Los investigadores de ciberseguridad han revelado una falla de seguridad crítica ahora rompida en una plataforma de codificación de VIBE popular llamada Base44 que podría permitir el acceso no autorizado a aplicaciones privadas creadas por sus usuarios.
«La vulnerabilidad que descubrimos fue notablemente simple de explotar: al proporcionar solo un valor APP_ID no secreto a los puntos finales de registro y verificación de correo electrónico no secreto, un atacante podría haber creado una cuenta verificada para aplicaciones privadas en su plataforma», dijo la firma de seguridad en la nube Wiz en un informe compartido con Hacker News.
Un resultado neto de este problema es que evita todos los controles de autenticación, incluidas las protecciones de inicio de sesión único (SSO), que otorga acceso completo a todas las aplicaciones y datos privados contenidos dentro de ellas.
Después de la divulgación responsable el 9 de julio de 2025, WIX implementó una solución oficial, que posee Base44, dentro de las 24 horas. No hay evidencia de que el problema haya sido explotado maliciosamente en la naturaleza.
Si bien la codificación de VIBE es un enfoque de inteligencia artificial (IA) diseñado para generar código para aplicaciones simplemente proporcionando como entrada un mensaje de texto, los últimos hallazgos resaltan una superficie de ataque emergente, gracias a la popularidad de las herramientas de IA en entornos empresariales, que pueden no ser abordados adecuadamente por los paradigmos de seguridad tradicionales.
La deficiencia desenterrada por Wiz en Base44 se refiere a una configuración errónea que dejó dos puntos finales relacionados con la autenticación expuestos sin ninguna restricción, lo que permite a cualquier persona registrarse para aplicaciones privadas utilizando solo un valor «APP_ID» como entrada –
- API/Apps/{app_id}/auth/registro, que se utiliza para registrar un nuevo usuario proporcionando una dirección de correo electrónico y contraseña
- API/Apps/{app_id}/auth/verify-otp, que se utiliza para verificar al usuario proporcionando una contraseña única (OTP)
Resulta que el valor «APP_ID» no es un secreto y es visible en la URL de la aplicación y en su ruta de archivo Manifest.json. Esto también significó que es posible usar el «APP_ID» de una aplicación de destino no solo para registrar una nueva cuenta, sino también verificar la dirección de correo electrónico utilizando OTP, obteniendo así acceso a una aplicación que no poseían en primer lugar.
«Después de confirmar nuestra dirección de correo electrónico, podríamos iniciar sesión a través del SSO dentro de la página de la aplicación y omitir con éxito la autenticación», dijo el investigador de seguridad Gal Nagli. «Esta vulnerabilidad significó que las aplicaciones privadas alojadas en Base44 podrían acceder sin autorización».
El desarrollo se produce cuando los investigadores de seguridad han demostrado que las herramientas de lenguaje grande (LLMS) de última generación y las herramientas generativas de IA (Genai) pueden ser jailbroken o sometidas a ataques de inyección inmediatos y hacer que se comporten de manera no deseada, liberando sus buidos éticos o de seguridad para producir respuestas maliciosas, sintets sintetéticos o alucinaciones, y, en algunos casos, abandonar las respuestas correctas cuando se presenta con las respuestas falsas, presentes con los riesgos falsos, poseen el contenido sintético, o las alucinaciones, y, en algunos casos, abandonen las respuestas correctas cuando presentes con los recaudaciones falsas, sean de los riesgos fals. Sistemas de IA múltiples giros.
https://www.youtube.com/watch?v=ypvrklxr28u
Algunos de los ataques que se han documentado en las últimas semanas incluyen –
- Una combinación «tóxica» de validación inadecuada de archivos de contexto, inyección rápida y experiencia de usuario engañosa (UX) en Gemini CLI que podría conducir a la ejecución silenciosa de comandos maliciosos al inspeccionar el código no confiable.
- Uso de un correo electrónico diseñado especial alojado en Gmail para activar la ejecución del código a través de Claude Desktop engañando a Claude para reescribir el mensaje de manera que pueda evitar las restricciones impuestas a él.
- El modelo Grok 4 de Jailbreaking XAI utilizando la cámara de eco y el crescendo para eludir los sistemas de seguridad del modelo y provocar respuestas dañinas sin proporcionar ninguna entrada maliciosa explícita. También se ha encontrado que el LLM filtrara datos restringidos e instrucciones hostiles respetuosas en más del 99% de los intentos de inyección rápida en ausencia de cualquier indicador de sistema endurecido.
- Coaccionando OpenAi Chatgpt para revelar claves de productos de Windows válidas a través de un juego de adivinanzas
- Explotando Google Gemini para el espacio de trabajo para generar un resumen de correo electrónico que se vea legítimo, pero incluye instrucciones maliciosas o advertencias que dirigen a los usuarios a los sitios de phishing al incrustar una directiva oculta en el cuerpo de mensajes usando HTML y CSS.
- Pasando el firewall de Llama de Meta para derrotar salvaguardas de inyección de inmediato utilizando indicaciones que usaban idiomas distintos de inglés o técnicas simples de ofuscación como leetspeak y caracteres unicode invisibles.
- Engañando a los agentes del navegador para revelar información confidencial, como credenciales, a través de ataques de inyecciones rápidas.
«El panorama de desarrollo de IA está evolucionando a una velocidad sin precedentes», dijo Nagli. «Construir la seguridad en la base de estas plataformas, no como una ocurrencia tardía, es esencial para realizar su potencial transformador al tiempo que protege los datos empresariales».
La divulgación se produce como laboratorios invariantes, la división de investigación de SNYK, análisis detallado de flujo tóxico (TFA) como una forma de endurecer los sistemas de agente contra las exploits del Protocolo de control de modelos (MCP) como los tirones de alfombras y los ataques de intoxicación por herramientas.
«En lugar de centrarse en la seguridad de nivel rápido, el análisis de flujo tóxico predice preventamente el riesgo de ataques en un sistema de IA mediante la construcción de posibles escenarios de ataque que aprovechan la comprensión profunda de las capacidades de un sistema de IA y el potencial de configuración errónea», dijo la compañía.
Además, el ecosistema MCP ha introducido los riesgos de seguridad tradicionales, con hasta 1.862 servidores MCP expuestos a Internet sin control de autenticación o acceso, lo que los pone en riesgo de robo de datos, ejecución de comandos y abuso de los recursos de la víctima, acumulando facturas de nubes.
«Los atacantes pueden encontrar y extraer tokens OAuth, claves API y credenciales de base de datos almacenadas en el servidor, otorgándoles acceso a todos los demás servicios a los que está conectado la IA», dijo Knostic.