Wiz 发现 AI 驱动的 Vibe 编码平台 Base44 中存在关键访问绕过漏洞

2025-07-30 07:23:28 1 205

网络安全公司Wiz披露,AI编码平台Base44存在一个严重漏洞,攻击者可仅通过公开的“app_id”注册并访问私有应用程序,绕过SSO等身份验证机制。Wix已在24小时内修复该问题,暂无被利用迹象。事件突显AI平台安全薄弱,研究还发现多个主流AI系统易受提示注入攻击,可能导致数据泄露与命令执行。专家呼吁将安全性融入AI系统设计。






网络安全研究人员披露了流行的氛围编码平台 Base44 中一个现已修补的严重安全漏洞,该漏洞可能允许未经授权访问其用户构建的私人应用程序。

云安全公司 Wiz在与 The Hacker News 分享的一份报告中表示:“我们发现的漏洞非常容易利用——只需向未记录的注册和电子邮件验证端点提供非秘密的 app_id 值,攻击者就可以在其平台上为私人应用程序创建一个经过验证的帐户。”

该问题的最终结果是它绕过了所有身份验证控制,包括单点登录 (SSO) 保护,从而授予对其中包含的所有私人应用程序及其数据的完全访问权限。

继 2025 年 7 月 9 日负责任地披露此漏洞后,Base44 的拥有者 Wix 在 24 小时内发布了官方修复程序。目前尚无证据表明该漏洞曾在野外被恶意利用。

虽然氛围编码是一种人工智能 (AI) 驱动的方法,旨在通过简单地提供文本提示作为输入来为应用程序生成代码,但最新发现突显了由于企业环境中 AI 工具的普及而出现的攻击面,传统安全范式可能无法充分解决这一问题。

Wiz 在 Base44 中发现的缺陷涉及一个错误配置,该配置导致两个与身份验证相关的端点不受任何限制地暴露,从而允许任何人仅使用“app_id”值作为输入来注册私人应用程序 -

api/apps/{app_id}/auth/register,用于通过提供电子邮件地址和密码来注册新用户
api/apps/{app_id}/auth/verify-otp,用于通过提供一次性密码 (OTP) 来验证用户
事实证明,“app_id”值并非机密信息,在应用程序的URL及其manifest.json文件路径中可见。这也意味着攻击者可以使用目标应用程序的“app_id”不仅注册新帐户,还可以使用OTP验证电子邮件地址,从而获得对原本不属于他们的应用程序的访问权限。

网络安全
安全研究员 Gal Nagli 表示:“确认电子邮件地址后,我们只需通过应用程序页面内的 SSO 登录,即可成功绕过身份验证。此漏洞意味着托管在 Base44 上的私人应用程序可能会在未经授权的情况下被访问。”

安全研究人员已经证明,最先进的大型语言模型 (LLM) 和生成式人工智能 (GenAI) 工具可以被越狱或遭受快速注入攻击,并使其以非预期的方式运行,突破其道德或安全护栏,产生恶意反应、合成内容或幻觉,并且在某些情况下,甚至在出现错误的反驳时放弃正确答案,对多轮人工智能系统构成风险。


最近几周记录的一些袭击事件包括:

Gemini CLI中的上下文文件验证不当、提示注入和误导性用户体验 (UX) 的“有害”组合可能导致在检查不受信任的代码时静默执行恶意命令。
使用 Gmail 中托管的特殊制作的电子邮件,通过诱骗Claude 重写消息来通过 Claude Desktop 触发代码执行,以便绕过对其施加的限制。
使用Echo Chamber 和 Crescendo越狱 xAI 的 Grok 4 模型,绕过该模型的安全系统,并在不提供任何明确恶意输入的情况下引发有害响应。此外,在超过 99% 的即时注入尝试中,LLM 被发现泄露了受限数据并遵循恶意指令,且没有任何强化的系统提示。
通过猜谜游戏迫使 OpenAI ChatGPT泄露有效的 Windows 产品密钥
利用 Google Gemini for Workspace 生成看似合法的电子邮件摘要,但其中包含恶意指令或警告,通过使用 HTML 和 CSS 技巧在邮件正文中嵌入隐藏指令,将用户引导至钓鱼网站。
绕过 Meta 的 Llama 防火墙,使用非英语语言的提示或简单的混淆技术(如黑客语言和不可见的 Unicode 字符)来击败提示注入保护措施。
通过提示注入攻击欺骗浏览器代理泄露凭据等敏感信息。
纳格利表示:“人工智能发展格局正以前所未有的速度演变。将安全性融入这些平台的基础,而不是事后才考虑,这对于在保护企业数据的同时发挥其变革潜力至关重要。”

网络安全
此次披露正值 Snyk 的研究部门 Invariant Labs 详细介绍了毒性流分析 (TFA),以此作为加强代理系统抵御模型控制协议 ( MCP ) 漏洞(如地毯拉动和工具中毒攻击)的一种方法。

该公司表示:“毒性流分析不仅仅关注即时级别的安全性,还通过构建潜在的攻击场景,利用对人工智能系统功能和错误配置可能性的深入了解,预先预测人工智能系统遭受攻击的风险。”

此外,MCP 生态系统还引入了传统的安全风险,多达 1,862 台 MCP 服务器在没有任何身份验证或访问控制的情况下暴露在互联网上,面临数据盗窃、命令执行和受害者资源滥用的风险,从而产生巨额云费用。

Knostic表示:“攻击者可能会找到并提取存储在服务器上的 OAuth 令牌、API 密钥和数据库凭据,从而授予他们访问 AI 所连接的所有其他服务的权限。”
类别 新闻资讯

关于作者

zsc081037篇文章79篇回复

zsc0810
1

评论1次

要评论?请先  登录  或  注册
  • 1楼
    beiank
    Rank: 1
    前天 09:00

    不仅绕过了单点登录 (SSO) ,还知道了注册用户接口 和 一次性密码的验证接口 ,这个接口权限 开放的程度够大