admin 
Oliveris Sildas, „Patchstack WordPress“ saugos įmonės įkūrėjas, pasidalijo susirūpinimu dėl AI API raktų saugumo WordPress 7.0 versijoje ir pasidalijo, kad „įsilaužėliai absoliučiai skubės pavogti API raktus“. Siekiant pabrėžti šį dalyką, „WordPress 7.0“ buvo aptikta tikroji saugos klaida, kuri atskleidžia API raktus.
AI API raktai yra vertingi
AI API raktai yra saugūs slaptažodžiai (raktai), leidžiantys „WordPress“ papildiniui ar temai sąveikauti su AI, pvz., „Claude“, „OpenAI“ ar „Gemini“. API raktas leidžia dirbtinio intelekto įmonei apmokestinti vartotojus už naudojimąsi jų sistemomis, o tai yra atskira ir papildoma jų mėnesinių planų universalaus modelio.
AI API raktai yra labai vertingas turtas, kurio vertė gali siekti dešimtis tūkstančių dolerių. Įsilaužėliai pavagia AI API raktus, skirtus dirbtinio intelekto robotų, kurie įtraukia potencialias aukas socialinėje žiniasklaidoje ir pažinčių programose, paleidžiant tūkstančius pokalbių su savo taikiniais, tinklus. Jie taip pat naudoja pavogtus AI API raktus, kad vykdytų išplėstines sukčiavimo kampanijas, rašytų kenkėjiškas programas, be to, jie gali būti naudojami norint pasiekti neskelbtinus duomenis, susijusius su AI diegimu „WordPress“ svetainėje.
„Patchstack“ įkūrėjas Oliveris Sildas perspėjo, kad „WordPress“ pažeidžiamumas gali tapti daug vertingesnis užpuolikams dabar, kai svetainės vis labiau jungiamos prie didelių kalbų modelių ir mokamų AI API.
Sildas paskelbtas X:
„WordPress 7.0 kartu su papildinio pažeidžiamumu = nemokami AI prieigos raktai. Įsilaužėliai absoliučiai skubės vogti API raktus.”
„WordPress“ įkūrėjas Mattas Mullenwegas atmetė idėją, kad „WordPress“ svetainės yra iš esmės nesaugios, tvirtindamas, kad „didžioji dauguma“ „WordPress“ svetainių yra saugios, ir sakydamas, kad jis jau daugiau nei 20 metų valdo kai kurias „WordPress“ svetaines, į kurias niekada nebuvo įsilaužta.
Tai gali būti tiesa, tačiau 2011 m. Automattic WordPress.com serveriuose įvyko saugumo incidentas, dėl kurio buvo atskleista neskelbtina informacija.
„WordPress 7.0“ su dirbtiniu intelektu susiję saugos klaidų paviršiai
Naujai pranešta „WordPress 7.0“ saugos klaida, susijusi su AI API rakto atskleidimu, rodo, kad saugumo problemų tikimybė yra reali. Ši specifinė saugos problema iškilo AI integravimo sąrankos formoje, kuri leidžia naršyklei automatiškai užpildyti AI API raktą, vizualiai atskleidžiant jį naršyklės lange. Ataskaitoje paaiškinama, kad problema gali atskleisti kredencialus bendrinant ekraną, bendrai naudojamuose kompiuteriuose arba visiems, turintiems prieigą prie aktyvios naršyklės sesijos.
Oficialioje „WordPress GitHub“ ataskaitoje paaiškinama, kokia yra saugos problema:
„Įvedant API raktą integravimo sąrankos formoje (Antropinis teikėjas), API rakto reikšmė rodoma naršyklės automatinio užbaigimo / automatinio pildymo pasiūlymo išskleidžiamajame meniu paprastu tekstu. Tai gali atskleisti neskelbtinus kredencialus visiems, turintiems prieigą prie naršyklės seanso arba ekrano.
API rakto laukas turėtų veikti kaip saugaus slaptažodžio laukas ir neturėtų rodyti anksčiau įvestų verčių kaip pasiūlymų.
Nauja „WordPress“ atakų era
Oliveris Sildas taip pat išreiškė susirūpinimą „Dynamic WordPress Facebook“ grupėje dėl to, kaip AI integracijos gali pakeisti „WordPress“ svetainių naudojimo ekonomiką.
