與API互動,有效地為平台的內部工作原理提供了路線圖。
在API文檔中,研究人員確定了兩個關鍵端點-API/apps/{app_id}/auth/auth/auth/寄存器和api/api/api/apps/apps/apps/app_id}/app_id}/verifie-otp-未經exterction that aptication。這意味著互聯網上的任何人都可以調用該功能為應用程序註冊新用戶,即使對於應該被禁用或僅限於Enterprise Single Simple-on-on(SSO)的私人應用程序。
利用這是目標應用程序的唯一信息,這是目標應用程序的唯一信息,這是一個未被視為秘密的值。 Wiz發現它可以從應用程序的URL路徑或其公開可讀的清單。攻擊者的道路很簡單:找到應用程序的ID,使用暴露的API註冊電子郵件,用發送給該電子郵件的一次性密碼驗證帳戶並獲得訪問權限。攻擊者本可以創建一個經過驗證的帳戶……”。這有效地使Base44的所有預期隱私控制毫無用處,從而完全繞過了其最安全的身份驗證方法。
該缺陷突出了大多數現代AI開發平台使用的共享基礎結構模型中固有的深刻系統性風險。由於所有客戶應用程序都在同一基礎基礎上運行,因此每個租戶都繼承了供應商的安全姿勢。正如納格里(Nagli)所指出的那樣,“平台核心中的一個缺陷,尤其是在諸如身份驗證之類的關鍵組件中,立即危害了其構建的每個應用程序。 “這將一個簡單的錯誤變成了潛在的多租戶災難。
幸運的是,Wix的反應迅速而果斷。 After Wiz responsibly disclosed the vulnerability on July 9, the company’s security team developed and deployed a fix across the entire Base44 platform in less than 24 hours.
In a formal statement, the company confirmed the rapid remediation and assured users, 指出,“我們已經進行了調查,到目前為止,還沒有發現任何客戶受到攻擊者利用脆弱性的影響。隨著我們繼續認真對待這一問題,我們的調查正在進行中。 “在補丁之後,Wiz的研究人員獨立驗證了解決方案是有效的,證實了未經授權的註冊嘗試不再是可能的。
“ Vibe編碼”雷區:AI-DRIVE的風險
的模式是最新的,但最新的型號是孤立的事件,而孤立的模式則是孤立的,這是一個令人驚嘆的事件。 AI編碼淘金熱。 “ Vibe編碼”的前提是用戶信任AI在不手動監督的情況下生成代碼的開發的術語,這是一個不可預見的風險的雷區。當這些AI代理可以直接執行命令時,簡單的幻覺會導致災難性的,不可逆轉的後果。
在Base44披露之前的幾天,當產品經理Anuraag Gupta記錄瞭如何記錄,這種危險就在幾天前就被闡明了。