KI hat in 72 Stunden 300 Schwachstellen in WordPress-Plugins gefunden

KI findet Bugs in Sekunden. Das verändert alles für Entwickler.

Ein aktueller Sicherheits-Scan hat in nur 72 Stunden über 300 kritische Zero-Day-Schwachstellen in WordPress-Plugins entdeckt. Forscher nennen das „Vibe Coding“. Dies geschieht, wenn Entwickler KI-generierten Code ausliefern, ohne ihn zu prüfen.

Eine Agentur fand 100 Sicherheitslücken in einem einzigen KI-generierten Plugin.

KI wirkt auf beiden Seiten. Sie schreibt Code schnell, überspringt aber oft Sicherheitsschritte wie Escaping und Berechtigungsprüfungen. Gleichzeitig nutzen Angreifer KI, um genau diese Lücken sofort zu finden.

Die alten Sicherheitsnetze sind verschwunden. Geheimhaltung und Zeit schützen Ihren Code nicht mehr. Daten zeigen, dass Massenausnutzungen etwa fünf Stunden nach der Veröffentlichung eines Bugs stattfinden. Das ist nicht genug Zeit, um zu reagieren.

Ich habe das auf die harte Tour gelernt. Ich habe ein KI-Chatbot-Plugin entwickelt. Ein Sicherheits-Review fand 35 Bugs in meinem Code. Der schlimmste war eine HTML-Injection. Ich habe dem KI-Output vertraut. Ich dachte, weil die KI ihn geschrieben hat, sei er sicher.

Das war er nicht. KI-Output kann bösartige Inhalte von Nutzern oder externen Websites enthalten. Wenn Sie KI-Output als sicher behandeln, schaffen Sie eine Sicherheitslücke.

Ich habe meinen Workflow geändert. Ich gehe nicht mehr davon aus, dass „es läuft“ auch bedeutet, dass „es sicher ist“. Ich überprüfe jetzt jeden KI-geschriebenen Handler manuell in drei Bereichen:

• Eingabe: Wie Daten in das System gelangen. • Ausgabe: Wie Daten das System verlassen. Ich behandle KI-Antworten als nicht vertrauenswürdigen Input. Ich verwende Funktionen wie esc_html und wp_kses. • Berechtigungen: Ich überprüfe Benutzerberechtigungen (Capabilities) und Nonces an jedem Einstiegspunkt.

Das eigentliche Problem ist nicht nur der Code. Es ist die Reaktionszeit. Viele Entwickler liefern keinen Patch, bevor ein Bug öffentlich wird. Viele Plugins haben gar keine verfügbare Lösung.

Wenn Sie ein Solo-Entwickler sind, können Sie nicht einfach nur vorsichtig schreiben und auf das Beste hoffen. Sie brauchen eine Möglichkeit, wie Menschen Sie auf Bugs hinweisen können, bevor diese öffentlich werden.

Bis Ende 2026 werden EU-Gesetze Programme zur Offenlegung von Schwachstellen (Vulnerability Disclosure Programs) vorschreiben. Für Solo-Autoren kann dies einfach sein. Fügen Sie einen Sicherheitskontakt zu Ihrer Readme-Datei hinzu. Geben Sie den Leuten einen privaten Ort, um Berichte zu senden.

Warten Sie nicht auf einen öffentlichen Exploit. Bauen Sie Systeme auf, um Bugs zu finden, bevor der Fünf-Stunden-Timer abläuft.

Quelle: https://dev.to/rapls/ai-found-300-wordpress-plugin-zero-days-in-72-hours-i-build-plugins-heres-what-changed-for-me-43na

Optionale Lern-Community: https://t.me/GyaanSetuAi