報導摘要

資安研究公司Wiz於2025年7月揭露AI開發平台Base44（vibe‑coding類型）存在嚴重認證漏洞：攻擊者僅憑一組非機密的app_id，即可透過未受保護的註冊與OTP驗證API，為私人應用建立帳號，繞過包括SSO在內的所有存取控制。Wix所屬團隊在收到通報後，於24小時內全面修補漏洞，無發現該漏洞曾被實際濫用。

資安風險

1. 認證邏輯設計失誤：api/apps/{app_id}/auth/register和verify‑otp端點未進行驗證限制，讓任何人可用app_id 建立帳戶並驗證Email，即使該應用設定為私人且僅允許SSO存取。
2. app_id易被公開取得：應用的manifest.json路徑與URL均明文含有app_id，公開可用，無需破解。
3. 單點共用風險：vibe‑coding平台採共享基礎設施架構，一項設計錯誤可能導致整平台上所有應用暴露風險。

安全影響

Base44為企業內部chatbot、知識庫、人資系統、自動化工具等多種應用平台。例如多家公司可能承載員工敏感資訊、個人識別資料或商業機密。一旦攻擊者取得資料，可能導致資訊外洩、內部決策曝光或自動化流程失效等嚴重後果。此外，此漏洞易被低技術攻擊者系統化濫用，破壞力大且易大規模影響。

行動建議

1. 緊急盤點Base44或類似vibe‑coding平台在用情形，確認所有應用的app_id是否曝光、是否設定為私有。
2. 對已使用平台進行安全評估：確認平台廠商是否已實施最新補強，是否修正API認證流程與endpoint限制。
3. 限制app_id曝露範圍：若服務支援自訂URL或隱藏manifest資訊，應降低app_id可見程度。
4. 實施多因素驗證與嚴格註冊流程：私有應用即使使用app_id，也應強制多因素認證與郵件或管理員審核流程。
5. 加強API管控與Swagger接口安全：關閉或限制內部文件頁面（如Swagger‑UI）存取權限，避免攻擊者透過它探索端點。
6. 定期進行滲透測試與紅隊模擬攻擊：模擬利用app_id試圖存取私人應用，驗證防禦是否有效。

結論

本次Base44平台所揭露的認證漏洞，再度提醒企業使用AI驅動的vibe‑coding平台時應特別留意其共用基礎設施與驗證流程的脆弱性。此類開放式開發服務雖方便快捷，但若缺乏嚴謹的認證與API控制機制，極易造成高危資安事件。建議企業立即檢視所使用平台的安全架構、強化驗證控管流程、限制資訊曝光，並要求平台廠商進行安全強化，以降低潛在風險。