AI Imegundua Udhaifu wa Plugin 300 za WordPress ndani ya Saa 72
AI hugundua hitilafu ndani ya sekunde chache. Hii inabadilisha kila kitu kwa watengenezaji.
Ukaguzi wa hivi karibuni wa usalama umegundua zaidi ya udhaifu wa aina ya zero-day muhimu 300 kwenye plugin za WordPress ndani ya saa 72 tu. Watafiti wanaita hali hii "vibe coding." Hii hutokea wakati watengenezaji wanapotuma kodi iliyotengenezwa na AI bila kuikagua.
Wakala mmoja umegundua matatizo 100 ya usalama kwenye plugin moja tu iliyotengenezwa na AI.
AI hufanya kazi pande zote mbili. Huandika kodi kwa haraka, lakini mara nyingi hupuuza hatua za usalama kama vile escaping na ukaguzi wa ruhusa. Wakati huo huo, wadukuzi hutumia AI kupata mianya hiyo hiyo papo hapo.
Mifumo ya zamani ya ulinzi imepotea. Siri na muda haziwalindi tena kodi yako. Takwimu zinaonyesha kuwa unyonyaji mkubwa hutokea takriban saa tano baada ya hitilafu kuwa wazi kwa umma. Hiyo si muda wa kutosha kuchukua hatua.
Nimejifunza hili kwa njia ngumu. Nilijenga plugin ya AI chatbot. Ukaguzi wa usalama uligundua hitilafu 35 kwenye kodi yangu. Mbaya zaidi ilikuwa ni HTML injection. Niliamini matokeo ya AI. Nilidhani kwa sababu AI iliandika, basi ilikuwa salama.
Haikuwa salama. Matokeo ya AI yanaweza kubeba maudhui yenye madhara kutoka kwa watumiaji au tovuti za nje. Ukichukulia matokeo ya AI kama salama, unatengeneza mianya ya uvujaji.
Nilibadilisha mfumo wangu wa kazi. Sifikirii tena kwamba "inafanya kazi" inamaanisha "iko salama." Sasa nakagua kila handler iliyoandikwa na AI kwa mikono katika maeneo matatu:
• Input: Jinsi data inavyoingia kwenye mfumo.
• Output: Jinsi data inavyotoka kwenye mfumo. Ninachukulia majibu ya AI kama input isiyoaminika. Ninatumia kazi kama esc_html na wp_kses.
• Permissions: Ninakagua uwezo wa mtumiaji (user capabilities) na nonces katika kila sehemu ya kuingilia.
Tatizo halisi si kodi tu. Ni muda wa kuitikia. Watengenezaji wengi hawatoi marekebisho (patch) kabla ya hitilafu kuwa wazi kwa umma. Plugin nyingi hazina marekebisho yoyote yanayopatikana.
Ikiwa wewe ni mtengenezaji binafsi (solo developer), huwezi tu kuandika kwa uangalifu na kutumaini matokeo mazuri. Unahitaji njia ya watu kukujulisha kuhusu hitilafu kabla hazijajulikana na umma.
Kufikia mwishoni mwa 2026, sheria za EU zitahitaji programu za kufichua udhaifu (vulnerability disclosure programs). Kwa waandishi binafsi, hii inaweza kuwa rahisi. Ongeza mawasiliano ya usalama kwenye faili yako ya readme. Wape watu sehemu ya siri ya kutuma ripoti.
Usisubiri uvunjifu wa usalama wa hadhara (public exploit). Jenga mifumo ya kukamata hitilafu kabla ya muda wa saa tano kuanza.
Jumuiya ya hiari ya kujifunza: https://t.me/GyaanSetuAi
