AI ने 72 घंटों में 300 WordPress प्लगइन कमजोरियां ढूंढ निकालीं
AI सेकंडों में बग्स ढूंढ लेता है। यह डेवलपर्स के लिए सब कुछ बदल देता है।
हाल ही में किए गए एक सुरक्षा स्कैन में मात्र 72 घंटों में WordPress प्लगइन्स में 300 से अधिक गंभीर zero-day कमजोरियां पाई गईं। शोधकर्ता इसे "vibe coding" कहते हैं। ऐसा तब होता है जब डेवलपर्स AI द्वारा जनरेट किए गए कोड का ऑडिट किए बिना उसे रिलीज़ कर देते हैं।
एक एजेंसी को एक ही AI-जनरेटेड प्लगइन में 100 सुरक्षा संबंधी समस्याएं मिलीं।
AI दोनों तरफ काम करता है। यह तेज़ी से कोड लिखता है, लेकिन अक्सर escaping और permission checks जैसे सुरक्षा चरणों को छोड़ देता है। साथ ही, हमलावर (attackers) उन्हीं कमियों को तुरंत खोजने के लिए AI का उपयोग करते हैं।
पुराने सुरक्षा कवच अब खत्म हो चुके हैं। अब कोड की गोपनीयता (obscurity) और समय आपके कोड की रक्षा नहीं कर सकते। डेटा दिखाता है कि किसी बग के सार्वजनिक होने के लगभग पांच घंटों के भीतर बड़े पैमाने पर उसका शोषण (exploitation) होने लगता है। प्रतिक्रिया देने के लिए इतना समय पर्याप्त नहीं है।
मैंने यह सबक बहुत कठिन तरीके से सीखा। मैंने एक AI चैटबॉट प्लगइन बनाया था। एक सुरक्षा समीक्षा (security review) में मेरे कोड में 35 बग्स पाए गए। सबसे बुरा एक HTML injection था। मैंने AI के आउटपुट पर भरोसा किया था। मुझे लगा कि क्योंकि इसे AI ने लिखा है, इसलिए यह सुरक्षित है।
ऐसा नहीं था। AI आउटपुट में उपयोगकर्ताओं या बाहरी वेबसाइटों से हानिकारक (malicious) कंटेंट आ सकता है। यदि आप AI आउटपुट को सुरक्षित मानते हैं, तो आप डेटा लीक का खतरा पैदा कर देते हैं।
मैंने अपना वर्कफ़्लो बदल दिया। अब मैं यह नहीं मानता कि "यह चल रहा है" का मतलब "यह सुरक्षित है" है। अब मैं तीन क्षेत्रों में प्रत्येक AI-लिखित हैंडलर की मैन्युअल रूप से समीक्षा करता हूँ:
• Input: डेटा सिस्टम में कैसे प्रवेश करता है।
• Output: डेटा सिस्टम से कैसे बाहर निकलता है। मैं AI रिस्पॉन्स को अविश्वसनीय इनपुट (untrusted input) मानता हूँ। मैं esc_html और wp_kses जैसे फंक्शन्स का उपयोग करता हूँ।
• Permissions: मैं हर एंट्री पॉइंट पर user capabilities और nonces की जांच करता हूँ।
असली समस्या केवल कोड नहीं है। असली समस्या रिस्पॉन्स टाइम है। कई डेवलपर्स बग के सार्वजनिक होने से पहले पैच (patch) जारी नहीं करते हैं। कई प्लगइन्स के लिए तो कोई समाधान (fix) उपलब्ध ही नहीं होता।
यदि आप एक सोलो डेवलपर हैं, तो आप केवल सावधानी से लिखकर सब कुछ ठीक होने की उम्मीद नहीं कर सकते। आपको लोगों के पास ऐसा तरीका होना चाहिए जिससे वे बग्स के सार्वजनिक होने से पहले आपको उनके बारे में बता सकें।
2026 के अंत तक, EU कानूनों के तहत vulnerability disclosure प्रोग्राम अनिवार्य होंगे। सोलो लेखकों के लिए यह सरल हो सकता है। अपनी readme फ़ाइल में एक सुरक्षा संपर्क (security contact) जोड़ें। लोगों को रिपोर्ट भेजने के लिए एक निजी स्थान दें।
किसी सार्वजनिक शोषण (public exploit) का इंतज़ार न करें। पांच घंटे का टाइमर शुरू होने से पहले ही बग्स को पकड़ने के लिए सिस्टम बनाएं।
Optional learning community: https://t.me/GyaanSetuAi
