クラウドセキュリティ大手Wizの研究者は、vibeコーディングプラットフォームBase44に重大な脆弱性を発見しました。この脆弱性は、同プラットフォームを利用する企業のプライベートアプリケーションや機密データへアクセスするために悪用される可能性がありました。
Base44は、最近ウェブサイト構築大手のWixに買収されたvibeコーディングプラットフォームで、数千の企業で利用されていると報じられています。Vibeコーディングは、AIツールに入力された自然言語プロンプトに基づいてコードを生成することを可能にします。
Wizの研究者は最近、Base44の公開資産を分析し、認証を回避するために悪用可能なAPIエンドポイントをいくつか発見しました。
彼らは、メールアドレスとパスワードで新規ユーザーを登録し、ワンタイムパスワードでユーザーを認証するためのエンドポイントが認証を必要としないことを突き止めました。これにより、ターゲットの「app_id」値さえあれば、誰でもプライベートアプリケーションにユーザー登録できる状態でした。
AIのセキュリティ対策について詳しく知るにはSecurityWeekのAIリスクサミット – 2025年8月19~20日、リッツカールトン・ハーフムーンベイにて開催
研究者らは、必要な「app_id」が各アプリケーションのURIおよびmanifest.jsonファイルパスにハードコードされていることをすぐに発見しました。これにより、所有していないアプリケーションにも新しいユーザーアカウントを登録できてしまいました。
「調査の過程で、認証バイパスが人気のvibeコーディングプラットフォームを利用する複数の企業アプリケーションで可能であることを確認しました。これらは社内チャットボット、ナレッジベース、個人情報(PII)や人事業務などに利用されており、重大な機密データが不正な攻撃者に漏洩する可能性がありました」とWizは説明しています。
同社はさらに、「この脆弱性が特に懸念されたのは、その単純さにあります。悪用には基本的なAPI知識だけで十分でした。この参入障壁の低さにより、攻撃者は最小限の技術力でプラットフォーム上の複数のアプリケーションを体系的に侵害できてしまう状況でした」と付け加えました。
広告。スクロールして続きをお読みください。
Wixは通知を受けてから24時間以内にこの脆弱性にパッチを適用し、調査の結果、修正が適用される前に実際に悪用された形跡はなかったことが判明しました。パッチはサーバー側で適用されたため、顧客側での対応は不要です。