Zero-Day за $20: плагины WordPress стали мишенью для ИИ-охотников

Каждый, кто хоть раз занимался реагированием на инциденты в три часа ночи, знает: худшие звонки начинаются со слов «обновление плагина что-то сломало, и теперь есть исходящий трафик, который мы не можем объяснить». Спровоцировать такой звонок вот-вот станет ещё дешевле. Исследовательский пайплайн, созданный за три дня, за 72 часа сканирования выявил более 300 критических zero-day уязвимостей в экосистеме плагинов WordPress — при средней стоимости около $20 за находку.

Сумма достаточно мала, чтобы уместиться в корпоративном чеке. В этом и весь смысл.

Цифры

Как сообщает Help Net Security, исследователи из TrendAI и CHT Security представили эту работу на Ekoparty Miami. Система сочетает статический анализ на основе ИИ с автоматическим развёртыванием Docker и динамической верификацией через Chrome DevTools MCP. Панель оркестрации AgentForge зафиксировала около 222 миллионов потреблённых токенов в рамках 95 задач за время кампании. Стивен Ю, инженер по исследованию угроз в TrendAI, перевёл эти затраты на токены в среднее значение $20 за уязвимость.

Переведём эту цифру в бюджетные термины. Средний оператор iGaming, проводящий ежеквартальный red team engagement, может потратить шестизначную сумму, чтобы получить горстку критических находок против защищённого стека. Тот же бюджет, направленный через подобный пайплайн на более мягкую экосистему, вернёт сотни находок. В команде из 10 разработчиков $20 — это погрешность округления в одном спринтовом счёте за облако. Это меньше, чем стоит резервное копирование управляемой базы данных за выходные.

Ю намеренно оговорился: «Это не означает, что вы можете легко найти уязвимость на любом сайте WordPress всего за $20. Это сильно зависит от безопасности кодовой базы. Экосистема WordPress крайне обширна и сложна, что ведёт к очень неравномерному качеству кода. В других фреймворках или экосистемах мы можем не увидеть таких же результатов при этом пороге стоимости.»

Оговорка существенная. В экосистеме WordPress более миллиона плагинов, многие из которых поддерживаются одиночными волонтёрами без бюджета на безопасность. Это демографический профиль мягкой цели. Защищённый финтех-монорепозиторий с обязательным code review, SAST-шлюзами и фаззинг-стендами не будет отдавать баги с той же скоростью. Но «WordPress — особый случай» — слабое утешение, когда WordPress управляет значительной долей публичного интернета, включая маркетинговые ресурсы компаний, которые серьёзно относятся к безопасности везде в другом месте.

Классы обнаруженных уязвимостей читаются как экскурсия по OWASP Top Ten: удалённое выполнение кода без предварительной аутентификации (pre-auth RCE), SQL-инъекции, скрытые за аннотациями PHPCS, которые помечают уязвимые запросы как безопасные, повышение привилегий через систему хуков WordPress, server-side request forgery и цепочка атаки на понижение версии. Одна pre-auth RCE обнаружена в плагине с более чем 1000 звёздами на GitHub. Это не заброшенный хобби-проект. Это то, что отдел закупок может одобрить без лишних вопросов.

Что действительно нового

Исследования уязвимостей с помощью ИИ последние 18 месяцев зарабатывали плохую репутацию. Мейнтейнеры завалены AI-генерируемым шумом, и несколько крупных open-source проектов отклонили AI-заявки полностью. Производственные инциденты, связанные с «раскрытием с помощью ИИ», как правило, сводятся к тому, что мейнтейнер неделю преследует галлюцинированный CVE, пока не понимает, что в отчёте описан код, которого нет в репозитории.

Пайплайн TrendAI отличается в двух операционно важных аспектах.

Первый — динамическая верификация. Каждая находка должна была запуститься в Docker-окружении и доказать себя через Chrome DevTools MCP, прежде чем попасть в очередь на раскрытие. Таким образом система устранила более 80% ложных срабатываний. Это разница между инструментом, который генерирует тикеты, и инструментом, который генерирует эксплойты. Статический анализ с LLM поверх — это сопоставитель паттернов. Статический анализ плюс автоматическое развёртывание окружения плюс динамическое подтверждение — это генератор рабочих proof-of-concept.

Второй аспект — и именно он должен беспокоить защитников — цепочка атаки на понижение версии. ИИ обнаружил уязвимость, позволявшую откатить целевой плагин до более ранней версии, распознал, что более ранняя версия имела собственные эксплуатируемые недостатки, и выстроил цепочку из двух без ручных подсказок и заранее обученных паттернов. Ю подтвердил, что при сборке этой цепочки не было никакого участия человека. Тот же класс уязвимостей затем был найден через поиск паттернов в кодовых базах OpenCart и Joomla.

Это автономное обобщение класса багов. Не «модель заметила паттерн, на котором была обучена». Модель изобрела цепочку, а затем перенесла абстракцию между экосистемами. Команды, с которыми я работал, годами строили модели угроз на предположении, что для сборки цепочек эксплойтов необходимо человеческое творчество. Это предположение теперь живёт в долг.

