AI ৭২ ঘণ্টার মধ্যে ৩০০টি WordPress Plugin-এর দুর্বলতা খুঁজে পেয়েছে
AI কয়েক সেকেন্ডের মধ্যেই বাগ খুঁজে পায়। এটি ডেভেলপারদের জন্য সবকিছু বদলে দিচ্ছে।
সাম্প্রতিক একটি সিকিউরিটি স্ক্যানে মাত্র ৭২ ঘণ্টার মধ্যে WordPress plugin-এ ৩০০টিরও বেশি ক্রিটিক্যাল zero-day দুর্বলতা পাওয়া গেছে। গবেষকরা একে "vibe coding" বলছেন। এটি তখন ঘটে যখন ডেভেলপাররা AI দ্বারা তৈরি করা কোড অডিট না করেই রিলিজ করে দেন।
একটি সংস্থা একটি মাত্র AI-জেনারেটেড plugin-এ ১০০টি সিকিউরিটি সমস্যা খুঁজে পেয়েছে।
AI উভয় দিকেই কাজ করে। এটি দ্রুত কোড লেখে, কিন্তু প্রায়ই escaping এবং permission check-এর মতো সিকিউরিটি ধাপগুলো এড়িয়ে যায়। একই সাথে, আক্রমণকারীরা সেই একই ত্রুটিগুলো তাৎক্ষণিকভাবে খুঁজে পেতে AI ব্যবহার করে।
পুরনো নিরাপত্তা ব্যবস্থাগুলো আর কার্যকর নেই। কোড গোপন রাখা বা সময়ের ওপর নির্ভর করে আর আপনার কোড সুরক্ষিত থাকবে না। তথ্য বলছে, একটি বাগ জনসমক্ষে আসার প্রায় পাঁচ ঘণ্টার মধ্যেই ব্যাপক হারে এর অপব্যবহার (exploitation) শুরু হয়। প্রতিক্রিয়া দেখানোর জন্য এটি যথেষ্ট সময় নয়।
আমি এটি কঠিন অভিজ্ঞতার মাধ্যমে শিখেছি। আমি একটি AI chatbot plugin তৈরি করেছিলাম। একটি সিকিউরিটি রিভিউতে আমার কোডে ৩৫টি বাগ পাওয়া যায়। এর মধ্যে সবচেয়ে ভয়াবহ ছিল একটি HTML injection। আমি AI-এর আউটপুটের ওপর বিশ্বাস করেছিলাম। আমি ভেবেছিলাম যেহেতু এটি AI লিখেছে, তাই এটি নিরাপদ।
তা ছিল না। AI আউটপুটে ব্যবহারকারী বা বাহ্যিক ওয়েবসাইট থেকে ক্ষতিকারক কন্টেন্ট থাকতে পারে। আপনি যদি AI আউটপুটকে নিরাপদ মনে করেন, তবে আপনি একটি লিক (leak) তৈরি করছেন।
আমি আমার কাজের পদ্ধতি পরিবর্তন করেছি। আমি আর ধরে নেই না যে "এটি কাজ করছে" মানেই "এটি নিরাপদ"। আমি এখন তিনটি ক্ষেত্রে AI-লিখন প্রতিটি handler ম্যানুয়ালি রিভিউ করি:
• Input: কীভাবে ডেটা সিস্টেমে প্রবেশ করে।
• Output: কীভাবে ডেটা সিস্টেম থেকে বের হয়। আমি AI রেসপন্সগুলোকে অনির্ভরযোগ্য ইনপুট হিসেবে বিবেচনা করি। আমি esc_html এবং wp_kses-এর মতো ফাংশন ব্যবহার করি।
• Permissions: আমি প্রতিটি এন্ট্রি পয়েন্টে user capabilities এবং nonces চেক করি।
আসল সমস্যা শুধু কোড নয়। আসল সমস্যা হলো রেসপন্স টাইম। অনেক ডেভেলপার একটি বাগ জনসমক্ষে আসার আগে প্যাচ (patch) রিলিজ করেন না। অনেক plugin-এর ক্ষেত্রে কোনো সমাধানই পাওয়া যায় না।
আপনি যদি একজন সোলো (solo) ডেভেলপার হন, তবে আপনি শুধু সাবধানে কোড লিখে ভালো কিছুর আশা করতে পারেন না। বাগগুলো জনসমক্ষে আসার আগেই মানুষ যাতে আপনাকে জানাতে পারে, তার জন্য আপনার একটি ব্যবস্থা থাকা প্রয়োজন।
২০২৬ সালের শেষের দিকে, EU আইন অনুযায়ী vulnerability disclosure প্রোগ্রাম থাকা বাধ্যতামূলক হবে। সোলো লেখকদের জন্য এটি সহজ হতে পারে। আপনার readme ফাইলে একটি সিকিউরিটি কন্টাক্ট যোগ করুন। রিপোর্ট পাঠানোর জন্য মানুষকে একটি ব্যক্তিগত মাধ্যম বা জায়গা দিন।
জনসমক্ষে কোনো এক্সপ্লয়েটের (exploit) জন্য অপেক্ষা করবেন না। পাঁচ ঘণ্টার টাইমার শুরু হওয়ার আগেই বাগ ধরার জন্য সিস্টেম তৈরি করুন।
Optional learning community: https://t.me/GyaanSetuAi
