AI vond 300 bugs in WordPress-plugins in 72 uur

AI vindt bugs snel. Het schrijft ook snel code. Dit creëert een gevaarlijke kloof voor plugin-ontwikkelaars.

Securityonderzoekers gebruikten AI om meer dan 300 kritieke zero-day-kwetsbaarheden in het WordPress-ecosysteem te vinden. Ze deden dit in slechts 72 uur.

Het probleem is vibe coding. Dit gebeurt wanneer ontwikkelaars code die door LLM's is gegenereerd, publiceren zonder deze te kunnen controleren. Eén plugin had hierdoor 100 afzonderlijke beveiligingsproblemen.

AI neemt je twee oude beschermingsmiddelen weg: tijd en onduidelijkheid.

Aanvallers gebruiken nu AI om gaten te vinden. Ontwikkelaars gebruiken AI om code te schrijven. De code slaat vaak beveiligingsstappen over, zoals:

  • Data escapen
  • Capability-checks
  • Nonce-validatie

De tijd tussen een openbare bugrapportage en massale exploitatie is nu vijf uur. Dat is geen tijd om te reageren. Het is een race die je zult verliezen.

Ik heb dit op de harde manier geleerd. Ik bouwde een AI-chatbotplugin. Een security-review vond 35 bugs in mijn code. Eén daarvan was een HTML-injectie.

Ik maakte een fout. Ik vertrouwde de AI-output. Ik dacht dat de tekst veilig was omdat een model deze had gegenereerd. Dat was niet zo. Modeloutput bevat gegevens van gebruikers en externe sites. Je moet het behandelen als onbetrouwbaar.

Ik heb mijn workflow aangepast. Ik ga er niet langer vanuit dat code veilig is alleen omdat deze werkt. Ik controleer handmatig elk door AI geschreven onderdeel op drie gebieden:

  • Input: Hoe data het systeem binnenkomt.
  • Output: Hoe data het systeem verlaat.
  • Rechten: Wie de actie kan uitvoeren.

Aan de outputkant gebruik ik nu functies zoals esc_html en wp_kses. Ik gebruik $wpdb->prepare voor elke database-schrijfactie. Ik controleer de rechten met current_user_can bij elk toegangspunt.

De echte crisis zijn niet alleen de bugs. Het is de responstijd.

  • 52% van de ontwikkelaars brengt geen patch uit voordat een bug openbaar wordt.
  • 46% van de bekendgemaakte bugs heeft helemaal geen beschikbare oplossing.

De meeste ontwikkelaars zijn solo-auteurs. Ze worden niet betaald om bugs snel op te lossen. AI maakt deze kloof zichtbaar.

Als je plugins publiceert, schrijf dan niet alleen voorzichtig en hoop op het beste. Ga ervan uit dat aanvallers je gaten binnen enkele seconden vinden.

Bouw deze verdedigingsmechanismen:

  • Controleer handmatig alle input, output en rechten.
  • Sanitize alle model-responses.
  • Creëer een manier waarop mensen bugs privé bij jou kunnen melden.

Een simpel beveiligingscontact in je readme is een begin. Je hebt een kanaal voor rapportages nodig voordat een bug een publieke dreiging wordt.

Bron: https://dev.to/rapls/ai-found-300-wordpress-plugin-zero-days-in-72-hours-i-build-plugins-heres-what-changed-for-me-43na