Perusahaan cybersecurity Wiz Research telah mengungkapkan kerentanan kritis di Base44, platform”Vibe Coding”yang baru-baru ini diakuisisi oleh situs web raksasa Wix. The flaw, publicly disclosed on July 29, allowed unauthorized access to private enterprise applications built on the service.
According to Wiz, the simple exploit could have been used to bypass all authentication controls, including Sso. Wix, which purchased Base44 in June, promptly patched the vulnerability within 24 hours of Pengungkapan yang bertanggung jawab pada 9 Juli.
Insiden ini memberikan lampu yang keras pada risiko keamanan tren pembangunan bertenaga AI yang sedang berkembang. It comes on the heels of recent data-loss fiascos involving tools from Google and Replit, raising serious questions about the safety of AI-native platforms.
A Simple Flaw With Systemic Consequences
Kerentanan yang ditemukan oleh Wiz Research mengkhawatirkan dalam kesederhanaannya, yang berasal dari pengawasan mendasar dalam keamanan API. Dalam pengungkapan teknis yang terperinci , perusahaan menjelaskan pengintaiannya yang dapat dipetakan dengan pengampunan publik. This tool, designed to help developers interact with APIs, effectively provided a roadmap to the platform’s inner workings.
Within the API documentation, researchers identified two critical endpoints—api/apps/{app_id}/auth/register and api/apps/{app_id}/auth/verify-otp—that were exposed without proper authentication checks. Ini berarti bahwa siapa pun di internet dapat memanggil fungsi untuk mendaftarkan pengguna baru untuk aplikasi, bahkan untuk aplikasi pribadi di mana pendaftaran seharusnya dinonaktifkan atau dibatasi untuk Enterprise Single Sign-on (SSO).
Satu-satunya informasi yang diperlukan untuk mengeksploitasi ini adalah aplikasi aplikasi target, nilai yang tidak diperlakukan sebagai rahasia. Wiz menemukan itu mudah diperoleh dari jalur URL aplikasi atau file manifest.json yang dapat dibaca publik. Jalur penyerang sangat mudah: temukan ID aplikasi, gunakan API yang diekspos untuk mendaftarkan email, memverifikasi akun dengan kata sandi satu kali yang dikirim ke email itu, dan mendapatkan akses.
Peneliti Wiz Gal Nagli menjelaskan mekanika, menyatakan, “Kerentanan yang kami temukan sangat sederhana untuk dieksploitasi… dengan hanya memberikan non-non-screc yang tidak dieksploitasi dengan non-scrice yang tidak dapat dieksploitasi… dengan memberikan hanya non-non-screc-nilai. bisa membuat akun terverifikasi…”. Ini secara efektif membuat semua kontrol privasi yang dimaksudkan Base44 tidak berguna, memungkinkan bypass lengkap dari metode otentikasi yang paling aman.
Cacat menyoroti risiko sistemik yang mendalam yang melekat dalam model infastruktur bersama yang digunakan oleh sebagian besar platform pengembangan AI modern. Karena semua aplikasi pelanggan berjalan di fondasi yang sama, setiap penyewa mewarisi postur keamanan vendor. Seperti yang dicatat Nagli,”Satu cacat tunggal di inti platform, terutama dalam komponen penting seperti otentikasi, secara instan membahayakan setiap aplikasi yang dibangun di atasnya.”Ini mengubah bug sederhana menjadi bencana multi-penyewa yang potensial.
Untungnya, respons Wix cepat dan menentukan. Setelah Wiz secara bertanggung jawab mengungkapkan kerentanan pada 9 Juli, tim keamanan perusahaan mengembangkan dan menggunakan perbaikan di seluruh platform Base44 dalam waktu kurang dari 24 jam.
Dalam pernyataan formal, perusahaan mengkonfirmasi remediasi yang cepat dan meyakinkan pengguna, menyatakan ,”Kami telah menyelidiki dan, sejauh ini, tidak menemukan bukti bahwa pelanggan mana pun dipengaruhi oleh penyerang yang memanfaatkan kerentanan. Investigasi kami sedang berlangsung karena kami terus menangani masalah ini dengan serius.”Following the patch, Wiz researchers independently verified the fix was effective, confirming that unauthorized registration attempts on private applications were no longer possible.
The ‘Vibe Coding’ Minefield: A Pattern of AI-Driven Risk
The Base44 incident is not an isolated event but the latest in a disturbing pattern of high-profile failures that expose the unique dangers of AI Coding Gold Rush. Premis”pengkodean getaran”-istilah yang digunakan untuk menggambarkan pengembangan di mana pengguna mempercayai AI untuk menghasilkan kode tanpa pengawasan manual-menciptakan ladang ranjau risiko yang tidak terduga. When these AI agents can directly execute commands, a simple hallucination can lead to catastrophic, irreversible consequences.
This danger was starkly illustrated just days before the Base44 disclosure, when product manager Anuraag Gupta documented how
