AI가 72시간 만에 300개의 워드프레스 플러그인 취약점을 발견했습니다

AI는 몇 초 만에 버그를 찾아냅니다. 이는 개발자들에게 모든 것을 바꿔놓는 변화입니다.

최근 보안 스캔을 통해 단 72시간 만에 워드프레스 플러그인에서 300개 이상의 심각한 제로데이(zero-day) 취약점이 발견되었습니다. 연구원들은 이를 "바이브 코딩(vibe coding)"이라고 부릅니다. 이는 개발자가 AI가 생성한 코드를 검토(auditing) 없이 그대로 배포할 때 발생합니다.

한 보안 업체는 단 하나의 AI 생성 플러그인에서 100개의 보안 문제를 발견했습니다.

AI는 양면성을 가집니다. 코드를 빠르게 작성하지만, 이스케이핑(escaping)이나 권한 확인과 같은 보안 단계를 건너뛰는 경우가 많습니다. 동시에 공격자들은 AI를 사용하여 이러한 허점을 즉각적으로 찾아냅니다.

기존의 안전망은 사라졌습니다. 코드의 모호함이나 시간은 더 이상 코드를 보호해주지 못합니다. 데이터에 따르면 버그가 공개된 후 약 5시간 이내에 대규모 공격이 발생합니다. 이는 대응하기에 충분한 시간이 아닙니다.

저는 이를 뼈아픈 경험을 통해 배웠습니다. 저는 AI 챗봇 플러그인을 만들었습니다. 보안 검토 결과 제 코드에서 35개의 버그가 발견되었습니다. 가장 심각한 것은 HTML 인젝션(injection)이었습니다. 저는 AI의 결과물을 신뢰했습니다. AI가 작성했으니 안전할 것이라고 생각했습니다.

그렇지 않았습니다. AI 출력물에는 사용자나 외부 웹사이트로부터 유입된 악성 콘텐츠가 포함될 수 있습니다. AI 출력물을 안전하다고 간주하면 보안 취약점(leak)을 만들게 됩니다.

저는 워크플로우를 변경했습니다. 이제 "실행된다"는 것이 "안전하다"는 것을 의미한다고 가정하지 않습니다. 이제 저는 AI가 작성한 모든 핸들러를 다음 세 가지 영역에서 수동으로 검토합니다.

• 입력(Input): 데이터가 시스템에 들어오는 방식. • 출력(Output): 데이터가 시스템에서 나가는 방식. 저는 AI 응답을 신뢰할 수 없는 입력값으로 취급합니다. esc_htmlwp_kses와 같은 함수를 사용합니다. • 권한(Permissions): 모든 진입점에서 사용자 권한(capabilities)과 논스(nonces)를 확인합니다.

진짜 문제는 코드만이 아닙니다. 바로 대응 시간입니다. 많은 개발자가 버그가 공개되기 전에 패치를 배포하지 못합니다. 많은 플러그인에 아예 해결책이 없는 경우도 많습니다.

만약 여러분이 1인 개발자라면, 단순히 조심해서 코드를 작성하고 운에 맡길 수는 없습니다. 버그가 공개되기 전에 사람들이 여러분에게 알려줄 수 있는 방법이 필요합니다.

2026년 말까지 EU 법에 따라 취약점 공개 프로그램(vulnerability disclosure programs)이 의무화될 것입니다. 1인 저자들에게 이는 간단할 수 있습니다. readme 파일에 보안 담당 연락처를 추가하세요. 사람들이 보고서를 보낼 수 있는 비공개 채널을 마련해 두십시오.

공개적인 공격(exploit)이 발생할 때까지 기다리지 마세요. 5시간의 타이머가 시작되기 전에 버그를 잡아낼 수 있는 시스템을 구축하십시오.

Source: https://dev.to/rapls/ai-found-300-wordpress-plugin-zero-days-in-72-hours-i-build-plugins-heres-what-changed-for-me-43na

Optional learning community: https://t.me/GyaanSetuAi