MinhSec
Writer
Sự phát triển nhanh chóng của các nền tảng mã hóa AI như Base44 đang giúp hàng triệu người dễ dàng tạo ra phần mềm mà không cần kiến thức lập trình sâu. Tuy nhiên, mặt trái của sự tiện lợi này là những rủi ro bảo mật mới, điển hình là lỗ hổng nghiêm trọng mới được phát hiện trên chính nền tảng này.
Base44 là một nền tảng mã nguồn thấp (low-code) cho phép người dùng xây dựng ứng dụng thông qua mô tả ngôn ngữ tự nhiên thay vì viết mã thủ công. Với giá chỉ từ 20 đến 200 USD/tháng, nền tảng này thu hút đủ loại người dùng từ lập trình viên độc lập đến các tổ chức doanh nghiệp.
Tuy nhiên, các nhà nghiên cứu của công ty bảo mật đám mây Wiz mới đây đã phát hiện một lỗi xác thực nghiêm trọng trên Base44, cho phép bất kỳ ai chỉ cần có ID ứng dụng cũng có thể đăng ký tài khoản và truy cập trái phép vào các ứng dụng riêng tư vốn được bảo vệ bằng đăng nhập một lần (SSO).
Nguy hiểm hơn, ID của các ứng dụng này không hề được ẩn kỹ, mà có thể dễ dàng thu thập từ tài liệu API công khai. Bằng cách sử dụng các giao diện Swagger-UI bị lộ, nhóm nghiên cứu đã thực hiện đăng ký và xác thực tài khoản mới trên ứng dụng không thuộc sở hữu của họ, qua đó giành quyền truy cập trái phép mà không cần kỹ thuật cao.
Sau khi nhận được cảnh báo, công ty Wix chủ sở hữu hiện tại của Base44 đã nhanh chóng vá lỗi và khẳng định chưa phát hiện dấu hiệu nào cho thấy lỗ hổng bị khai thác ngoài thực tế. Tuy vậy, sự cố này vẫn gióng lên hồi chuông cảnh báo về tính bảo mật của các nền tảng “mã hóa rung cảm” đang nở rộ hiện nay như Bolt.new, Lovable, Cursor hay Replit.
Theo chuyên gia Gal Nagli từ Wiz, vấn đề chính nằm ở lỗi logic trong quy trình xác thực của Base44. Ông cho rằng chỉ với kiến thức cơ bản, kẻ tấn công có thể đăng ký tài khoản và truy cập vào các ứng dụng riêng tư nếu những thành phần như API nội bộ hoặc thông tin app_id không được bảo vệ đúng cách.
Các nền tảng AI giúp đơn giản hóa quá trình viết phần mềm, nhưng cũng mở ra các mặt trận tấn công mới cho tin tặc. Các chuyên gia nhấn mạnh rằng, bên cạnh sự tiện lợi, các nhà phát triển và tổ chức cần đảm bảo các biện pháp kiểm soát bảo mật cơ bản như xác thực chặt chẽ và thiết kế API an toàn để tránh những sự cố đáng tiếc tương tự.
Lỗ hổng cho phép truy cập trái phép vào ứng dụng doanh nghiệp
Base44 là một nền tảng mã nguồn thấp (low-code) cho phép người dùng xây dựng ứng dụng thông qua mô tả ngôn ngữ tự nhiên thay vì viết mã thủ công. Với giá chỉ từ 20 đến 200 USD/tháng, nền tảng này thu hút đủ loại người dùng từ lập trình viên độc lập đến các tổ chức doanh nghiệp.
Tuy nhiên, các nhà nghiên cứu của công ty bảo mật đám mây Wiz mới đây đã phát hiện một lỗi xác thực nghiêm trọng trên Base44, cho phép bất kỳ ai chỉ cần có ID ứng dụng cũng có thể đăng ký tài khoản và truy cập trái phép vào các ứng dụng riêng tư vốn được bảo vệ bằng đăng nhập một lần (SSO).
Nguy hiểm hơn, ID của các ứng dụng này không hề được ẩn kỹ, mà có thể dễ dàng thu thập từ tài liệu API công khai. Bằng cách sử dụng các giao diện Swagger-UI bị lộ, nhóm nghiên cứu đã thực hiện đăng ký và xác thực tài khoản mới trên ứng dụng không thuộc sở hữu của họ, qua đó giành quyền truy cập trái phép mà không cần kỹ thuật cao.
Rủi ro mới từ nền tảng AI và bài học về an toàn hệ thống
Sau khi nhận được cảnh báo, công ty Wix chủ sở hữu hiện tại của Base44 đã nhanh chóng vá lỗi và khẳng định chưa phát hiện dấu hiệu nào cho thấy lỗ hổng bị khai thác ngoài thực tế. Tuy vậy, sự cố này vẫn gióng lên hồi chuông cảnh báo về tính bảo mật của các nền tảng “mã hóa rung cảm” đang nở rộ hiện nay như Bolt.new, Lovable, Cursor hay Replit.
Theo chuyên gia Gal Nagli từ Wiz, vấn đề chính nằm ở lỗi logic trong quy trình xác thực của Base44. Ông cho rằng chỉ với kiến thức cơ bản, kẻ tấn công có thể đăng ký tài khoản và truy cập vào các ứng dụng riêng tư nếu những thành phần như API nội bộ hoặc thông tin app_id không được bảo vệ đúng cách.
Các nền tảng AI giúp đơn giản hóa quá trình viết phần mềm, nhưng cũng mở ra các mặt trận tấn công mới cho tin tặc. Các chuyên gia nhấn mạnh rằng, bên cạnh sự tiện lợi, các nhà phát triển và tổ chức cần đảm bảo các biện pháp kiểm soát bảo mật cơ bản như xác thực chặt chẽ và thiết kế API an toàn để tránh những sự cố đáng tiếc tương tự.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview