La firma de ciberseguridad Wiz Research ha revelado una vulnerabilidad crítica en Base44, la plataforma”Vibe Coding”adquirida recientemente por el sitio web Giant Wix. La falla, divulgada públicamente el 29 de julio , permití que el acceso no autorizado a las aplicaciones de las empresas privadas se construya en el servicio.
según la exposición simple, la sencilla de exposición podría haber sido utilizada a las empresas privadas construidas en el servicio. SSO. Wix, que
El incidente arroja una luz dura sobre los riesgos de seguridad de la floreciente tendencia de desarrollo de IA. It comes on the heels of recent data-loss fiascos involving tools from Google and Replit, raising serious questions about the safety of AI-native platforms. La vulnerabilidad descubierta por Wiz Research fue alarmante en su simplicidad, derivada de supervisión fundamental en la seguridad de las API. En una divulgación técnica detallada , la firma explicó su reconocimiento comenzó mediante la mapeo de los dominios públicos de Base44, lo que condujo a la descubrimiento de una interfaz de Swagger-UI de acceso público. Esta herramienta, diseñada para ayudar a los desarrolladores a interactuar con las API, proporcionó efectivamente una hoja de ruta a los trabajos internos de la plataforma. Dentro de la documentación de API, los investigadores identificaron dos puntos finales críticos: API/APPS/{APP_ID}/Auth/Register y API/APPS/{APP_ID/AUT/Verify-OTP). Esto significaba que cualquier persona en Internet podría llamar a la función para registrar un nuevo usuario para una aplicación, incluso para aplicaciones privadas donde se suponía que los registros debían deshabilitar o restringirse a la inicio de sesión único (SSO) (SSO). Wiz descubrió que se podía obtener fácilmente de la ruta de URL de la aplicación o su archivo Manifest.json legible públicamente. An attacker’s path was straightforward: find an app’s ID, use the exposed API to register an email, verify the account with the one-time password sent to that email, and gain access. Wiz researcher Gal Nagli explained the mechanics, stating, “the vulnerability we discovered was remarkably simple to exploit… by providing only a non-secret app_id value to undocumented registration and email verification endpoints, an attacker could han creado una cuenta verificada…”. Esto efectivamente hizo inútil todos los controles de privacidad previstos de Base44, lo que permite un bypass completo de su método de autenticación más seguro. La falla destaca el riesgo sistémico profundo inherente al modelo de infraestructura compartida utilizada por la mayoría de las plataformas de desarrollo de IA modernas. Debido a que todas las aplicaciones de los clientes se ejecutan en la misma base subyacente, cada inquilino hereda la postura de seguridad del proveedor. Como señaló Nagli,”un solo defecto en el núcleo de la plataforma, especialmente en un componente crítico como la autenticación, pone en peligro instantáneamente cada aplicación construida sobre ella”. Esto convierte un error simple en una posible catástrofe de múltiples inquilinos. Afortunadamente, la respuesta de Wix fue rápida y decisiva. Después de que Wiz reveló responsablemente la vulnerabilidad el 9 de julio, el equipo de seguridad de la compañía desarrolló e implementó una solución en toda la plataforma Base44 en menos de 24 horas. En una declaración formal, la compañía confirmó la rápida remediación y los usuarios asegurados, declarando ,”Hemos investigado y, hasta ahora, no encontramos evidencia de que un cliente se viera afectado por un atacante que aprovechó la vulnerabilidad. Nuestra investigación está en curso a medida que continuamos tomando este asunto en serio”. Después del parche, los investigadores de WIZ verificaron de forma independiente la solución fue efectiva, confirmando que los intentos de registro no autorizados en aplicaciones privadas ya no eran posibles. El incidente de la base44 no es un evidente asolado en el estado de alta calidad de los perturbadores de la inquietud de los fallos de alto plafil de la inquietud de la fallación de los inquietantes. AI codificando la fiebre del oro. La premisa misma de la”codificación de ambas”, un término utilizado para describir el desarrollo donde los usuarios confían en la IA para generar código sin supervisión manual, crea un campo minado de riesgos imprevistos. Cuando estos agentes de IA pueden ejecutar directamente los comandos, una simple alucinación puede conducir a consecuencias catastróficas e irreversibles. Este peligro se ilustra de manera marcada solo unos días antes de la divulgación de base44, cuando el gerente de producto Anuraag Gupta documentó cómo 
A Simple Flaw With Systemic Consecuencias
El campo minado de”codificación de vibración”: un patrón de riesgo de alta AI
