A WIZ Research kiberbiztonsági cége kritikus sebezhetőséget mutatott be a BASE44-ben, a „Vibe kódolási” platformon, amelyet a WITH WITH WIIT nemrégiben szereztek be. A hibát nyilvánosan nyilvánosságra hozták július 29-én , megengedte a szolgáltatáshoz, amelyet a szolgáltatáshoz beépített magánvállalati alkalmazásokhoz nem engedélyeztek, az Simphorit Control-hoz. Wix, amely vásárolt bázist44 44-ben. A nyilvánosságra hozatal július 9-én. A legutóbbi adatvesztés-fiascosok sarkán jelenik meg, amely a Google és a Repit eszközöket érinti, komoly kérdéseket vetve fel az AI-Native platformok biztonságával kapcsolatban.
A WIZ Research által felfedezett sebezhetőség riasztó volt az egyszerűségében, amely az API biztonságának alapvető felügyeletéből származik. Egy részletes műszaki közzétételben A cég magyarázta annak felderítését a Base44 közönségének feltérképezésével, amely egy nyilvános hozzáférhető Swagger-felület felfedezéséhez vezetett. Ez az eszköz, amelynek célja, hogy segítse a fejlesztőket az API-kkal való interakcióban, ténylegesen ütemtervet adott a platform belső működéséhez. Ez azt jelentette, hogy az interneten bárki felhívhatja a funkciót, hogy új felhasználót regisztráljon egy alkalmazáshoz, még olyan privát alkalmazások esetén is, ahol a regisztrációnak le kell tiltani vagy korlátozódni az Enterprise Single Devel-ON (SSO). A Wiz úgy találta, hogy könnyen megszerezhető az alkalmazás URL-útjáról vagy annak nyilvánosan olvasható manifest.json fájljáról. A támadó útja egyértelmű volt: Keressen egy alkalmazás azonosítóját, használja a kitett API-t egy e-mail regisztrálásához, ellenőrizze a fiókot az e-mailre küldött egyszeri jelszóval, és hozzáférjen. létrehozhatott volna egy ellenőrzött fiókot…”. Ez a Base44 összes tervezett adatvédelmi vezérlésének hatékonyan felhasználhatatlanná tette, lehetővé téve a legbiztonságosabb hitelesítési módszer teljes megkerülését. Mivel az összes ügyfél-alkalmazás ugyanazon a mögöttes alapon fut, minden bérlő örököli az eladó biztonsági testtartását. Amint Nagli megjegyezte, „egyetlen hiba a platform magjában, különösen egy olyan kritikus összetevőben, mint a hitelesítés, azonnal veszélyezteti minden, amire épített alkalmazást.” Ez egy egyszerű hibát egy potenciális többszörös bérlő katasztrófává változtat.
Szerencsére a Wix válasza gyors és döntő volt. Miután Wiz felelősségteljesen nyilvánosságra hozta a sebezhetőséget július 9-én, a vállalat biztonsági csapata kevesebb, mint 24 órán belül kidolgozott és telepített egy javítást az egész Base44 platformon. Target=”_ üres”> kijelentés , „Megvizsgáltuk, és eddig nem találtunk bizonyítékot arra, hogy bármely ügyfelet egy támadó érinti a sebezhetőséget kihasználó támadó. Vizsgálatunk folyamatban van, mivel továbbra is komolyan vesszük ezt az ügyet.” A javítást követően a Wiz kutatói önállóan igazolták, hogy a javítás hatékony, megerősítve, hogy a magán alkalmazások jogosulatlan regisztrációs kísérletei már nem voltak lehetségesek. kódoló arany rohanás. A „VIBE kódolás” előfeltétele-a fejlesztés leírására szolgáló kifejezés, ahol a felhasználók bíznak az AI-ben, hogy kézi felügyelet nélkül generáljanak kódot-előre nem látható kockázatok aknamezőjét állítják elő. Amikor ezek az AI-ügynökök közvetlenül végrehajthatják a parancsokat, az egyszerű hallucináció katasztrofális, visszafordíthatatlan következményekkel járhat.