AI Vibe Craft
← Назад к AI Vibe News

Редакция 24 июня 2026 г.

Разборы

AI за 72 часа нашёл сотни zero-day в WordPress-плагинах — и это меняет правила для тех, кто пишет плагины с LLM

AI за 72 часа нашёл сотни zero-day в WordPress-плагинах — и это меняет правила для тех, кто пишет плагины с LLM.

ИИ ускоряет разработку плагинов и одновременно масштабирует поиск уязвимостей в экосистеме WordPress: за 72 часа автоматизированного сканирования исследователи зафиксировали более 300 критических zero-day, а разработчик @rapls перед релизом собственного AI chatbot plugin получил от security review 35 находок, включая HTML injection из вывода модели. разбор на Dev.to

Как AI-пайплайн нашёл 300+ zero-day за 72 часа

Исследователи TrendAI и CHT Security собрали пайплайн за три дня и представили его на Ekoparty Miami. Стек сочетает AI-driven static analysis, автоматическое развёртывание в Docker и динамическую верификацию через Chrome DevTools MCP — протокол, который позволяет агенту управлять браузером для проверки гипотез об уязвимостях.

За примерно 72 часа сканирования экосистемы WordPress-плагинов обнаружено более 300 критических zero-day. Каждая находка вручную проверена исследователями и передана разработчикам по responsible disclosure до публикации результатов.

Оркестрация шла через dashboard AgentForge: около 222 млн токенов на 95 задач. Steven Yu (TrendAI) оценивает среднюю стоимость одной находки примерно в $20 — с оговоркой, что цифра зависит от качества кодовой базы.

Узкое место — не генерация гипотез, а человек: ручная верификация одной находки занимает 30–60 минут.

Среди классов уязвимостей — pre-auth RCE, SQL injection, спрятанный за PHPCS-аннотациями, privilege escalation через hook system, SSRF и downgrade attack chain. Один pre-auth RCE пришёлся на плагин с более чем 1000 звёзд на GitHub. Динамическая верификация отсекла более 80% ложных срабатываний ещё до очереди на disclosure.

Полного именованного списка затронутых плагинов и CVE в открытых источниках нет — в репортаже зафиксированы классы проблем и методика, а не каталог CVE.

Security review AI chatbot plugin: 35 багов до релиза

Перед публикацией собственного AI chatbot plugin автор провёл security review. Итог: 35 багов, из них 3 критических. Главная находка — HTML injection: ответ модели рендерился на страницу как HTML без санитизации.

Механизм типичен для vibe coding с LLM. Первая ловушка — доверие к сгенерированному коду: «раз AI написал, значит безопасно». Вторая — внутри кода вывод модели трактовался как доверенный. Модель может нести пользовательский ввод и данные из retrieval с внешних страниц; без проверки на выходе защита на входе не спасает.

// Антипаттерн: ответ модели → HTML без escape
echo $model_response;

// Минимум: трактовать вывод модели как untrusted input
echo esc_html( $model_response );

Имя модели и полный стек chatbot plugin в материале не раскрыты — зафиксированы только факт review и класс уязвимости.

Vibe coding и сжатое окно между disclosure и эксплуатацией

Контекст 2026 года задаёт отчёт Patchstack State of WordPress Security in 2026. Термин vibe coding там описывает ситуацию, когда разработчики отгружают LLM-сгенерированный код плагинов без возможности полноценного аудита.

Цифры из whitepaper Patchstack:

  • weighted median времени от публичного disclosure до mass exploitation для наиболее эксплуатируемых уязвимостей — 5 часов;
  • 46% уязвимостей не получили патч от разработчика к моменту публичного disclosure;
  • для плагинов, распространяемых пользователям в EU, в 2026 по закону нужна Vulnerability Disclosure Program (VDP) — отчёт связывает это с Cyber Resilience Act.

Отдельный сигнал — кейс из обзора hosting.com: одно агентство нашло 100 distinct security issues в одном vibe-coded plugin (имя плагина и агентства в источнике не названы).

Параллельно WordPress наращивает поверхность для AI-агентов. Abilities API в версии 6.9 работает на стороне сервера; в 7.0 добавляются client-side JS, Connectors и WP AI Client — плагины смогут стандартизованно экспонировать действия для агентов. Это новый класс риска under-scoped permissions, если права на действия заданы шире, чем нужно.

Что изменилось в практике solo-разработчика с AI-кодом

Автор, который сам пишет плагины, сместил критерий готовности с «it runs» на «it's safe». Для каждого AI-written handler он проверяет три точки: input, output, permissions.

На выходе ответ модели — untrusted input: escape для HTML, allowlist для Markdown, валидация URL перед fetch. WordPress-практики, которые LLM часто пропускает, он держит в чеклисте:

  • esc_html и wp_kses с tight allowlist;
  • current_user_can и nonce на каждой AJAX/REST точке;
  • $wpdb->prepare на каждой записи в БД.

За Abilities API в WordPress 7.0 он следит отдельно — экспозиция действий агентам без жёсткой модели прав дублирует риски, которые массовый AI-скан только что показал на масштабе экосистемы.

Минимальный disclosure channel для одного человека: security contact в readme или файле SECURITY, приватный канал отчётов вместо публичного issue tracker и заявленное response window.

Масштабный AI-аудит экосистемы и личный review одного chatbot plugin сходятся в одном выводе: ускорение от LLM не отменяет ручную проверку границ доверия — на входе, на выходе и в правах.

Источники

  • Пост @rapls на Dev.to (22 июня 2026): Dev.to
  • Help Net Security — пайплайн TrendAI/CHT Security, MCP, AgentForge: https://www.helpnetsecurity.com/2026/05/22/ai-wordpress-plugin-vulnerabilities/
  • Patchstack — State of WordPress Security in 2026: https://patchstack.com/whitepaper/state-of-wordpress-security-in-2026/
  • hosting.com — vibe-coded plugins, Abilities API: https://hosting.com/blog/wordpress-plugin-security-how-to-pick-audit-safely/