サイバーセキュリティ会社Wiz Researchは、WebサイトのGiant Wixが最近買収した「Vibe Coding」プラットフォームであるBase44の重大な脆弱性を明らかにしました。欠陥、 7月29日に公開されたは、サービスに基づいて構築されたプライベートエンタープライズアプリケーションへの不正アクセスを許可しました。 wix、

この事件は、急成長するAIを駆動する開発動向のセキュリティリスクに厳しい光を投げかけています。 Googleからのツールを含む最近のデータロスFIASCOSのすぐ後に、AI-Nativeプラットフォームの安全性に関する深刻な質問を提起します。結果

Wiz Researchによって発見された脆弱性は、APIセキュリティの基本的な監視に起因する、その単純さに驚いていました。 詳細な技術的開示 では、会社は、Swagh-Ui-uiのインターフェイスの発見につながったBase44のパブリックドメインをマッピングすることによって開始された偵察を説明しました。開発者がAPIと対話するのを支援するように設計されたこのツールは、プラットフォームの内側の動作へのロードマップを効果的に提供しました。

APIドキュメント内で、研究者は2つの重要なエンドポイント(APP_ID}/auth/Register/{app_id}/auth/auth-otp-auth-otp-expoted exposed readoced expoded regid)を特定しました。これは、インターネット上の誰でも、サインアップが無効になっているか、エンタープライズシングルサインオン(SSO)に制限されていると思われるプライベートアプリであっても、アプリケーションに新しいユーザーを登録するために関数を呼び出すことができることを意味します。 Wizは、アプリケーションのURLパスまたは公開されているManifest.jsonファイルから簡単に取得できることを発見しました。攻撃者のパスは簡単でした。アプリのIDを見つけ、公開されたAPIを使用して電子メールを登録し、そのメールに送信された1回限りのパスワードでアカウントを確認し、アクセスを取得します。検証済みのアカウントを作成しました…」。これにより、Base44の目的のすべてのプライバシー制御が役に立たなくなり、最も安全な認証方法の完全なバイパスが可能になりました。

この欠陥は、ほとんどの最新のAI開発プラットフォームで使用される共有インフラストラクチャモデルに固有の深い全身リスクを強調しています。すべての顧客アプリケーションは同じ基礎となる基盤で実行されるため、すべてのテナントはベンダーのセキュリティ姿勢を継承します。 Nagliが指摘したように、「プラットフォームのコア、特に認証などの重要なコンポーネントの単一の欠陥は、その上に構築されたすべてのアプリケーションを即座に危険にさらします。」これにより、単純なバグが潜在的なマルチテナントの大惨事になります。

幸いなことに、Wixの反応は迅速かつ決定的でした。 Wizが7月9日に責任を持って脆弱性を明らかにした後、同社のセキュリティチームは24時間以内にBase44プラットフォーム全体に修正を開発し、展開しました。 Target=”_ blank”> stating 、「私たちは調査しましたが、これまでのところ、攻撃者が脆弱性を活用する攻撃者の影響を受けたという証拠は見つかりませんでした。この問題を真剣に受け止め続けるにつれて調査が進行中です。」パッチに続いて、Wizの研究者は、修正が効果的であることを独立して確認し、民間アプリケーションでの不正な登録の試みがもはや不可能であることを確認しました。

「バイブコーディング」地雷原:AI駆動型のリスクのパターン

base44事件は、孤立したイベントではなく孤立したイベントではありません。 AIコーディングゴールドラッシュ。 「バイブコーディング」の非常に前提は、ユーザーが手動で監視せずにコードを生成するためにAIを信頼する開発を説明するために使用される用語であり、予期せぬリスクの地雷原を作成します。これらのAIエージェントがコマンドを直接実行できる場合、単純な幻覚は壊滅的で不可逆的な結果につながる可能性があります。

Categories: IT Info