L'IA a trouvé 300 bugs de plugins WordPress en 72 heures
L'IA trouve des bugs rapidement. Elle écrit aussi du code rapidement. Cela crée un fossé dangereux pour les développeurs de plugins.
Des chercheurs en sécurité ont utilisé l'IA pour trouver plus de 300 vulnérabilités critiques de type « zero-day » dans l'écosystème WordPress. Ils y sont parvenus en seulement 72 heures.
Le problème est le « vibe coding ». Cela se produit lorsque des développeurs publient du code généré par des LLM qu'ils ne peuvent pas auditer. Un plugin présentait 100 problèmes de sécurité distincts à cause de cela.
L'IA supprime vos deux anciennes protections : le temps et l'obscurité.
Les attaquants utilisent désormais l'IA pour trouver des failles. Les développeurs utilisent l'IA pour écrire du code. Le code ignore souvent des étapes de sécurité telles que :
- L'échappement des données
- Les vérifications de capacités
- La validation des nonces
Le délai entre un rapport de bug public et une exploitation massive est désormais de cinq heures. Ce n'est pas une fenêtre de réaction suffisante. C'est une course que vous allez perdre.
J'ai appris cela à mes dépens. J'ai conçu un plugin de chatbot IA. Une revue de sécurité a révélé 35 bugs dans mon code. L'un d'eux était une injection HTML.
J'ai commis une erreur. J'ai fait confiance au résultat de l'IA. Je pensais que parce qu'un modèle avait généré le texte, il était sûr. Ce n'était pas le cas. Les sorties de modèles contiennent des données provenant d'utilisateurs et de sites externes. Vous devez les traiter comme non fiables.
J'ai changé mon flux de travail. Je ne suppose plus qu'un code est sûr simplement parce qu'il s'exécute. J'examine manuellement chaque partie écrite par l'IA dans trois domaines :
- Entrée : Comment les données entrent dans le système.
- Sortie : Comment les données sortent du système.
- Permissions : Qui peut effectuer l'action.
Côté sortie, j'utilise désormais des fonctions comme esc_html et wp_kses. J'utilise $wpdb->prepare pour chaque écriture en base de données. Je vérifie les permissions avec current_user_can à chaque point d'entrée.
La véritable crise ne réside pas seulement dans les bugs. Elle réside dans le temps de réponse.
- 52 % des développeurs ne publient pas de correctif avant qu'un bug ne devienne public.
- 46 % des bugs divulgués n'ont absolument aucune solution disponible.
La plupart des développeurs sont des auteurs solos. Ils ne sont pas payés pour corriger les bugs rapidement. L'IA rend ce fossé visible.
Si vous publiez des plugins, ne vous contentez pas d'écrire avec soin
