أحد أكثر المجالات التي شهدت تحولًا عميقًا في أعقاب ثورة LLM هو إنشاء الأكواد البرمجية، وخاصة ظهور البرمجة الحيوية، حيث تحل مطالبات اللغة الطبيعية محل البرمجة التقليدية. لقد مكّن هذا التحول الملايين من المستخدمين الذين لديهم خلفية تقنية قليلة أو معدومة من إنشاء تطبيقات كاملة الوظائف بسهولة.
تقف منصات مثل Lovable، وBolt، وBase44 في مقدمة هذه الحركة – فقد مكنت من إنشاء ملايين التطبيقات التي تمتد من الأدوات الشخصية إلى المؤسسات التي تعتمد الآن على هذه المنصات لبناء روبوتات الدردشة الداخلية، وإنشاء عمليات أتمتة معقدة، والوثوق بها مع بيانات الشركة الحساسة.
في إطار مهمتنا للعثور على مخاطر الذكاء الاصطناعي والسحابة الجديدة، تبحث Wiz Research في الوضع الأمني لمنصات التطوير التي تعمل بالذكاء الاصطناعي لتحديد نقاط الضعف المشتركة التي قد تؤثر على الصناعة ككل – وهي مهمة تصبح أكثر أهمية مع إدخال هذه الأنظمة والتقنيات في الحكومات والبنية التحتية الحيوية الأخرى.
حددت Wiz Research ثغرة أمنية خطيرة تؤثر على منصة البرمجة الرائجة Base44 (التي استحوذت عليها Wix مؤخرًا بعد صعودها السريع بشكل مذهل) والتي سمحت بالوصول غير المصرح به إلى التطبيقات الخاصة التي أنشأها مستخدموها.
كان من السهل استغلال الثغرة الأمنية التي اكتشفناها – من خلال توفير قيمة app_id غير سرية فقط للتسجيل غير الموثق ونقاط نهاية التحقق من البريد الإلكتروني، كان من الممكن أن يقوم المهاجم بإنشاء حساب تم التحقق منه للتطبيقات الخاصة على نظامه الأساسي.
لقد تجاوز هذا بشكل فعال جميع ضوابط المصادقة المحددة التي قدمتها Base44، بما في ذلك الدخول الموحد (SSO)، مما منح الوصول الكامل إلى ما كان من المفترض أن يكون تطبيقات مؤسسة خاصة والبيانات الحساسة التي قد تحتوي عليها.
عند اكتشاف الثغرة الأمنية، قمنا على الفور وبمسؤولية بالكشف عن المشكلة لكل من Base44 وWix اللذين قاما بالتحقق من صحة تقريرنا على الفور. تم إصلاح الثغرة الأمنية في أقل من 24 ساعة، حيث أكدت Wix أنه لا يوجد دليل على إساءة الاستخدام السابقة (انظر بيانهم أدناه).
في منشور المدونة هذا، سنقوم بتفصيل عملية الاكتشاف الخاصة بنا ونناقش كيف تمتد الآثار الأمنية إلى ما هو أبعد من النظام الأساسي المحدد إلى النظام البيئي الأوسع للتطوير الذي يعمل بالذكاء الاصطناعي.
تمت صياغة مصطلح التشفير الحيوي من قبل المؤسس المشارك لـ OpenAI أندريه كارباثي في فبراير 2025 لوصف نهج التطوير حيث يثق المستخدمون تمامًا في الذكاء الاصطناعي لإنشاء تعليمات برمجية دون إشراف يدوي. وسرعان ما ظهرت المنصات والبائعين لتقديم هذه الإمكانية، مما أدى إلى إضفاء الطابع الديمقراطي على تطوير البرمجيات من خلال السماح لأي شخص ببناء التطبيقات باستخدام لغة بسيطة.
لفهم مدى خطورة الثغرة الأمنية التي اكتشفناها وما شابهها، من الضروري فهم نموذج المخاطر المشتركة لمنصات البرمجة الحيوية. تعمل جميع التطبيقات على البنية التحتية المشتركة للمورد، مما يعني أن كل عميل يرث الوضع الأمني الخاص بالمورد. يقدم هذا النموذج نقطة فشل واحدة حرجة – خلل واحد في جوهر النظام الأساسي، خاصة في مكون مهم مثل المصادقة، يعرض للخطر على الفور كل تطبيق مبني عليه.
