AI Menemukan 300 Bug Plugin WordPress dalam 72 Jam
AI menemukan bug dengan cepat. Ia juga menulis kode dengan cepat. Hal ini menciptakan celah berbahaya bagi pengembang plugin.
Peneliti keamanan menggunakan AI untuk menemukan lebih dari 300 kerentanan zero-day kritis dalam ekosistem WordPress. Mereka melakukannya hanya dalam waktu 72 jam.
Masalahnya adalah vibe coding. Ini terjadi ketika pengembang merilis kode yang dihasilkan oleh LLM yang tidak dapat mereka audit. Satu plugin memiliki 100 masalah keamanan terpisah karena hal ini.
AI menghilangkan dua perlindungan lama Anda: waktu dan kerahasiaan (obscurity).
Penyerang sekarang menggunakan AI untuk menemukan celah. Pengembang menggunakan AI untuk menulis kode. Kode tersebut sering kali melewatkan langkah-langkah keamanan seperti:
- Escaping data
- Pemeriksaan kapabilitas (capability checks)
- Validasi nonce
Waktu dari laporan bug publik hingga eksploitasi massal kini hanya lima jam. Itu bukan jendela waktu untuk bereaksi. Itu adalah perlombaan di mana Anda akan kalah.
Saya mempelajari ini dengan cara yang sulit. Saya membangun plugin chatbot AI. Sebuah tinjauan keamanan menemukan 35 bug dalam kode saya. Salah satunya adalah injeksi HTML.
Saya membuat kesalahan. Saya memercayai output AI. Saya pikir karena model menghasilkan teks tersebut, maka itu aman. Ternyata tidak. Output model berisi data dari pengguna dan situs eksternal. Anda harus menganggapnya sebagai data yang tidak tepercaya.
Saya mengubah alur kerja saya. Saya tidak lagi berasumsi bahwa kode itu aman hanya karena ia berjalan. Saya meninjau secara manual setiap bagian yang ditulis AI dalam tiga area:
- Input: Bagaimana data masuk ke dalam sistem.
- Output: Bagaimana data keluar dari sistem.
- Izin (Permissions): Siapa yang dapat melakukan tindakan tersebut.
Di sisi output, sekarang saya menggunakan fungsi seperti esc_html dan wp_kses. Saya menggunakan $wpdb->prepare untuk setiap penulisan database. Saya memeriksa izin dengan current_user_can di setiap titik masuk (entry point).
Krisis yang sebenarnya bukan hanya soal bug. Melainkan waktu responsnya.
- 52% pengembang tidak merilis patch sebelum bug menjadi publik.
- 46% bug yang diungkapkan tidak memiliki perbaikan sama sekali.
Sebagian besar pengembang adalah penulis tunggal (solo authors). Mereka tidak dibayar untuk memperbaiki bug dengan cepat. AI membuat celah ini terlihat jelas.
Jika Anda merilis plugin, jangan hanya menulis dengan hati-hati dan berharap. Asumsikan penyerang akan menemukan celah Anda dalam hitungan detik.
Bangun pertahanan ini:
- Tinjau secara manual semua input, output, dan izin.
- Sanitasi semua respons model.
- Buat cara bagi orang-orang untuk melaporkan bug kepada Anda secara pribadi.
Kontak keamanan sederhana di readme Anda adalah sebuah awal. Anda membutuhkan saluran untuk laporan sebelum sebuah bug menjadi ancaman publik.
