摘要: Wiz Research 发现了 Base44 平台的一个严重漏洞,该漏洞允许攻击者通过提供非秘密的 app_id 值来绕过所有认证控制,从而访问用户构建的私有应用程序。Base44 是一个流行的 vibe coding 平台,它允许用户使用自然语言提示构建应用程序。Wiz Research 在发现漏洞后立即向 Base44 和 Wix 披露了这个问题,Wix 在不到 24 小时内修复了漏洞。该漏洞的影响范围很广,可能影响到所有基于 Base44 构建的应用程序。
讨论: 这段内容主要讨论了关于网络安全和平台安全的问题。一位用户(toddmorey)提到了一个安全漏洞,指出一个简单的漏洞被轻易利用,即通过提供非秘密的app_id值来利用未记录的注册和电子邮件验证端点。这引发了关于安全措施是否足够严格的讨论。zamalek评论了另一个安全问题,认为“ vibe coding”的安全认证应该被视为严重的法律疏忽。sandeepkd提出了一个观点,认为这是一个典型的“安全隐蔽”的例子。darepublic对一些平台的安全性提出了质疑,认为它们只是将LLM(大型语言模型)作为装饰品。bgwalter分享了一些有趣的事实,提到Wix、Wiz和Base44都由前Unit 8200成员创立,并提到了NSO集团使用Wix创建虚假网站的事情。其他用户也对这些话题进行了评论和讨论。
原文标题:Critical vulnerability in AI coding platform Base44 allowing unauthorized access
原文链接:https://www.wiz.io/blog/critical-vulnerability-base44
讨论链接:https://news.ycombinator.com/item?id=44736101