IA Encontrou 300 Bugs em Plugins do WordPress em 72 Horas
A IA encontra bugs rapidamente. Ela também escreve código rapidamente. Isso cria uma lacuna perigosa para desenvolvedores de plugins.
Pesquisadores de segurança usaram IA para encontrar mais de 300 vulnerabilidades críticas de zero-day no ecossistema WordPress. Eles fizeram isso em apenas 72 horas.
O problema é o "vibe coding". Isso acontece quando desenvolvedores lançam códigos gerados por LLMs que eles não conseguem auditar. Um plugin apresentou 100 problemas de segurança distintos por causa disso.
A IA remove suas duas antigas proteções: tempo e obscuridade.
Atacantes agora usam IA para encontrar brechas. Desenvolvedores usam IA para escrever código. O código frequentemente pula etapas de segurança como:
- Escapar dados
- Verificações de capacidade (capability checks)
- Validação de nonce
O tempo entre um relatório de bug público e a exploração em massa é agora de cinco horas. Isso não é uma janela para reagir. É uma corrida que você perderá.
Aprendi isso da maneira mais difícil. Eu construí um plugin de chatbot de IA. Uma revisão de segurança encontrou 35 bugs no meu código. Um deles era uma injeção de HTML.
Eu cometi um erro. Confiei na saída da IA. Achei que, por um modelo ter gerado o texto, ele seria seguro. Não era. A saída de um modelo contém dados de usuários e sites externos. Você deve tratá-la como não confiável.
Mudei meu fluxo de trabalho. Não assumo mais que o código é seguro apenas porque ele funciona. Eu reviso manualmente cada parte escrita por IA em três áreas:
- Entrada (Input): Como os dados entram no sistema.
- Saída (Output): Como os dados saem do sistema.
- Permissões: Quem pode realizar a ação.
No lado da saída, agora uso funções como esc_html e wp_kses. Uso $wpdb->prepare para cada escrita no banco de dados. Verifico as permissões com current_user_can em cada ponto de entrada.
A verdadeira crise não são apenas os bugs. É o tempo de resposta.
- 52% dos desenvolvedores não lançam um patch antes que um bug se torne público.
- 46% dos bugs divulgados não possuem nenhuma correção disponível.
A maioria dos desenvolvedores são autores solo. Eles não são pagos para corrigir bugs rapidamente. A IA torna essa lacuna visível.
Se você lança plugins, não apenas escreva com cuidado e torça. Assuma que os atacantes encontrarão suas brechas em segundos.
Construa estas defesas:
- Revise manualmente todas as entradas, saídas e permissões.
- Sanitize todas as respostas do modelo.
- Crie uma maneira para que as pessoas relatem bugs a você de forma privada.
Um simples contato de segurança no seu readme é um começo. Você precisa de um canal para relatórios antes que um bug se torne uma ameaça pública.