Sildas tvirtino, kad programinės įrangos pažeidžiamumas jau yra pagrindinė saugumo pažeidimų priežastis, ir perspėjo, kad su dirbtiniu intelektu susijusios „WordPress“ svetainės dabar yra žymiai patrauklesnės, nes jose gali būti prieiga prie vertingų AI paslaugų ir API kredencialų.
Jis taip pat numatė, kad daugiau grėsmės veikėjų pradės taikyti „WordPress“ svetaines, specialiai skirtas su AI susijusiems kredencialams ir paslaugoms.
Kiti kūrėjai prisijungė prie diskusijos ir išplėtė ją ne tik atskirų pažeidžiamumų atveju, bet ir platesnius programinės įrangos architektūrinius rūpesčius dėl to, kaip „WordPress“ tvarko paslaptis, papildinių leidimus ir prieigą prie duomenų bazės.
Andrejus Lupu perspėjo, kad kai užpuolikai gauna prieigą prie duomenų bazės, apsaugoti paslaptis tampa labai sunku:
„Tikrovė tokia, kad kai jie turės prieigą prie db, būsite pasmerkti. Turime dirbti su geriausia praktika, kad to išvengtume.”
Steve'as Jonesas iš „Equalise Digital“ pasiūlė, kad „WordPress“ galiausiai gali prireikti išsamesnio leidimų modelio, valdančio, kurie papildiniai ir temos gali pasiekti jautrias paslaugas ar kredencialus.
Sildas atsakė, kad norint išspręsti problemą, greičiausiai prireiks didelio architektūrinio remonto, nes įskiepių pažeidžiamumas, atskleidžiantis prieigą prie duomenų bazės arba administratoriaus privilegijas, veiksmingai pažeidžia visą svetainę.
Brianas Coordsas, „WooCommerce“ kūrėjų advokatas, prisijungė prie diskusijos, norėdamas išsiaiškinti, ar yra praktinių būdų, kaip atskirti API raktus neperkuriant pačios „WordPress“. Tačiau jis taip pat pripažino, kad dėl savavališko PHP vykdymo problemą sunku išspręsti, nes kenkėjiškas kodas vis tiek gali iškviesti API iškvietimus tiesiai iš pažeistos svetainės.
Jis pasidalino:
„Tai gana paprastai taikoma paslaptims „WordPress“. Ar yra sprendimas, kuriam nereikalaujama visapusiško architektūrinio remonto?
…Tiesiog pagalvojus, net jei jūs teoriškai galėtumėte paslėpti pačius raktus ir ryšius už aplinkos ribų, netgi galimybė pridėti PHP prie svetainės reiškia, kad vis tiek galite įtraukti kenkėjišką kodą, kad skambintumėte iš pačios svetainės.
„WordPress“ AI eros architektūra
„WordPress“ problema ta, kad jos papildinio pasitikėjimo modelis buvo sukurtas dar prieš tai, kai svetainėse buvo AI kredencialų, iš kurių galima gauti pajamų, jie buvo prijungti prie automatizavimo sistemų arba nebuvo numatyta tiesioginė prieiga prie trečiųjų šalių LLM paslaugų.
Tai nereiškia, kad pagal numatytuosius nustatymus „WordPress 7.0“ yra nesaugi. Kaip reikalavo Mullenweg, tinkamai prižiūrimos „WordPress“ svetainės gali išlikti saugios. Tačiau dažnai atnaujinant svetainę negarantuojama, kad „WordPress“ svetainė išvengs įsilaužimo. Neseniai paskelbtoje „Patchstack“ ataskaitoje teigiama, kad įsilaužėliai didina svetainių atakų greitį, kad galėtų išnaudoti trumpą progą nuo pažeidžiamumo aptikimo iki to momento, kai svetainės savininkas imasi atnaujinti savo svetainę.
AI API raktai paverčia „WordPress“ didesniu tikslu
Vienas iš svarbiausių dalykų yra tai, kad daugelis svetainių savininkų nežino, kaip veikia API raktai, ir kad jų naudojimas nėra nemokamas. AI naudojimas „WordPress“ svetainėje gali lemti tūkstančių dolerių vagystę naudojant AI. Netgi svetainė, kurioje nėra neskelbtinos informacijos, kurią būtų galima pavogti, dabar tampa vertingu taikiniu, jei jie naudoja AI raktą, kad atliktų užduotis, pvz., metaaprašų mastelį visoje svetainėje arba padėtų sukurti pačią svetainę.
Teminis vaizdas, kurį sukūrė Shutterstock / Yuriy2012
