随着人工智能技术在开发领域的广泛应用,AI驱动的平台不断涌现,极大提高了软件开发的效率和创新能力。Base44作为一款备受欢迎的AI赋能的vibe编码平台,为开发者提供了便捷的代码生成功能,使得应用程序的构建变得更加智能和快速。然而,就在2025年7月,云安全公司Wiz披露了Base44平台存在的一个严重安全漏洞,引发业界关注。该漏洞涉及关键访问绕过(Access Bypass),攻击者只需通过非秘密的“app_id”参数即可绕过严格的身份验证,获得对用户私有应用的完全访问权限,甚至绕过包括单点登录(SSO)在内的多重身份验证机制。此发现不仅揭示了Base44在安全配置上的重大缺失,也敲响了AI驱动应用安全防护的警钟。Base44的平台架构中,开发人员可以通过提供简洁的文本提示,利用AI自动生成应用代码,极大降低了入门门槛和开发成本。
该平台的两个关键认证接口api/apps/{app_id}/auth/register与api/apps/{app_id}/auth/verify-otp便捷地支持用户注册与邮箱验证。然而,Wiz的研究表明,这两个接口未对传入的“app_id”参数进行充分的权限校验和访问控制。由于“app_id”本身并非机密信息,且可轻易从应用URL或manifest.json文件路径中获取,攻击者便可利用此参数冒充已经验证的用户身份,成功注册并通过OTP验证,进而非法登入他人私有应用。此次漏洞的核心问题在于身份验证流程设计上的疏漏。一般而言,应用应依赖于机密令牌、动态密钥或其他难以预测的身份标识以确保请求的合法性,而Base44在此环节无视了这一安全基本原则,将共享且可公开获取的“app_id”当作认证依据,导致认证层面毫无防御能力。Wiz联合安全研究员Gal Nagli进一步证实,攻击者利用该漏洞不仅能轻松绕过登录界面上的SSO保护,还可访问应用内所有受保护的数据和功能,严重威胁用户隐私和企业信息安全。
基于负责任的漏洞披露原则,Wiz于2025年7月9日将漏洞及时报告给Base44的母公司Wix。后者迅速采取补救措施,在24小时内修补了问题,消除了安全隐患。截至目前,尚无证据表明该漏洞已被恶意利用,减轻了潜在的安全风险。尽管如此,事件带来的警示意义不容忽视。AI和大语言模型(LLM)的兴起,极大地推动了软件开发的新范式,但与此同时,伴生的安全风险日益复杂且难以预料。传统安全模型往往难以应对AI赋能环境中出现的独特挑战,如错误配置、权限滥用、输入验证不足等问题。
本次Base44漏洞事件正是典型案例,提醒企业和开发者在享受AI便捷性的同时,必须将安全作为设计和运营的核心组成部分。事实上,近期安全界频频披露针对昂扬AI生态的攻击案例,包括大型语言模型的越狱攻击、欺骗性提示注入、恶意代码执行等。这些攻击利用了AI系统在输入验证、上下文理解和用户交互设计方面的弱点,形成新型攻击面。Gemini CLI、Claude Desktop、xAI Grok 4等知名AI项目均曾曝出不同程度的安全漏洞,黑客通过精心设计的攻击链实现对AI模型的操控,甚至诱使其生成有害内容或泄露敏感信息。面对这一态势,安全专家强调应构建以风险预测和攻击模拟为核心的“毒性流分析”(Toxic Flow Analysis)方法,通过深度理解AI系统功能和潜在配置风险,提前识别可能的攻击路径,有效提升AI生态安全韧性。此外,AI相关的控制客户端协议(Model Control Protocol,MCP)服务器设置不当,也成为安全隐患的新源。
研究显示,全球近两千台MCP服务器未设置访问权限保护,暴露于公网环境中,极易遭受数据窃取和资源滥用。攻击者可借此获取OAuth令牌、API密钥及数据库凭证,进一步侵入其他相关系统,造成连锁反应。安全业内呼吁,企业应加速完善AI系统的安全测试与评估,强化身份认证机制,采用最小权限原则管理关键凭据,并定期审计配置暴露风险。AI平台开发者理应将安全设计融入开发生命周期,从代码生成、验证流程到用户权限管理等环节设定多层次防御,防止简单易破解的安全漏洞被利用。此次Base44漏洞事件也反映出在AI赋能的新兴应用领域,安全治理体系亟待升级。传统的静态安全策略已难以满足动态变化的攻击环境要求,必须结合自动化安全工具和人工智能安全技术,打造实时监测和应急响应能力。
与此同时,企业自身也需关注AI供应链安全,确保第三方组件和依赖库安全无虞,降低外部风险传导。展望未来,AI技术的深度融合和广泛应用将持续改变软件开发与运维格局,但治本之策仍要扎根于安全文化建设和专业能力提升。借鉴此次事件,业界可吸取教训,加强跨领域协作,推动相关安全标准和法规完善,促使AI生态进入健康、可持续的轨道。总而言之,Base44关键访问绕过漏洞的曝光为全球AI编码平台乃至整个智能应用生态敲响警钟。在人工智能风口浪尖之际,只有将安全作为底层基石,科技进步才能真正惠及社会,保障数字化未来的稳健发展。安全问题无小事,唯有预防为主,方能立于不败之地。
。
