La IA encontró 300 errores en plugins de WordPress en 72 horas

La IA encuentra errores rápido. También escribe código rápido. Esto crea una brecha peligrosa para los desarrolladores de plugins.

Investigadores de seguridad utilizaron IA para encontrar más de 300 vulnerabilidades críticas de día cero en el ecosistema de WordPress. Lo hicieron en solo 72 horas.

El problema es el "vibe coding". Esto ocurre cuando los desarrolladores lanzan código generado por LLMs que no pueden auditar. Un plugin tenía 100 problemas de seguridad distintos debido a esto.

La IA elimina tus dos antiguas protecciones: el tiempo y la oscuridad.

Los atacantes ahora usan IA para encontrar agujeros. Los desarrolladores usan IA para escribir código. El código a menudo omite pasos de seguridad como:

  • Escapar datos
  • Verificaciones de capacidades
  • Validación de nonces

El tiempo desde que se reporta un error públicamente hasta su explotación masiva es ahora de cinco horas. Ese no es un margen para reaccionar. Es una carrera que perderás.

Aprendí esto por las malas. Construí un plugin de chatbot con IA. Una revisión de seguridad encontró 35 errores en mi código. Uno era una inyección de HTML.

Cometí un error. Confié en el resultado de la IA. Pensé que, como un modelo generó el texto, era seguro. No lo era. El resultado de un modelo contiene datos de usuarios y sitios externos. Debes tratarlo como algo no confiable.

Cambié mi flujo de trabajo. Ya no asumo que el código es seguro solo porque se ejecuta. Reviso manualmente cada parte escrita por IA en tres áreas:

  • Entrada: Cómo entran los datos al sistema.
  • Salida: Cómo salen los datos del sistema.
  • Permisos: Quién puede realizar la acción.

En el lado de la salida, ahora uso funciones como esc_html y wp_kses. Uso $wpdb->prepare para cada escritura en la base de datos. Verifico los permisos con current_user_can en cada punto de entrada.

La verdadera crisis no son solo los errores. Es el tiempo de respuesta.

  • El 52% de los desarrolladores no lanzan un parche antes de que un error se haga público.
  • El 46% de los errores revelados no tienen ninguna solución disponible.

La mayoría de los desarrolladores son autores independientes. No se les paga por corregir errores rápidamente. La IA hace que esta brecha sea visible.

Si lanzas plugins, no te limites a escribir con cuidado y esperar. Asume que los atacantes encontrarán tus agujeros en segundos.

Construye estas defensas:

  • Revisa manualmente todas las entradas, salidas y permisos.
  • Sanitiza todas las respuestas del modelo.
  • Crea una forma para que la gente te reporte errores de forma privada.

Un simple contacto de seguridad en tu readme es un comienzo. Necesitas un canal para reportes antes de que un error se convierta en una amenaza pública.

Fuente: https://dev.to/rapls/ai-found-300-wordpress-plugin-zero-days-in-72-hours-i-build-plugins-heres-what-changed-for-me-43na