AI ਨੇ 72 ਘੰਟਿਆਂ ਵਿੱਚ 300 WordPress Plugin Vulnerabilities ਲੱਭੀਆਂ
AI ਸਕਿੰਟਾਂ ਵਿੱਚ ਬੱਗ ਲੱਭ ਲੈਂਦਾ ਹੈ। ਇਹ ਡਿਵੈਲਪਰਾਂ ਲਈ ਸਭ ਕੁਝ ਬਦਲ ਦਿੰਦਾ ਹੈ।
ਇੱਕ ਤਾਜ਼ਾ ਸੁਰੱਖਿਆ ਸਕੈਨ ਵਿੱਚ ਸਿਰਫ਼ 72 ਘੰਟਿਆਂ ਵਿੱਚ WordPress plugins ਵਿੱਚ 300 ਤੋਂ ਵੱਧ ਗੰਭੀਰ zero-day vulnerabilities ਲੱਭੀਆਂ ਗਈਆਂ ਹਨ। ਖੋਜਕਰਤਾ ਇਸਨੂੰ "vibe coding" ਕਹਿੰਦੇ ਹਨ। ਇਹ ਉਦੋਂ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਡਿਵੈਲਪਰ AI ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਕੋਡ ਦੀ ਜਾਂਚ (auditing) ਕੀਤੇ ਬਿਨਾਂ ਉਸਨੂੰ ਲਾਂਚ ਕਰ ਦਿੰਦੇ ਹਨ।
ਇੱਕ ਏਜੰਸੀ ਨੂੰ ਇੱਕ ਸਿੰਗਲ AI-generated plugin ਵਿੱਚ 100 ਸੁਰੱਖਿਆ ਸਮੱਸਿਆਵਾਂ ਮਿਲੀਆਂ।
AI ਦੋਵੇਂ ਪਾਸਿਆਂ ਤੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਤੇਜ਼ੀ ਨਾਲ ਕੋਡ ਲਿਖਦਾ ਹੈ, ਪਰ ਅਕਸਰ escaping ਅਤੇ permission checks ਵਰਗੇ ਸੁਰੱਖਿਆ ਕਦਮਾਂ ਨੂੰ ਛੱਡ ਦਿੰਦਾ ਹੈ। ਇਸੇ ਸਮੇਂ, ਹਮਲਾਵਰ ਉਹਨਾਂ ਹੀ ਖਾਮੀਆਂ ਨੂੰ ਤੁਰੰਤ ਲੱਭਣ ਲਈ AI ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।
ਪੁਰਾਣੇ ਸੁਰੱਖਿਆ ਜਾਲ ਖਤਮ ਹੋ ਚੁੱਕੇ ਹਨ। Obscurity ਅਤੇ ਸਮਾਂ ਹੁਣ ਤੁਹਾਡੇ ਕੋਡ ਦੀ ਰੱਖਿਆ ਨਹੀਂ ਕਰਦੇ। ਅੰਕੜੇ ਦੱਸਦੇ ਹਨ ਕਿ ਕਿਸੇ ਬੱਗ ਦੇ ਜਨਤਕ ਹੋਣ ਦੇ ਲਗਭਗ ਪੰਜ ਘੰਟਿਆਂ ਬਾਅਦ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਇਸਦਾ ਫਾਇਦਾ ਉਠਾਇਆ ਜਾਣ ਲੱਗਦਾ ਹੈ। ਪ੍ਰਤੀਕਿਰਿਆ ਦੇਣ ਲਈ ਇਹ ਸਮਾਂ ਕਾਫ਼ੀ ਨਹੀਂ ਹੈ।
ਮੈਂ ਇਹ ਬਹੁਤ ਮੁਸ਼ਕਲ ਤਰੀਕੇ ਨਾਲ ਸਿੱਖਿਆ। ਮੈਂ ਇੱਕ AI chatbot plugin ਬਣਾਇਆ ਸੀ। ਇੱਕ ਸੁਰੱਖਿਆ ਸਮੀਖਿਆ ਵਿੱਚ ਮੇਰੇ ਕੋਡ ਵਿੱਚ 35 ਬੱਗ ਮਿਲੇ। ਸਭ ਤੋਂ ਮਾੜਾ HTML injection ਸੀ। ਮੈਂ AI output 'ਤੇ ਭਰੋਸਾ ਕੀਤਾ। ਮੈਨੂੰ ਲੱਗਿਆ ਕਿ ਕਿਉਂਕਿ AI ਨੇ ਇਸਨੂੰ ਲਿਖਿਆ ਸੀ, ਇਸ ਲਈ ਇਹ ਸੁਰੱਖਿਅਤ ਸੀ।
ਇਹ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਸੀ। AI output ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਜਾਂ ਬਾਹਰੀ ਵੈੱਬਸਾਈਟਾਂ ਤੋਂ ਮਾਲੀਸ਼ੀਅਸ ਸਮੱਗਰੀ ਹੋ ਸਕਦੀ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ AI output ਨੂੰ ਸੁਰੱਖਿਅਤ ਮੰਨਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਇੱਕ ਲੀਕ ਪੈਦਾ ਕਰਦੇ ਹੋ।
