Base44漏洞凸显Vibe-Coding平台安全风险

来源：Danawan Purbanggoro via Shutterstock

能够使开发者以最小化传统编码方式构建软件的“vibe coding”平台兴起，可能给企业带来大量新的安全风险。

近期案例是Base44人工智能驱动开发平台中一个现已修复的漏洞，该漏洞允许未授权用户完全访问托管在该服务上的私有企业应用。此认证缺陷由云安全公司Wiz的研究人员发现，该公司于今年3月被谷歌以320亿美元收购。

令人担忧的GenAI漏洞允许广泛代码泄露

根据Wiz研究人员的说法，该漏洞最令人担忧之处在于其利用难度极低。“这种低门槛意味着攻击者可以系统性地危害平台上多个应用，且所需技术复杂度极低，”Wiz在本周关于该问题的报告中表示。

但目前没有证据表明在Wiz发现并于本月早些时候向Wix报告该问题之前，有人实际利用过此漏洞。今年早些时候收购Base44的Wix已解决该问题，并可能因Wiz发现该缺陷而彻底改进其认证控制机制。

“我们经过调查，迄今未发现任何客户受到攻击者利用该漏洞影响的证据，”该公司表示。“我们持续认真对待此事，调查仍在进行中。”

Base44平台背景

Base44是一个低代码平台，专为开发者和软件团队设计，可通过自然语言描述（而非传统编程代码）快速构建和部署功能完整的应用。其付费订阅起价仅为每月20美元，最高可达每月200美元，用户范围从个人开发者到企业组织。

今年早些时候，公司创始人Maor Shlomo报告称该平台用户已超过2万。类似平台如Bolt.new、Lovable、Cursor和Replit也提供可比的AI驱动开发选项。

漏洞技术细节

Wiz发现的漏洞允许攻击者绕过所有认证控制（包括Base44的单点登录（SSO）机制），访问平台上属于其他用户的应用。这使数千个企业应用面临风险，包括公司聊天机器人以及包含个人身份信息和敏感信息的应用。

系统暴露核心问题

该漏洞核心问题在于Base44平台无意中将两个本应隐藏的系统部分对外开放：一个用于注册新用户，另一个用于通过一次性密码（OTP）验证用户注册。基本上，用户无需登录或特殊权限即可使用这些功能。

Wiz发现任何找到Base44应用ID（平台为所有在其上开发的应用分配的标识符）的人，都可以将该ID输入本应隐藏的注册或验证工具中，注册一个有效且经过验证的账户来访问该应用。Wiz研究人员还发现Base44应用ID很容易被发现，因为任何知道查找位置和方法的人都可以公开访问它们。

漏洞发现过程

研究团队在研究vibe coding平台并对攻击面进行传统侦察时，收到警报称Swagger-UI（一个用于API文档的开源工具）的两个接口在两个Base44域上暴露。研究人员追踪这些暴露点至该漏洞，并发现他们可以快速建立对Swagger-UI实例的未授权访问。

“使用目标应用的app_id，我们通过Swagger-UI界面成功注册了新用户账户，通过电子邮件接收OTP验证码，并验证了新账户——所有这些操作都是针对我们并不拥有且配置为仅限SSO访问的应用，”报告称。

根本原因与影响

Wiz威胁暴露主管Gal Nagli表示，该问题主要源于Base44认证工作流程中的逻辑缺陷。“一旦攻击者发现内部API文档（在Base44主域上公开可访问），他们会意识到注册到私有应用所需的所有参数都已暴露，”他说。“凭借最少的技术知识，攻击者可以快速注册并获得本应仅限授权用户访问的私有应用的访问权限。”

Nagli表示Wiz用于在野外发现Base44应用ID的方法仍然有效。但Wix已通过在执行允许用户注册账户访问平台上私有应用之前，强制对应用隐私设置进行适当验证，成功缓解了该漏洞本身。

行业影响与警示

Nagli指出，像Base44这样的vibe coding平台民主化了软件开发，使数百万人能够快速轻松地构建应用。虽然它们的广泛流行证明了AI驱动开发的快速增长，但新的攻击面也在同步出现。“我们的发现凸显了基本控制（包括适当认证和安全API设计）至关重要，”他说。

关于作者：Jai Vijayan是一位拥有20多年IT贸易新闻工作经验的经验丰富的技术记者。他最近担任Computerworld的高级编辑，负责报道信息安全和数据隐私问题。