1. Latar Belakang dan Dampak Utama
Peneliti dari Imperva menemukan beberapa kerentanan keamanan kritis dalam platform AI berbasis “vibe coding” bernama Base44, yang memungkinkan pengguna mengubah ide menjadi aplikasi secara otomatis. Kerentanan ini mencakup open redirect, Stored XSS, desain autentikasi tidak aman, kebocoran data sensitif, serta penegakan fitur premium hanya di sisi klien. Semuanya membuka peluang bagi serangan akun dan akses tidak sah. Setelah dilaporkan secara etis ke tim Base44, vendor segera merilis perbaikan.
2. Konteks “Vibe Coding” dan Risiko Berskala Besar
Platform seperti Base44 mengedepankan kemudahan penggunaan dengan antarmuka berbasis bahasa natural (“vibe coding”), sehingga siapa saja bisa membuat aplikasi secara cepat. Namun pendekatan ini juga menyuntikkan risiko sistemik: setiap celah di infrastruktur bersama bisa membahayakan seluruh aplikasi berbasis platform tersebut.
3. Open Redirect yang Bocorkan Token dan Permudah Akses akun
Pada alur login menggunakan OAuth, platform open redirect tidak memvalidasi domain tujuan dengan ketat. Seorang penyerang bisa menyisipkan domain berbahaya (contoh: example.com) sebagai parameter redirect, sehingga token akses pengguna dikirim ke situs penyerang setelah login. Contohnya:
https://app.base44.com/login?from_url=https://example.com
Awalnya, validasi hanya memastikan redirect URL dimulai dengan https://app.base44.com, tapi penyerang bisa menyalahgunakan hal ini dengan nama domain seperti app.base44.com.evil.com. Setelah dilaporkan, validasi diperketat agar hanya memperbolehkan redirect tepat ke domain yang ditentukan.
4. Stored XSS pada Domain Terpercaya
Base44 merender aplikasi buatan pengguna di domain app.base44.com. Namun, karena kontrol fitur premium hanya dilakukan di sisi browser, seseorang bisa menyisipkan JavaScript berbahaya ke dalam aplikasi. Ketika aplikasi tersebut dimuat, skrip bisa berjalan dalam konteks terpercaya—mengakses token autentikasi yang tersimpan di local storage, lalu mengambil alih akun pengguna.
5. JWT Bocor ke App Kode Pengguna
Setelah login, token JWT utama dari platform turut diberikan ke aplikasi pengguna melalui URL. Karena aplikasi tersebut bisa menjalankan JavaScript bebas, pengembang jahat atau penyerang bisa dengan mudah mencuri token ini—lalu menggunakannya untuk mengakses seluruh akun Base44 korban.
6. Pelajaran Utama & Penanganan Kolaboratif
Insiden ini menunjukkan bahwa kesalahan kecil dalam desain bisa merambat menjadi risiko sistemik ketika infrastrukturnya digunakan bersama ribuan aplikasi. Sebagai platform “vibe coding” semakin populer di ranah enterprise, keamanan seperti autentikasi ketat, isolasi yang jelas, dan kolaborasi antara vendor dan komunitas peneliti jadi sangat penting.
Sebagai timeline:
| Bulan/Tahun | Peristiwa |
|---|---|
| Maret 2025 | Penemuan kerentanan dan pelaporan ke Base44 |
| April 2025 | Perbaikan lanjutan dan perubahan arsitektur dimulai |
| Agustus 2025 | Publikasi temuan ke media dan komunitas keamanan |
Tabel Ringkasan Kerentanan Base44 dan Dampaknya
| Kerentanan / Isu | Dampak Potensial |
|---|---|
| Open Redirect di alur autentikasi | Token pengguna dapat dicuri dan akun diakses penyerang |
Stored XSS di domain app.base44.com |
Eksekusi skrip berbahaya => mengambil token dan kontrol akun |
| Token JWT bocor ke aplikasi pengguna | Akses penuh ke akun jika token dicuri dan digunakan |
| Fitur premium hanya dicek di sisi klien | Memudahkan modifikasi injeksi kode berbahaya |
| Infrastruktur bersama (“shared”) | Kesalahan satu aplikasi berdampak ke seluruh platform |
Penutup dan Rekomendasi
Temuan dari Imperva ini memperingatkan bahwa platform “vibe coding” AI-driven seperti Base44 menawarkan kemudahan luar biasa, tapi potensi risiko keamanan tidak boleh diremehkan. Pendekatan keamanan harus diterapkan sejak awal—dengan autentikasi ketat, validasi URL yang benar, isolasi aplikasi, dan penghindaran kebocoran token. Platform sejenis perlu mengadopsi prinsip secure by design agar kecepatan inovasi tidak mengorbankan keamanan.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Imperva Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut!