إن اعتماد المؤسسات السريع لهذه الأنظمة الأساسية للوظائف الحيوية – التعامل مع البيانات الحساسة من خلال برامج الدردشة الداخلية والأتمتة وأدوات الأعمال – هو بالتحديد السبب وراء قرارنا بتركيز جهودنا البحثية على سطح الهجوم الناشئ هذا. ومن خلال فهم التأثير المحتمل لهذه المخاطر النظامية والعمل مع البائعين لمعالجتها، يمكننا المساعدة في ضمان التطور الآمن لهذه التكنولوجيا التحويلية، مما يساعد البائعين على أن يصبحوا أكثر استباقية في سعيهم للحصول على ضمان الأمان.
بدأت استطلاعاتنا بتقييم نطاقات Base44 التي يمكن الوصول إليها بشكل عام. من خلال رسم خريطة لسطح الهجوم الخارجي باستخدام تقنيات الاستطلاع المباشرة (الاكتشاف السلبي والنشط للنطاقات الفرعية)، حددنا حوالي خمسة نطاقات فرعية تواجه الإنترنت. بدا كل شيء سليمًا، حيث استضاف التطبيق الرئيسي والوثائق وموقع الويب التسويقي – ولم يقترح أي منها في البداية نقطة دخول مثيرة للاهتمام.
لمواصلة البحث، تلقينا تنبيهًا بشأن واجهتين Swagger-UI يمكن الوصول إليهما بشكل عام عبر app.base44.com وdocs.base44.com، مما يوفر معلومات حول الوثائق الداخلية ونقاط نهاية واجهة برمجة التطبيقات.
Swagger-UI هي أداة مفتوحة المصدر توفر واجهة تفاعلية لتصور واختبار واجهات برمجة التطبيقات، مما يسهل فهم خدمات الويب والتفاعل معها.
من خلال الاستفادة من واجهة Swagger، قمنا بتصفح نقاط نهاية واجهة برمجة التطبيقات بحثًا عن أي نقطة نهاية قد تسرب بيانات حساسة، أو تسمح بأذونات مميزة، أو يمكن الوصول إليها دون مصادقة. تم تنظيم وثائق واجهة برمجة التطبيقات (API) بشكل جيد في عدة أجزاء، ولكن قسمًا واحدًا لفت انتباهنا على الفور: واجهات برمجة التطبيقات “المصادقة”.
نظرًا لأن Base44 عبارة عن منصة ترميز حيوية تستخدمها المؤسسات، فقد أدركنا أن أي ثغرة أمنية تتلاعب بالمصادقة سيكون لها أقصى قدر من التأثير. قبل التعمق في مواصفات واجهة برمجة التطبيقات (API)، قمنا أولاً بفحص كيفية تقديم Base44 لطرق مصادقة مختلفة لعملائها:
-
عام (يتطلب تسجيل الدخول) – الإعداد الافتراضي الذي يسمح لأي مستخدم بالتسجيل والوصول إلى التطبيق
-
خاص مع مصادقة بيتا – لا يزال يسمح بالتسجيل الذاتي، ويظل عامًا فعليًا
-
خاص مع تسجيل الدخول الموحّد (SSO). – الخيار الخاص الحقيقي الوحيد، الذي يقيد الوصول إلى المستخدمين المدعوين أثناء فرض الدخول الموحّد (SSO) في تدفق المصادقة
متسلحين بهذه المعرفة، تساءلنا عما إذا كان بإمكان أي من واجهات برمجة تطبيقات المصادقة تجاوز هذه القيود.
بعد فحص الوثائق، اكتشفنا دليلًا مثيرًا للاهتمام والذي تحول في النهاية إلى خطأ فادح في التكوين – ملف api/apps/{app_id}/auth/register (تسجيل مستخدم جديد من خلال توفير عنوان البريد الإلكتروني وكلمة المرور) و api/apps/{app_id}/auth/verify-otp تم الكشف عن نقاط النهاية (التحقق من مستخدمنا من خلال توفير كلمة مرور لمرة واحدة) دون مصادقة، مما يسمح لأي شخص بالتسجيل في التطبيقات الخاصة باستخدام قيمة app_id التي يتوقعها فقط – وهو أمر مثير للاهتمام بشكل خاص في الحالات التي يتم فيها تعطيل التسجيل.
أصبح السؤال – كيف نحصل على قيم app_id؟ ظهرت هذه كسلاسل عشوائية مثل 686d0a751a78bb2608517740لكننا اكتشفنا سريعًا أنها لم تكن سرًا على الإطلاق. عندما ننتقل إلى أي تطبيق تم تطويره أعلى Base44، يكون app_id مرئيًا على الفور في URI ومسار الملف Manifest.json، وجميع التطبيقات لها قيمة app_ids الخاصة بها مشفرة في مسار البيان الخاص بها: manifests/{app_id}/manifest.json.
