Взлом на раз-два. ChatGPT, Claude и Gemini пали от одной строки текста

Base44 Wix Vibe Coding Wiz ChatGPT Claude Gemini LLM ИИ взлом
Взлом на раз-два. ChatGPT, Claude и Gemini пали от одной строки текста
Base44 Wix Vibe Coding Wiz ChatGPT Claude Gemini LLM ИИ взлом

Кремниевая долина в панике — её цифровые создания сдаются врагу без боя.

image

Base44, популярная платформа для создания приложений с помощью ИИ, оказалась уязвимой из-за грубой ошибки в настройке системы аутентификации. Проблема заключалась в том, что злоумышленник мог получить полный доступ к приватным приложениям, созданным другими пользователями, всего лишь зная их идентификатор — «app_id». Эта информация не является секретной и доступна в URL и файле manifest.json любого публичного проекта.

Инженеры компании Wiz обнаружили , что два критически важных API-эндпойнта на платформе — auth/register и auth/verify-otp — были открыты без какой-либо защиты. Используя только значение app_id, любой мог зарегистрировать учётную запись, подтвердить её через одноразовый код и затем получить доступ к приложениям, которые ему не принадлежали.

Таким образом, механизмы проверки личности, включая Single Sign-On, попросту игнорировались. Ошибка была настолько тривиальной, что, по словам исследователя Гал Нагли, достаточно было пройти регистрацию на нужное приложение и затем войти через SSO — и платформа открывала двери к конфиденциальным данным.

После сообщения об уязвимости 9 июля 2025 года владельцы платформы оперативно закрыли брешь — менее чем за сутки. Визуальных признаков того, что уязвимость использовалась в атаках, не выявлено. Однако инцидент подчёркивает: даже относительно новые технологии, вроде так называемого вайб-кодинга, где ИИ пишет код по текстовым подсказкам, становятся не только удобной средой для разработки, но и новой зоной риска. Особенно в случае, когда базовая защита оказывается упущена из виду.

Ошибки в ИИ-средах — тема всё более актуальная. На фоне инцидента с Base44 исследователи обратили внимание на череду атак на ведущие генеративные ИИ: от Claude и Gemini до ChatGPT и Grok. Так, команда Google на днях обнаружила в CLI-версии Gemini опасное сочетание уязвимостей: отсутствие валидации контекста, внедрение вредоносных подсказок и вводящий в заблуждение пользовательский интерфейс. Всё это позволяло исполнять произвольный код без ведома пользователя при открытии подозрительного файла.

А ранее через письмо, отправленное на Gmail, исследователям удалось обмануть Claude Desktop — так, чтобы ИИ сам изменил сообщение и тем самым снял ограничения. Модель Grok 4 от xAI взламывали двумя техниками — Echo Chamber и Crescendo , обходя фильтры и получая доступ к запрещённым функциям без явных вредоносных запросов. Удивительно, но защита срабатывала менее чем в 1% случаев. Похожий обход реализован и для ChatGPT, где через «угадайку» ИИ раскрыл действующие ключи Windows . Meta не избежала той же участи: файервол модели LLaMA можно было обойти с помощью лексических трюков — использования других языков, leetspeak или невидимых символов.

Кроме подмены поведения моделей, на первый план выходят угрозы в инфраструктуре. Исследователи Snyk представили метод токсического потока — TFA — который позволяет анализировать ИИ-систему на предмет уязвимостей до появления фактической атаки. Подход строится на моделировании возможных цепочек компрометации, включая манипуляции с логикой агента, «отравление» инструментов и перехват протоколов управления моделью ( MCP ).

Всё происходящее указывает на одну закономерность: чем быстрее развиваются технологии генеративного ИИ, тем шире становится поле для атак — и тем важнее проектировать безопасность не как надстройку, а как неотъемлемую часть архитектуры этих платформ.