יועץ אבטחת מידע   |   אוגוסט 20, 2025

כש־AI מייצר קוד והדלתות נשארות פתוחות

חוקרי חברת Wiz חשפו ליקוי קריטי בפלטפורמת Base44 שמאפשר עקיפה מלאה של כל מנגנוני האבטחה, לרבות SSO וכניסה ישירה לאפליקציות ולמידע הרגיש ביותר.

פרצת אבטחה חמורה

גישה מלאה – באמצעות מזהה גלוי

החוקרים מצאו כי די היה להזין מזהה יישום פשוט (app_id) בשני ממשקי API של הפלטפורמה בכדי להירשם כמשתמש מורשה באפליקציה פרטית, על אף שאין לו הרשאה לכך.

  • ‎api/apps/{app_id}/auth/register – לרישום משתמש חדש באמצעות דוא"ל וסיסמה.
  • api/apps/{app_id}/auth/verify-otp – לאימות המשתמש באמצעות קוד חד־פעמי.

הבעיה: app_id אינו ערך חבוי. הוא חשוף ב־URL ובקובץ manifest.json.

המשמעות: כל גורם חיצוני שהחזיק בערך app_id יכול היה לבצע תהליך רישום, לאמת את חשבונו, ולעקוף לחלוטין את מנגנוני ההזדהות (כולל SSO) כדי לקבל גישה לאפליקציות פרטיות.
לדברי החוקרים, "לאחר שאישרנו את כתובת המייל הצלחנו להיכנס לאפליקציה דרך ה-SSO, ולמעשה לעקוף לחלוטין את ההזדהות".
כך, יכלו תוקפים תאורטיים לקבל גישה מלאה לאפליקציות שלא היו שייכות להם כלל ולכל המידע שנשמר בהן.

WIZ מגיבה

תיקון מהיר – ללא עדויות לניצול בפועל

הפרצה דווחה ב־9 ביולי 2025, ותוך 24 שעות Wix פרסמה עדכון שסגר את החולשה.
נכון לעכשיו, אין הוכחות לכך שהפגיעות נוצלה באופן זדוני בעולם האמיתי.
הפרצה ב-Base44 היא עדות נוספת לכך שכלי AI אינם חכמים מספיק בפני עצמם, בייחוד כשהם משולבים בפיתוח תוכנה ארגוני. חוקרי Wiz מזהירים כי שטח התקיפה של כלי בינה מלאכותית הולך ומתרחב מהתקפות prompt injection ועד דליפת מידע רגיש.

המלצות מאת מומחי אבטחת מידע של IPV Security:

  1. צמצום תלות במזהים גלויים – להימנע מחשיפת ערכים מזהים לצורך אימות הרשאות או אימות משתמשים. מזהים גלויים צריכים לשמש אך ורק לצורך חיפשת מידע ציבורי בלבד.
  2. אבטחת ממשקי API רגישים – כל ממשק רישום, אימות או גישה לאפליקציה חייב להיות מוגן בבקרות הרשאה מחמירות, כולל אימות זהות רב-שלבי (MFA).
  3. בדיקות חדירות וסקירות קוד שוטפות – לבצע בדיקות אבטחה תקופתיות כדי לאתר חשיפות מסוג misconfiguration לפני שתוקפים ינצלו אותן.
  4. יישום בקרות SSO קשיחות – לא להסתמך על SSO בלבד כקו הגנה, אלא לשלב אותו עם בקרות נוספות (כמו ניהול הרשאות דינמי ומבוסס הקשר).
  5. ניהול זהויות ואימותם כחלק מתהליך הפיתוח – להטמיע "secure by design" בכלי AI וממשקי פיתוח, כך שתהליכי הרשמה ואימות יהיו מוגנים כבר מהשלב הראשוני.
  6. מעקב ולוגים – להבטיח שקיים תיעוד מלא של ניסיונות גישה, כולל לממשקי API, כדי לאפשר גילוי מוקדם של פעילויות חשודות.
  7. מודעות לסיכוני AI בארגונים – להבטיח שעובדי הארגון מודעים לכך שכלי AI יוצרים שטחי תקיפה חדשים, ושנדרש לנהל אותם באמצעות בקרה מוקפדת, חשיבה מעמיקה והטמעת אמצעים חכמים להבטחת אבטחת המידע הארגוני.

לסיכום,

הפרצה ב-Base44 תוקנה במהירות אך היא מהווה תזכורת חדה: בינה מלאכותית מזרזת תהליכים, אבל גם פותחת דלתות חדשות לתוקפים. רק שילוב של עדכונים, מדיניות ברורה ובקרות חכמות יאפשר לארגונים לנצל את הכוח של AI בלי לשלם מחיר כבד באבטחת מידע.

מעוניינים להתייעץ עם מומחה, פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה