AI fand 300 WordPress-Plugin-Bugs in 72 Stunden

KI findet Bugs schnell. Sie schreibt auch Code schnell. Das schafft eine gefährliche Lücke für Plugin-Entwickler.

Sicherheitsforscher nutzten KI, um über 300 kritische Zero-Day-Schwachstellen im WordPress-Ökosystem zu finden. Sie schafften dies in nur 72 Stunden.

Das Problem ist „Vibe Coding“. Dies geschieht, wenn Entwickler Code ausliefern, der von LLMs generiert wurde und den sie nicht prüfen können. Ein Plugin hatte aufgrund dessen 100 separate Sicherheitsmängel.

KI hebt Ihre zwei alten Schutzmechanismen auf: Zeit und Unkenntlichkeit.

Angreifer nutzen jetzt KI, um Lücken zu finden. Entwickler nutzen KI, um Code zu schreiben. Der Code überspringt oft Sicherheitsschritte wie:

  • Escaping von Daten
  • Berechtigungsprüfungen (Capability-Checks)
  • Nonce-Validierung

Die Zeitspanne von einem öffentlichen Bug-Report bis zur Massenausnutzung beträgt nun fünf Stunden. Das ist kein Zeitfenster, um zu reagieren. Es ist ein Wettlauf, den man verlieren wird.

Ich habe das auf die harte Tour gelernt. Ich habe ein KI-Chatbot-Plugin entwickelt. Ein Sicherheitsaudit fand 35 Bugs in meinem Code. Einer davon war eine HTML-Injection.

Ich habe einen Fehler gemacht. Ich habe dem KI-Output vertraut. Ich dachte, weil ein Modell den Text generiert hat, sei er sicher. Das war er nicht. Modell-Outputs enthalten Daten von Nutzern und externen Seiten. Man muss sie als nicht vertrauenswürdig behandeln.

Ich habe meinen Workflow geändert. Ich gehe nicht mehr davon aus, dass Code sicher ist, nur weil er läuft. Ich überprüfe jeden KI-geschriebenen Teil manuell in drei Bereichen:

  • Input: Wie Daten in das System gelangen.
  • Output: Wie Daten das System verlassen.
  • Berechtigungen: Wer die Aktion ausführen kann.

Auf der Output-Seite verwende ich nun Funktionen wie esc_html und wp_kses. Ich nutze $wpdb->prepare für jeden Datenbank-Schreibvorgang. Ich prüfe Berechtigungen mit current_user_can an jedem Einstiegspunkt.

Die wahre Krise sind nicht nur die Bugs. Es ist die Reaktionszeit.

  • 52 % der Entwickler liefern keinen Patch aus, bevor ein Bug öffentlich wird.
  • 46 % der offengelegten Bugs haben überhaupt keine verfügbare Lösung.

Die meisten Entwickler sind Einzelentwickler. Sie werden nicht dafür bezahlt, Bugs schnell zu beheben. KI macht diese Lücke sichtbar.

Wenn Sie Plugins ausliefern, schreiben Sie nicht einfach nur vorsichtig und hoffen Sie auf das Beste. Gehen Sie davon aus, dass Angreifer Ihre Lücken in Sekunden finden werden.

Bauen Sie diese Abwehrmechanismen auf:

  • Überprüfen Sie alle Inputs, Outputs und Berechtigungen manuell.
  • Bereinigen (Sanitize) Sie alle Modell-Antworten.
  • Schaffen Sie eine Möglichkeit, wie Menschen Ihnen Bugs privat melden können.

Ein einfacher Sicherheitskontakt in Ihrer Readme ist ein Anfang. Sie benötigen einen Kanal für Meldungen, bevor ein Bug zu einer öffentlichen Bedrohung wird.

Quelle: https://dev.to/rapls/ai-found-300-wordpress-plugin-zero-days-in-72-hours-i-build-plugins-heres-what-changed-for-me-43na