Wiz Research’ten yeni bir rapora göre, popüler AI destekli geliştirme platformunda kritik bir güvenlik açığı Base44, yetkisiz saldırganların kimlik doğrulama kontrollerini atlamasına ve özel kurumsal uygulamalara erişmesine izin verdi.
O zamandan beri yamalı olan kusur, dahili araçlar ve otomasyon için vibe kodlama platformunu kullanarak birden fazla kuruluşta hassas kurumsal verileri ortaya çıkardı.
Vibe kodlama platformlarının yükselişi
Vibe kodlaması, kullanıcıların doğal dil istemleri yoluyla fonksiyonel uygulamalar oluşturmak için yapay zekaya güvendiği ve geleneksel programlama becerilerine olan ihtiyacı ortadan kaldırdıkları yazılım geliştirmeye devrim niteliğinde bir yaklaşımı temsil eder.
Base44, sevimli ve Bolt gibi platformlar, uygulama geliştirmeyi demokratikleştirerek milyonlarca kullanıcının kişisel araçlardan hassas kurumsal verileri işleyen kurumsal sınıf sistemlerine kadar her şeyi oluşturmasını sağlıyor.
AI geliştirme alanındaki hızlı artışının ardından WIX tarafından yakın zamanda WIX tarafından 80 milyon dolara satın alınan Base44, tüm müşterilerin satıcının güvenlik duruşunu devraldığı ortak altyapı uygulamalarına ev sahipliği yapıyor.
Bu model, platform düzeyinde güvenlik açıklarının sistem üzerine inşa edilen her uygulamayı anında tehlikeye atabileceği kritik bir tek başarısızlık noktası oluşturur.
Wiz Research tarafından keşfedilen kırılganlığın sömürülmesi son derece basitti.
Saldırganlar, belgesiz kayıt ve e-posta doğrulama uç noktalarına erişmek için yalnızca gizli olmayan bir App_id değerine ihtiyaç duyuyordu ve tek oturum açma (SSO) korumaları dahil tüm kimlik doğrulama kontrollerini etkili bir şekilde atladı.
Rastgele dizeler olarak görünen APP_ID değerleri aslında URIS ve manifest.json dosya yollarında görünürdür, bu da onları gerçekten gizliden ziyade kolayca keşfedilebilir hale getirir.
Bu halka açık tanımlayıcıları kullanarak, saldırganlar Base44’ün Swagger-UI arayüzü aracılığıyla özel uygulamalar için yeni kullanıcı hesapları kaydedebilir, e-posta yoluyla doğrulama kodlarını alabilir ve sahip olmadıkları uygulamalara tam erişim sağlayabilir.
Araştırmaları sırasında Wiz müfettişleri, iç sohbet botları, bilgi tabanları ve kişisel olarak tanımlanabilir bilgiler ve diğer hassas kurumsal veriler içeren İK sistemleri de dahil olmak üzere birden fazla kurumsal uygulamanın savunmasız olduğunu doğruladılar.
Güvenlik açığını keşfettikten sonra, Wiz Research sorunu sorumlu açıklama uygulamaları yoluyla derhal açıkladı.
Base44 ve Wix raporu derhal doğruladı ve 24 saat içinde bir düzeltme uyguladılar. Wix, vahşi doğada kırılganlığın geçmişten kullanıldığına dair bir kanıt olmadığını doğruladı.
Güvenlik kusuru, AI ile çalışan geliştirme platformlarının paylaşılan altyapı modelinin doğasında var olan daha geniş riskleri vurgular.
Bu sistemler devlet kurumlarına ve kritik altyapıya giderek daha fazla entegre hale geldikçe, platform düzeyinde güvenlik açıklarının potansiyel etkisi katlanarak artmaktadır.
Bu olay, hızla genişleyen vibe kodlama ekosistemindeki sağlam güvenlik önlemlerinin öneminin altını çizmektedir.
Kritik iş fonksiyonları için bu platformlara giderek daha fazla dayanan işletmelerle, kapsamlı güvenlik değerlendirmeleri ve proaktif güvenlik açığı yönetimi, hassas organizasyonel verilerin bütünlüğünü korumak ve yapay zeka destekli geliştirme araçlarının güvenli evrimini sağlamak için gereklidir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!