Vibe coding sérülékenység
A Wiz.io Research egy kritikus biztonsági rést fedezett fel a Base44 nevű AI-alapú vibe coding platformban, amely lehetővé tette bármely privát alkalmazáshoz való jogosulatlan hozzáférést anélkül, hogy a támadónak érvényes belépési engedélye vagy meghívója lett volna. A kihasználás rendkívül egyszerű volt, egyetlen, könnyen megtalálható azonosító (app_id) megadásával bárki regisztrálhatott a regisztráció és e-mail-verifikáció végpontokhoz, így megkerülve az olyan autentikációs módszereket, mint az SSO is.
A probléma forrása az volt, hogy a felhasználói alkalmazásazonosítók könnyen kinyerhetők, ahogy a Wiz kutatói írták, az app_id érték nyilvános része az alkalmazás URI-jának és a hozzá tartozó manifest.json fájlnak, így nem minősül titkos adatnak, mégis kulcsfontosságú volt a támadáshoz.
A sérülékenység nem containert, hanem a platform belső API-ját érintette: a /api/apps/{app_id}/auth/register és /verify-otp végpontokon keresztül bárki létrehozhatott és aktiválhatott fiókot, hozzáférést kapva a privát alkalmazáshoz, még ha SSO kötelező volt is.
A cég széles körű, nagyvállalati felhasználást biztosított olyan alkalmazások számára, amelyek belsős chatbotokat, ügyféladat-kezelést vagy HR-folyamatokat futtattak, így az esetnek jelentős bizalmi és adatvédelmi kockázatai is voltak. Szerencsére Wix — Base44 új tulajdonosa — mindössze 24 órán belül javította a hibát, miután július 9-én értesítették őket, és azóta nincs bizonyíték arra, hogy valaha is visszaéltek volna vele. Wiz önállóan is megerősítette, hogy a javítás hatásos és véglegesnek bizonyult.
A vibe coding platformok a gyors és alacsony kódolási küszöb miatt egyre népszerűbbek, és vállalati környezetben is elterjedtek, ám a belső autentikációs hiányosságok, API-misconfigurációk vagy dokumentációs felületek gondatlan kezelése könnyen katasztrofális adatvédelmi problémákhoz vezethetnek. A Wiz arra figyelmeztet, hogy az ilyen rendszerekben nem az AI-specifikus támadási vektorok jelentik a fő veszélyt, hanem a hagyományos, alapvető hitelesítési kontrollok hiányosságai, amelyek egy hiba esetén az összes alkalmazás biztonságát veszélyeztethetik
