Ismét egy vibe-leak.

A Base44 AI-fejlesztő platformon fedeztek fel egy kritikus hibat a Wiz Security kutatói.

A Base44 egy mesterséges intelligenciával támogatott, gyors alkalmazásfejlesztő platform, amely lehetővé teszi a felhasználók számára, hogy percek alatt építsenek alkalmazásokat – fizetési rendszereket, dashboardokat, chat appokat vagy tudásbázisokat. A platform fél éve indult, majd nemrégiben 80 millió dollárért cserélt gazdát.

A Wiz a Base44 Swagger felületén keresztül fedezte fel, hogy az API olyan módszereket tartalmaz, mint például az /api/apps/{app_id}/auth/register és az ehhez hasonló endpointok. Ezen keresztül a támadó képes volt egyszerűen beregisztrálni magát privát, személyes vagy akár vállalati alkalmazásokba is, majd belépni azokba, anélkül, hogy bárki észlelte volna a behatolást.

A probléma oka vicces és tanulságos: a Swagger dokumentációból és API-hívásokból egyszerűen kimaradt az a korlátozás, amely az UI-ban megtiltotta volna a nyílt regisztrációt privát alkalmazásokhoz. A backend pedig nem ellenőrizte ezt a paramétert megfelelően.

A Base44 csapata gyorsan reagált, és már javították is a sebezhetőséget. Az eset azonban ismét rámutat, milyen fontos a megfelelő biztonsági audit és tesztelés AI-alapú fejlesztési környezetek esetén is.

Ez nem elszigetelt eset. A Tea App adatszivárgása 72 000 képet érintett, köztük jogosítványokat és személyes fotókat, amelyek a 4chan fórumon landoltak. Bár ez nem vibe-kódolásból fakadt, hanem régi, nem védett Firebase tárolóból, mégis rávilágít az AI-alkalmazások biztonsági kihívásaira.

Emellett a Lovable platformon is találtak kritikus hibákat, ahol támadók hozzáfértek személyes adósságösszegekhez, lakáscímekhez és API kulcsokhoz.

Az Amazon Q AI-asszisztenst pedig sikerült úgy manipulálni, hogy törölje a felhasználók fájljait.