AI Temui 300 Pepijat Plugin WordPress Dalam 72 Jam

AI mencari pepijat dengan pantas. Ia juga menulis kod dengan pantas. Ini mewujudkan jurang yang berbahaya bagi pembangun plugin.

Penyelidik keselamatan menggunakan AI untuk mencari lebih 300 kerentanan zero-day kritikal dalam ekosistem WordPress. Mereka melakukannya dalam masa hanya 72 jam.

Masalahnya ialah vibe coding. Ini berlaku apabila pembangun melancarkan kod yang dihasilkan oleh LLM yang tidak dapat mereka audit. Satu plugin mempunyai 100 isu keselamatan berasingan disebabkan perkara ini.

AI menghapuskan dua perlindungan lama anda: masa dan kerahsiaan (obscurity).

Penyerang kini menggunakan AI untuk mencari lubang keselamatan. Pembangun menggunakan AI untuk menulis kod. Kod tersebut sering kali melangkau langkah keselamatan seperti:

  • Escaping data
  • Semakan keupayaan (capability checks)
  • Pengesahan nonce

Masa dari laporan pepijat awam kepada eksploitasi besar-besaran kini hanya lima jam. Itu bukan tempoh masa yang cukup untuk bertindak. Ia adalah perlumbaan yang akan anda kalahkan.

Saya mempelajari perkara ini dengan cara yang sukar. Saya membina satu plugin chatbot AI. Semakan keselamatan menemui 35 pepijat dalam kod saya. Salah satunya ialah suntikan HTML (HTML injection).

Saya telah melakukan kesilapan. Saya mempercayai output AI. Saya menyangka kerana model tersebut menjana teks, ia adalah selamat. Ia tidak selamat. Output model mengandungi data daripada pengguna dan laman web luaran. Anda mesti menganggapnya sebagai tidak dipercayai.

Saya telah mengubah aliran kerja saya. Saya tidak lagi menganggap kod itu selamat hanya kerana ia boleh dijalankan. Saya menyemak secara manual setiap bahagian yang ditulis oleh AI dalam tiga bidang:

  • Input: Bagaimana data memasuki sistem.
  • Output: Bagaimana data keluar dari sistem.
  • Keizinan (Permissions): Siapa yang boleh melakukan tindakan tersebut.

Dari sisi output, saya kini menggunakan fungsi seperti esc_html dan wp_kses. Saya menggunakan $wpdb->prepare untuk setiap penulisan pangkalan data. Saya menyemak keizinan dengan current_user_can pada setiap titik kemasukan.

Krisis sebenar bukan sekadar pepijat. Ia adalah masa tindak balas.

  • 52% pembangun tidak melancarkan tampalan (patch) sebelum pepijat menjadi awam.
  • 46% pepijat yang didedahkan langsung tidak mempunyai penyelesaian.

Kebanyakan pembangun adalah penulis solo. Mereka tidak dibayar untuk membaiki pepijat dengan cepat. AI menjadikan jurang ini jelas kelihatan.

Jika anda melancarkan plugin, jangan sekadar menulis dengan berhati-hati dan berharap. Anggaplah bahawa penyerang akan menemui lubang keselamatan anda dalam masa beberapa saat.

Bina pertahanan ini:

  • Semak secara manual semua input, output, dan keizinan.
  • Bersihkan (sanitize) semua respons model.
  • Cipta cara untuk orang ramai melaporkan pepijat kepada anda secara peribadi.

Maklumat hubungan keselamatan yang ringkas dalam readme anda adalah satu permulaan. Anda memerlukan saluran untuk laporan sebelum pepijat menjadi ancaman awam.

Sumber: https://dev.to/rapls/ai-found-300-wordpress-plugin-zero-days-in-72-hours-i-build-plugins-heres-what-changed-for-me-43na