Мой взгляд: цифра $20 соберёт все заголовки, но цепочка атаки на понижение версии — настоящая новость. Цена снижается с каждым поколением моделей. Автономная сборка цепочек — это порог возможностей, и раз пересечённый, он не возвращается назад.

Что уже учтено командами по безопасности

Часть этого зрелые команды безопасности уже предполагали. Все, кто запускал программу bug bounty в последние 12 месяцев, видели волну AI-мусора и выстроили против неё фильтры. Все, кто наблюдал за ростом каталога KEV от CISA, знают, что разрыв между раскрытием и активной эксплуатацией сокращается уже годами. Идея о том, что мотивированные злоумышленники могут масштабно запускать пайплайны обнаружения, не является сюрпризом ни для кого, кто читал отчёты об угрозах с 2024 года.

Что не учтено — крах триажа. Ю был прямолинеен: «Такие организации, как ZDI и NIST, в настоящее время борются с огромными бэклогами из-за взрыва отчётов об уязвимостях, подготовленных с помощью ИИ. Когда ИИ может масштабировать обнаружение с нескольких находок в день до сотен в секунду, традиционная ориентированная на человека модель триажа становится неустойчивой.»

Ручная верификация каждой уязвимости плагина WordPress занимала у команды TrendAI от 30 до 60 минут. Проверка человеком была названа основным узким местом в их собственном пайплайне. Если люди, производящие находки, не успевают за собственным выводом, downstream-вендоры и CNA не имеют никаких шансов. Ю ожидает, что несколько вендоров перейдут на модели раскрытия только по приглашениям или на основе членства и будут блокировать аккаунты, которые отправляют AI-генерируемый шум.

Неудобный вывод: bug bounty как рынок открытых заявок, вероятно, заканчивается. То, что придёт ему на смену, больше похоже на гильдию — с доступом на основе репутации и триажем AI-против-AI на принимающей стороне. Собственный рецепт Ю — «бороться с ИИ-магией ИИ-магией». Руководители инженерных команд, которые сдерживали закупки инструментов безопасности с поддержкой ИИ, проиграют этот аргумент в течение следующих двух бюджетных циклов.

Контраргументы

Пессимистичный сценарий пишется сам: zero-day за $20, автономные цепочки эксплойтов, инфраструктура раскрытия в коллапсе. Но есть причины не торопиться с объявлением конца защищаемой веб-инфраструктуры.

Пайплайн работает именно на плагинах WordPress, потому что плагины WordPress уникально уязвимы. Экосистема из миллиона плагинов, поддерживаемая преимущественно волонтёрами, не является показательной для того, как создаётся серьёзное ПО. Тот же агент, направленный на кодовую базу на Rust с property-based тестами и культурой тщательного ревью, потратит много токенов, чтобы найти очень мало.

У агента есть и жёсткие ограничения. Эксплойты, требующие рабочего ключа платёжного API, действующей учётной записи пользователя или кода SMS-верификации, ломают пайплайн, потому что разрыв — средовой, а не аналитический. Большая часть корпоративной поверхности атаки находится именно за такими шлюзами. Модель не может подделать корпоративный SSO-поток или телефонный номер, верифицированный через Twilio.

И существует версия того же пайплайна для защитников. Если TrendAI создала это за три дня, внутренние AppSec-команды могут создать нечто подобное против своего собственного кода раньше, чем это сделают злоумышленники. Возможности симметричны. Первая волна будет благоприятствовать злоумышленникам, потому что у них меньше комитетов по этике, но инструментарий распространяется в обоих направлениях. Команды, которые встроят пайплайны в CI в течение следующих шести месяцев, сожгут свои бэклоги быстрее, чем злоумышленники найдут новые баги.

Ключевые выводы

• Перестаньте считать плагины WordPress низкоприоритетной поверхностью атаки. Если ваш маркетинговый сайт работает на WP, он теперь является жизнеспособным вектором первоначального доступа для любого злоумышленника с кредитной картой. Проведите инвентаризацию плагинов, зафиксируйте версии и поставьте маркетинговый стек за те же средства контроля исходящего трафика, что и продакшн.
• Цепочка атаки на понижение версии — настоящий сигнал. Автономная сборка цепочек эксплойтов между версиями и между экосистемами (WordPress, OpenCart, Joomla) означает, что патчинг одного CVE больше не является достаточной моделью угроз. Составьте карту путей отката версий в вашем графе зависимостей.
• Ожидайте ужесточения программ раскрытия. Модели подачи заявок только по приглашениям и на основе репутации появятся в течение нескольких месяцев. Если ваша команда полагается на внешние bounty-заявки, аккредитуйте исследователей сейчас, пока дверь не закрылась.
• Заложите бюджет на ИИ-триаж на стороне защитников. «Бороться с ИИ-магией ИИ-магией» по Ю — не слоган, это директива для закупок. Ручной триаж по 30–60 минут на находку не масштабируется против обнаружения сотен в секунду.
• Проведите аудит ваших PHPCS-подавлений сегодня. SQL-инъекции, скрытые за аннотациями, которые помечают уязвимые запросы как безопасные, — это паттерн, который ИИ явно нацеливал. Если ваша кодовая база использует аналогичные комментарии «подавить и забыть», они теперь являются маяками для злоумышленников.