AI พบช่องโหว่ใน WordPress Plugin ถึง 300 แห่ง ภายในเวลาเพียง 72 ชั่วโมง

AI ค้นหาบั๊กได้ในไม่กี่วินาที สิ่งนี้กำลังเปลี่ยนทุกอย่างสำหรับนักพัฒนา

การสแกนความปลอดภัยเมื่อเร็วๆ นี้พบช่องโหว่ zero-day ระดับวิกฤตกว่า 300 แห่งใน WordPress plugins ภายในเวลาเพียง 72 ชั่วโมง นักวิจัยเรียกสิ่งนี้ว่า "vibe coding" ซึ่งเกิดขึ้นเมื่อนักพัฒนาปล่อยโค้ดที่สร้างโดย AI ออกไปโดยไม่มีการตรวจสอบ (auditing)

เอเจนซี่แห่งหนึ่งพบปัญหาด้านความปลอดภัยถึง 100 รายการในปลั๊กอินที่สร้างโดย AI เพียงตัวเดียว

AI ทำงานทั้งสองด้าน มันเขียนโค้ดได้รวดเร็ว แต่บ่อยครั้งที่มันข้ามขั้นตอนด้านความปลอดภัย เช่น การทำ escaping และการตรวจสอบสิทธิ์ (permission checks) ในขณะเดียวกัน ผู้โจมตีก็ใช้ AI เพื่อค้นหาช่องโหว่เหล่านั้นได้ในทันที

ตาข่ายนิรภัยแบบเดิมหายไปแล้ว ความซับซ้อน (obscurity) และเวลาไม่สามารถปกป้องโค้ดของคุณได้อีกต่อไป ข้อมูลแสดงให้เห็นว่าการโจมตีในวงกว้าง (mass exploitation) เกิดขึ้นภายในเวลาประมาณ 5 ชั่วโมงหลังจากบั๊กถูกเปิดเผยสู่สาธารณะ ซึ่งนั่นไม่เพียงพอต่อการตอบโต้

ผมเรียนรู้เรื่องนี้ด้วยบทเรียนที่ราคาแพง ผมเคยสร้างปลั๊กอิน AI chatbot และการตรวจสอบความปลอดภัยพบว่ามีบั๊กถึง 35 แห่งในโค้ดของผม สิ่งที่แย่ที่สุดคือ HTML injection ผมเชื่อใจผลลัพธ์จาก AI ผมคิดว่าเพราะ AI เป็นคนเขียน มันจึงปลอดภัย

แต่มันไม่เป็นเช่นนั้น ผลลัพธ์จาก AI สามารถนำพาเนื้อหาที่เป็นอันตรายจากผู้ใช้หรือเว็บไซต์ภายนอกเข้ามาได้ หากคุณปฏิบัติกับผลลัพธ์จาก AI ว่าปลอดภัย คุณกำลังสร้างช่องโหว่ให้ข้อมูลรั่วไหล

ผมเปลี่ยนขั้นตอนการทำงานใหม่ ผมไม่ทึกทักอีกต่อไปว่า "มันรันได้" แปลว่า "มันปลอดภัย" ตอนนี้ผมตรวจสอบ handler ทุกตัวที่เขียนโดย AI ด้วยตัวเองใน 3 ด้าน:

• Input: วิธีที่ข้อมูลเข้าสู่ระบบ • Output: วิธีที่ข้อมูลออกจากระบบ ผมปฏิบัติกับคำตอบจาก AI ในฐานะ input ที่ไม่น่าเชื่อถือ ผมใช้ฟังก์ชันอย่าง esc_html และ wp_kses • Permissions: ผมตรวจสอบ user capabilities และ nonces ในทุกจุดที่มีการรับข้อมูล

ปัญหาที่แท้จริงไม่ใช่แค่เรื่องโค้ด แต่คือเวลาในการตอบสนอง นักพัฒนาจำนวนมากไม่ได้ปล่อย patch ออกมาแก้ไขก่อนที่บั๊กจะถูกเปิดเผยสู่สาธารณะ และปลั๊กอินหลายตัวก็ไม่มีตัวแก้ไขเตรียมไว้เลย

หากคุณเป็นนักพัฒนาอิสระ (solo developer) คุณจะแค่เขียนโค้ดอย่างระมัดระวังแล้วหวังว่าทุกอย่างจะราบรื่นไม่ได้ คุณจำเป็นต้องมีช่องทางให้ผู้คนแจ้งบั๊กแก่คุณก่อนที่มันจะถูกเปิดเผยสู่สาธารณะ

ภายในปลายปี 2026 กฎหมายของ EU จะกำหนดให้มีโปรแกรมการเปิดเผยช่องโหว่ (vulnerability disclosure programs) สำหรับผู้เขียนอิสระ เรื่องนี้สามารถทำให้ง่ายได้ เพียงแค่เพิ่มช่องทางการติดต่อด้านความปลอดภัยลงในไฟล์ readme ของคุณ และจัดเตรียมพื้นที่ส่วนตัวให้ผู้คนสามารถส่งรายงานได้

อย่ารอให้เกิดการโจมตีในวงกว้าง จงสร้างระบบเพื่อตรวจจับบั๊กก่อนที่นาฬิกานับถอยหลัง 5 ชั่วโมงจะเริ่มขึ้น

Source: https://dev.to/rapls/ai-found-300-wordpress-plugin-zero-days-in-72-hours-i-build-plugins-heres-what-changed-for-me-43na

Optional learning community: https://t.me/GyaanSetuAi