Base44「vibe coding」爆重大認證漏洞 可完全繞過SSO存取受保護的應用程式

近日，雲端資安廠商Wiz的研究團隊發現AI驅動開發平台Base44存在一個極其嚴重的認證漏洞，該漏洞允許未經授權的使用者完全存取託管在該服務上的任何私有企業應用程式。

Base44是一個低程式碼平台，讓開發者和軟體團隊能夠使用自然語言描述快速建構和部署功能完整的應用程式，而非傳統的程式碼編寫。該平台月費從20美元到200美元不等，用戶涵蓋個人開發者到企業組織。今年稍早，公司創辦人Maor Shlomo報告該平台已超過2萬名用戶，與Bolt.new、Lovable、Cursor和Replit等類似的AI驅動開發平台齊名。

攻擊手法分析

Wiz研究團隊發現，Base44平台意外地將兩個原本應該隱藏的系統組件暴露給任何人存取，分別是新用戶註冊介面以及一次性密碼（OTP）驗證介面。攻擊者僅需要取得Base44應用程式ID（app_id），然後將該ID輸入到暴露的註冊或驗證工具中，就能註冊一個有效且經過驗證的帳戶來存取該應用程式。更嚴重的是，研究人員發現Base44應用程式ID缺乏適當保護，使得有心人士能夠透過簡單的方法獲取。

研究團隊在進行傳統攻擊偵察時發現Base44兩個網域上暴露了Swagger-UI介面。Swagger-UI是一個用於API文檔的開源工具。研究人員深入分析這些暴露問題，發現能夠迅速取得Swagger-UI實例的非法存取權限。

研究報告指出：「儘管目標應用程式設定為SSO專用存取且我們並無使用權限，但僅憑app_id，我們就能透過Swagger-UI介面註冊新帳戶、取得OTP驗證碼並完成帳戶驗證，整個過程毫無阻礙。」

風險評估

該漏洞可能影響數千個企業應用程式，包括公司聊天機器人、包含個人識別資訊（PII）的應用程式、人力資源系統、內部知識庫，以及日常營運自動化工具。

Wiz威脅暴露部門主管Gal Nagli表示，此漏洞的核心問題在於Base44認證工作流程的邏輯缺陷，使得攻擊者能以極低的技術門檻系統性地入侵平台上的多個應用程式。「攻擊者只要找到Base44主網域上公開的內部API文檔，就能掌握註冊私有應用程式的所有必要參數。任何具備基礎技術知識的人都能據此快速註冊，進而存取原本受到嚴格保護的私有應用程式。」

該漏洞於2025年7月9日被發現，Wiz Research團隊負責任地向Base44和收購該公司的Wix揭露此問題。修補程式在24小時內就已完成部署。現在系統會在允許用戶註冊前，強制執行應用程式隱私設定的驗證程序，確保只有授權用戶能存取平台上的私有應用程式。

今年稍早收購Base44的Wix公司表示：「我們已進行調查，到目前為止沒有發現任何客戶因攻擊者利用此漏洞而受到影響的證據。我們持續認真對待此事件，調查工作仍在進行中。」

這個漏洞突顯了「vibe coding」模式的潛在風險。這類平台以AI為主導進行應用程式開發，用戶參與程度有限，而共享基礎設施的架構特性意味著一個安全漏洞就能影響整個平台上的所有應用程式。

Wiz指出，雖然AI資安討論經常聚焦於提示注入或模型中毒，但基本控制失效，如認證機制破損將構成更直接的威脅。雖然許多人認為這類工具讓軟體開發變得更容易，但也有人擔心某些vibe coding平台相對缺乏安全性和合規性方面。

Nagli表示：「Vibe coding平台讓軟體創新不再受限於程式設計技能，賦能數百萬人快速輕鬆地建構應用程式。但新的攻擊面也隨之出現。這次發現強調了基本控制的重要性，基本控制包括適當的認證和安全的API設計。」

對於企業用戶而言，雖然此次事件不需要客戶採取特別行動，但組織仍應檢查7月9日之前的分析資料，以確認是否有可疑活動。同時，企業也應重新評估所使用的低程式碼和無程式碼平台的安全成熟度，並加強對第三方開發平台上託管應用程式的安全監控。對於平台廠商來說，這次事件提醒業界在系統設計階段就必須納入安全考量，確保所有API端點都有適當的認證和授權控制，並建立定期的安全評估和滲透測試機制。