ਮੈਂ ਆਪਣੇ ਕੰਮ ਕਰਨ ਦੇ ਤਰੀਕੇ (workflow) ਨੂੰ ਬਦਲ ਦਿੱਤਾ। ਮੈਂ ਹੁਣ ਇਹ ਨਹੀਂ ਮੰਨਦਾ ਕਿ "ਇਹ ਚੱਲ ਰਿਹਾ ਹੈ" ਦਾ ਮਤਲਬ "ਇਹ ਸੁਰੱਖਿਅਤ ਹੈ" ਹੈ। ਹੁਣ ਮੈਂ ਤਿੰਨ ਖੇਤਰਾਂ ਵਿੱਚ ਹਰ AI-ਲਿਖੇ handler ਦੀ ਮੈਨੂਅਲੀ ਸਮੀਖਿਆ ਕਰਦਾ ਹਾਂ:
• Input: ਡੇਟਾ ਸਿਸਟਮ ਵਿੱਚ ਕਿਵੇਂ ਦਾਖਲ ਹੁੰਦਾ ਹੈ।
• Output: ਡੇਟਾ ਸਿਸਟਮ ਤੋਂ ਕਿਵੇਂ ਬਾਹਰ ਨਿਕਲਦਾ ਹੈ। ਮੈਂ AI ਪ੍ਰਤੀਕਿਰਿਆਵਾਂ ਨੂੰ ਅਭਰੋਸੇਯੋਗ input ਵਜੋਂ ਮੰਨਦਾ ਹਾਂ। ਮੈਂ esc_html ਅਤੇ wp_kses ਵਰਗੇ functions ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹਾਂ।
• Permissions: ਮੈਂ ਹਰ ਐਂਟਰੀ ਪੁਆਇੰਟ 'ਤੇ user capabilities ਅਤੇ nonces ਦੀ ਜਾਂਚ ਕਰਦਾ ਹਾਂ।
ਅਸਲ ਸਮੱਸਿਆ ਸਿਰਫ਼ ਕੋਡ ਨਹੀਂ ਹੈ। ਇਹ ਪ੍ਰਤੀਕਿਰਿਆ ਦਾ ਸਮਾਂ (response time) ਹੈ। ਬਹੁਤ ਸਾਰੇ ਡਿਵੈਲਪਰ ਕਿਸੇ ਬੱਗ ਦੇ ਜਨਤਕ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਕੋਈ ਪੈਚ (patch) ਜਾਰੀ ਨਹੀਂ ਕਰਦੇ। ਬਹੁਤ ਸਾਰੇ plugins ਲਈ ਕੋਈ ਫਿਕਸ (fix) ਉਪਲਬਧ ਹੀ ਨਹੀਂ ਹੁੰਦਾ।
ਜੇਕਰ ਤੁਸੀਂ ਇੱਕ ਸੋਲੋ (solo) ਡਿਵੈਲਪਰ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਸਿਰਫ਼ ਧਿਆਨ ਨਾਲ ਲਿਖ ਕੇ ਸਭ ਕੁਝ ਠੀਕ ਹੋਣ ਦੀ ਉਮੀਦ ਨਹੀਂ ਕਰ ਸਕਦੇ। ਤੁਹਾਨੂੰ ਲੋਕਾਂ ਕੋਲ ਅਜਿਹਾ ਤਰੀਕਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ ਜਿਸ ਨਾਲ ਉਹ ਬੱਗ ਦੇ ਜਨਤਕ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਤੁਹਾਨੂੰ ਦੱਸ ਸਕਣ।
2026 ਦੇ ਅੰਤ ਤੱਕ, EU ਕਾਨੂੰਨ vulnerability disclosure programs ਦੀ ਮੰਗ ਕਰਨਗੇ। ਸੋਲੋ ਲੇਖਕਾਂ ਲਈ, ਇਹ ਸਧਾਰਨ ਹੋ ਸਕਦਾ ਹੈ। ਆਪਣੀ readme ਫਾਈਲ ਵਿੱਚ ਇੱਕ ਸੁਰੱਖਿਆ ਸੰਪਰਕ (security contact) ਜੋੜੋ। ਲੋਕਾਂ ਨੂੰ ਰਿਪੋਰਟ ਭੇਜਣ ਲਈ ਇੱਕ ਨਿੱਜੀ ਜਗ੍ਹਾ ਦਿਓ।
ਕਿਸੇ ਜਨਤਕ ਐਕਸਪਲੋਇਟ (public exploit) ਦੀ ਉਡੀਕ ਨਾ ਕਰੋ। ਪੰਜ ਘੰਟੇ ਦੇ ਟਾਈਮਰ ਸ਼ੁਰੂ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਬੱਗਾਂ ਨੂੰ ਫੜਨ ਲਈ ਸਿਸਟਮ ਬ
