Wiz、AI搭載のVibeコーディングプラットフォームBase44に重大なアクセスバイパス脆弱性を発見

2025年7月29日Ravie LakshmananLLMセキュリティ / 脆弱性

サイバーセキュリティ研究者は、人気のVibeコーディングプラットフォーム「Base44」において、ユーザーが構築したプライベートアプリケーションへの不正アクセスを許す可能性のある、現在は修正済みの重大なセキュリティ脆弱性を公開しました。

「私たちが発見した脆弱性は非常に簡単に悪用できるものでした。非公開のapp_id値のみを未公開の登録およびメール認証エンドポイントに提供することで、攻撃者はプラットフォーム上のプライベートアプリケーションに対して認証済みアカウントを作成できてしまいました」とクラウドセキュリティ企業Wizは、The Hacker Newsと共有したレポートで述べています。

この問題の結果として、シングルサインオン（SSO）保護を含むすべての認証制御がバイパスされ、プライベートアプリケーションおよびその中のデータへの完全なアクセスが許可されてしまいます。

2025年7月9日の責任ある開示の後、Base44を所有するWixによって公式な修正が24時間以内に展開されました。この問題が実際に悪用された証拠はありません。

Vibeコーディングは、テキストプロンプトを入力するだけでアプリケーション用のコードを生成するAI（人工知能）搭載のアプローチですが、今回の発見は、企業環境でAIツールの人気が高まる中、従来のセキュリティパラダイムでは十分に対処されていない新たな攻撃対象領域が浮き彫りになったことを示しています。

WizがBase44で発見した問題は、認証関連の2つのエンドポイントが無制限に公開されていた設定ミスに関するもので、誰でも「app_id」値のみを入力することでプライベートアプリケーションに登録できてしまうものでした。

• api/apps/{app_id}/auth/register：メールアドレスとパスワードを入力して新規ユーザーを登録するためのエンドポイント
• api/apps/{app_id}/auth/verify-otp：ワンタイムパスワード（OTP）を入力してユーザーを認証するためのエンドポイント

実際、「app_id」値は秘密ではなく、アプリのURLやmanifest.jsonファイルのパスに表示されています。これにより、ターゲットアプリケーションの「app_id」を使って新規アカウントを登録し、さらにOTPを使ってメールアドレスを認証することで、本来所有していないアプリケーションにアクセスできてしまうことも意味していました。

「メールアドレスの確認後、アプリケーションページ内のSSO経由でログインでき、認証をバイパスすることに成功しました」とセキュリティ研究者のGal Nagli氏は述べています。「この脆弱性により、Base44上でホストされているプライベートアプリケーションに認可なしでアクセスできてしまうことになります。」

この動きは、最先端の大規模言語モデル（LLM）や生成AI（GenAI）ツールがジェイルブレイクやプロンプトインジェクション攻撃にさらされ、意図しない動作を引き起こし、倫理的・安全なガードレールを突破して悪意ある応答や偽コンテンツ、幻覚を生成したり、場合によっては偽の反論を提示された際に正しい回答を放棄することさえあるなど、マルチターンAIシステムにリスクをもたらすことが示された中での出来事です。

ここ数週間で報告された攻撃例には、以下のようなものがあります。

• Gemini CLIにおける、コンテキストファイルの不適切な検証、プロンプトインジェクション、誤解を招くユーザー体験（UX）の「有害な」組み合わせにより、信頼できないコードを検査した際に悪意あるコマンドがサイレントに実行される可能性があること。
• Gmailにホストされた特別に細工されたメールを使い、Claudeにメッセージを書き換えさせることで制限を回避し、Claude Desktop経由でコード実行を引き起こすこと。
• xAIのGrok 4モデルをEcho ChamberやCrescendoでジェイルブレイクし、モデルの安全システムを回避して明示的な悪意ある入力なしで有害な応答を引き出すこと。LLMはまた、強化されたシステムプロンプトがない場合、プロンプトインジェクション試行の99%以上で制限されたデータを漏洩し、敵対的な指示に従うことが判明しています。
• OpenAI ChatGPTを推測ゲームで誘導し、有効なWindowsプロダクトキーを開示させること。
• Google Gemini for Workspaceを悪用し、HTMLやCSSのトリックを使ってメッセージ本文に隠し指示を埋め込むことで、正規に見えるが悪意ある指示や警告を含むメール要約を生成させ、ユーザーをフィッシングサイトに誘導すること。
• MetaのLlama Firewallをバイパスし、英語以外の言語やリートスピーク、不可視Unicode文字などの単純な難読化技術を使ってプロンプトインジェクション防御を突破すること。
• ブラウザーエージェントを騙して、プロンプトインジェクション攻撃により認証情報などの機密情報を漏洩させること。

「AI開発の現場はかつてないスピードで進化しています」とNagli氏は述べています。「これらのプラットフォームの基盤にセキュリティを組み込むことは、後付けではなく最初から不可欠であり、企業データを守りつつその変革的な可能性を実現するために重要です。」

この公開は、Snykの研究部門Invariant Labsが、エージェントシステムをModel Control Protocol（MCP）のラグプルやツールポイズニング攻撃などの悪用から強化する手法として、有害フロー分析（TFA）を詳細に説明したタイミングで行われました。

「プロンプトレベルのセキュリティだけに注目するのではなく、有害フロー分析はAIシステムの能力や設定ミスの可能性を深く理解し、潜在的な攻撃シナリオを構築することで、AIシステムにおける攻撃リスクを事前に予測します」と同社は述べています。

さらに、MCPエコシステムでは従来型のセキュリティリスクも持ち込まれており、1,862台ものMCPサーバーが認証やアクセス制御なしでインターネットに公開され、データ窃取やコマンド実行、被害者のリソース悪用によるクラウド料金増大のリスクにさらされています。

「攻撃者はサーバーに保存されたOAuthトークン、APIキー、データベース認証情報を発見・抽出し、AIが接続している他のすべてのサービスへのアクセスを得る可能性があります」とKnosticは述べています。