สะเทือนวงการ Vibe Coding! พบช่องโหว่ร้ายแรงใน Base44 เสี่ยงแฮกเกอร์เข้าถึงโปรเจกต์ผู้ใช้นับหมื่น
Wiz Research รายงานการค้นพบช่องโหว่ร้ายแรงบนแพลตฟอร์ม Base44 ซึ่งเป็นผู้ให้บริการด้าน “Vibe Coding” หรือการเขียนโปรแกรมด้วยการใช้คำสั่งภาษามนุษย์ร่วมกับ AI เพื่อสร้างแอปพลิเคชันโดยไม่ต้องลงมือเขียนโค้ดแบบดั้งเดิม เหตุการณ์นี้สร้างความสั่นสะเทือนไปทั่ววงการนักพัฒนาและองค์กรที่พึ่งพาเทคโนโลยี AI ในการพัฒนาซอฟต์แวร์อย่างรวดเร็ว
ช่องโหว่นี้เกี่ยวข้องกับระบบยืนยันตัวตนของ Base44 ที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถปลอมตัวเป็นผู้ใช้งานที่ได้รับสิทธิ์ผ่านการดัดแปลงค่า app_id โดยไม่ต้องใช้รหัสผ่านหรือโทเคนลับใด ๆ ส่งผลให้แฮกเกอร์สามารถเข้าถึงแอปพลิเคชันที่ถูกตั้งค่าให้เป็นแบบส่วนตัวของผู้ใช้คนอื่นได้ทันที
ทีม Wiz ยืนยันว่าการโจมตีสามารถทำได้ผ่าน endpoint ที่เกี่ยวข้องกับการสมัครสมาชิกหรือยืนยันอีเมล ซึ่งปกติจะไม่มีการตรวจสอบสิทธิ์แบบละเอียด
ข่าวดีคือทาง Wix ซื้อกิจการของ Base44 ไปไม่นาน ได้ตอบสนองอย่างรวดเร็ว โดยรีบปิดช่องโหว่ภายในเวลาไม่ถึง 24 ชั่วโมง และไม่มีรายงานว่ามีการโจมตีจริงที่ส่งผลกระทบต่อข้อมูลลูกค้าหรือธุรกิจในวงกว้าง
เหตุการณ์นี้ถือเป็นสัญญาณเตือนครั้งสำคัญถึงผู้ให้บริการแพลตฟอร์มพัฒนาแอปด้วย AI หรือ Vibe Coding ว่าต้องตรวจสอบกระบวนการยืนยันตัวตน การเข้าถึงทรัพยากร และการจัดการโค้ดของลูกค้าอย่างรอบคอบ เพื่อไม่ให้จุดเล็ก ๆ กลายเป็นจุดล่มของระบบทั้งแพลตฟอร์ม ช่องโหว่ที่เกิดใน Base44 แม้จะยังไม่มีรายงานการโจมตีจริง แต่หากมีแฮกเกอร์สามารถเข้าถึงโปรเจกต์สำคัญของลูกค้าได้ ความเสียหายที่ตามมาอาจเกินกว่าที่คาดการณ์ไว้มาก
ในขณะเดียวกัน ผู้ใช้งานแพลตฟอร์ม Vibe Coding ก็ควรตระหนักว่า แม้เทคโนโลยีเหล่านี้จะช่วยลดเวลาและต้นทุนในการพัฒนาได้มาก แต่ก็ไม่ควรฝากข้อมูลสำคัญหรือโค้ดระดับโปรดักชันไว้กับระบบเหล่านี้โดยไม่ผ่านการประเมินความเสี่ยงอย่างรอบคอบ