باستخدام app_id للتطبيق المستهدف، نجحنا في تسجيل حساب مستخدم جديد من خلال واجهة Swagger-UI، وتلقينا رمز التحقق لمرة واحدة (OTP) عبر البريد الإلكتروني، والتحقق من حسابنا الجديد – كل ذلك لتطبيق لا نملكه وتم تكوينه للوصول عبر SSO فقط.
بعد تأكيد عنوان بريدنا الإلكتروني، يمكننا فقط تسجيل الدخول عبر تسجيل الدخول الموحد (SSO) داخل صفحة التطبيق، وتجاوز المصادقة بنجاح.
لقد استخدمنا طريقتين مختلفتين لاكتشاف تطبيقات Base44 في الواقع، مما ساعدنا على إخطار اثنين من عملائنا المعرضين للخطر بشكل استباقي.
1. تطبيقات المؤسسات ذات المجالات المخصصة – يتيح Base44 للشركات إضافة نطاقات مخصصة، وجميعها تشترك في نفس سجل CNAME – بالإشارة إلى base44.onrender.com، وباستخدام هذه المعرفة، حددنا العديد من تطبيقات المؤسسات في بيانات الاستطلاع الخاصة بنا.
2. الاستطلاع العام – يتم تقديم أي تطبيق Base44 بنفس تدفق صفحة تسجيل الدخول، ومجهزًا بمعرفات تشير إلى السلسلة “base44″، استخدمنا منصات مثل urlscan التي ساعدتنا على اكتشاف تطبيقات إضافية مدعومة بمنصة vibe coding من خلال البحث عن بيانات HTML.
وتعني هذه الثغرة الأمنية أنه يمكن الوصول إلى التطبيقات الخاصة المستضافة على Base44 دون إذن. خلال بحثنا، تمكنا من التأكد من توفر تجاوز المصادقة عبر العديد من تطبيقات المؤسسات التي تستخدم منصة تشفير vibe الشهيرة لروبوتات الدردشة الداخلية وقواعد المعرفة وعمليات تحديد الهوية الشخصية والموارد البشرية – وهي بيانات حساسة مهمة كان من الممكن تسريبها إلى مهاجمين غير مصرح لهم.
ما جعل هذه الثغرة الأمنية مثيرة للقلق بشكل خاص هو بساطتها – حيث لا تتطلب سوى معرفة أساسية بواجهة برمجة التطبيقات (API) لاستغلالها. ويعني هذا الحاجز المنخفض للدخول أن المهاجمين يمكنهم اختراق تطبيقات متعددة بشكل منهجي عبر النظام الأساسي بأقل قدر من التطور الفني. ولحسن الحظ، أكد Wix أنه لا يوجد أي دليل على الاستغلال في البرية.
إذا كنت أنت أو مؤسستك تستخدم منصة Base44، خاصة للعمليات التجارية أو لتخزين البيانات الحساسة، فإليك ما تحتاج إلى معرفته:
لقد تم حل الثغرة الأمنية بشكل كامل. بعد إفصاحنا المسؤول في 9 يوليو 2025، نفذت Wix إصلاحًا خلال 24 ساعة للتحقق بشكل صحيح من إعدادات خصوصية التطبيق قبل السماح بتسجيل المستخدم.
لا يوجد دليل على الاستغلال الخبيث. أجرت Wix تحقيقًا شاملاً وأكدت عدم وجود ما يشير إلى إساءة استخدام أو تسوية سابقة عبر قاعدة مستخدمي Base44 خلال الفترة الضعيفة.
لا يوجد إجراء مطلوب من العملاء. نظرًا لأن الإصلاح تم تنفيذه على مستوى النظام الأساسي بواسطة Base44/Wix، فلا توجد حاجة إلى خطوات إضافية من المؤسسات التي تستخدم النظام الأساسي.
تحققت Wiz Research من الإصلاح – تحققت Wiz Research بشكل مستقل من أن الإصلاح يعالج الثغرة الأمنية بشكل كامل – حيث يمنع Base44 الآن بشكل صحيح محاولات التسجيل غير المصرح بها على التطبيقات الخاصة.
على الرغم من عدم الحاجة إلى اتخاذ إجراء فوري، فقد ترغب المنظمات في:
-
قم بمراجعة البيانات -> قسم التحليلات داخل إعدادات تطبيق Base44 الخاص بك بحثًا عن أي زيارات وتسجيلات مستخدم غير عادية لأي من تطبيقاتك الخاصة خلال الفترة المعرضة للخطر (9 يوليو وما قبله)
-
قم بتنفيذ مراقبة إضافية للوصول إلى النظام الأساسي لجهة خارجية كأفضل ممارسة أمنية عامة
-
يمكن لعملاء Wiz استخدام صفحة المخزون لتحديد أي تطبيقات Base44 في بيئتهم، تم اكتشافها بواسطة سطح الهجوم الخارجي الخاص بنا.
تسلط هذه الثغرة الأمنية الضوء على فجوة خطيرة في كيفية تقييم منصات تطوير الذكاء الاصطناعي. في حين تركز المناقشات الأمنية غالبًا على التهديدات الخاصة بالذكاء الاصطناعي مثل تسميم النماذج أو الحقن الفوري، فإن المخاطر الأكثر إلحاحًا تنبع من الضوابط الأمنية الأساسية – المصادقة المناسبة والتصميم الآمن لواجهة برمجة التطبيقات.
تقوم منصات Vibe Coding بإنشاء أسطح هجوم جديدة قد لا تعالجها أطر الأمان التقليدية بشكل مناسب. ومع استمرارهم في التطور واكتساب اعتماد المؤسسات، يجب على مجتمع الأمان والبائعين والمنظمات العمل معًا لبناء أسس أمنية قوية.
من خلال الإفصاح المسؤول والحوار المفتوح، يمكننا مساعدة هذه المنصات التحويلية على تعزيز وضعها الأمني والتطور مع اعتبار الأمان أحد الاعتبارات الأساسية، حتى تتمكن الشركات من الوثوق بها بشكل أكبر دون قلق والتطور بوتيرة أسرع من أي وقت مضى.
إن أمان وخصوصية مستخدمينا أمر بالغ الأهمية. نحن ملتزمون بالحفاظ على أعلى معايير الأمان في جميع منتجاتنا ومنصاتنا. كان الاستحواذ الأخير على Base44 بواسطة Wix مدفوعًا إلى حد كبير بالتزام Wix بتقديم تقنية موثوقة وقوية مدعومة بالبنية التحتية ومعايير الأمان الرائدة في الصناعة للشركة.
فور تلقينا إخطارًا من فريق بحث Wiz بشأن وجود ثغرة أمنية محتملة، أجرينا تحقيقًا شاملاً واتخذنا إجراءات سريعة وحاسمة لمعالجة المشكلة في منصة Base44. لقد قمنا بالتحقيق، ولم نعثر حتى الآن على أي دليل على أن أي عميل قد تأثر بمهاجم يستغل الثغرة الأمنية. تحقيقاتنا مستمرة ونحن مستمرون في أخذ هذا الأمر على محمل الجد.
نواصل الاستثمار بكثافة في تعزيز أمان جميع المنتجات وإدارة نقاط الضعف المحتملة بشكل استباقي. نحن لا نزال ملتزمين بحماية مستخدمينا وبياناتهم.
يتطور مشهد تطوير الذكاء الاصطناعي بسرعة غير مسبوقة، حيث تعمل منصات Vibe Coding على تغيير الطريقة التي تقوم بها المؤسسات ببناء البرامج. ومع ذلك، فإن دورة الابتكار السريعة هذه غالبًا ما تتجاوز الاعتبارات الأمنية، مما يخلق مخاطر نظامية تؤثر على الأنظمة البيئية بأكملها بدلاً من التطبيقات الفردية.
يعد بناء الأمن في أساس هذه المنصات، وليس كفكرة لاحقة، أمرًا ضروريًا لتحقيق إمكاناتها التحويلية مع حماية بيانات المؤسسة. نشكر Wix على تعاونهم السريع واستجابتهم لكشفنا.
-
9 يوليو 2025 – اكتشفت شركة Wiz Research ثغرة أمنية في Wix وBase44 وأبلغت عنها
-
9 يوليو 2025 – يقر Wix بمستلم التقرير، ويعمل على حل المشكلة.
10 يوليو 2025 – يتحقق باحثو Wiz من الإصلاح، ولم يعد بإمكان المستخدمين الخارجيين التسجيل في التطبيقات الخاصة -
13 يوليو 2025 – يؤكد Wix أن المشكلة قد تم حلها رسميًا، مع عدم الإبلاغ عن عدم وجود إشارة إلى التسوية عبر قاعدة مستخدمي Base44.
-
29 يوليو 2025 – الإفصاح العام
