$20 за Zero-Day: Плагіни WordPress стали мисливськими угіддями для ШІ

Кожен, хто хоч раз займався реагуванням на інциденти о 3-й ночі, знає: найгірші дзвінки починаються зі слів «оновлення плагіна щось зламало, і тепер є вихідний трафік, який ми не можемо пояснити». Спровокувати такий дзвінок незабаром стане ще дешевше. Дослідницький пайплайн, побудований за три дні, виявив понад 300 критичних zero-day вразливостей в екосистемі плагінів WordPress за 72 години сканування — середня вартість кожної знахідки склала близько $20.

Сума, яка вміщається в чек корпоративної картки. Саме в цьому й полягає вся суть.

Цифри

Як повідомляє Help Net Security, дослідники з TrendAI та CHT Security представили свою роботу на конференції Ekoparty Miami. Система поєднує статичний аналіз на основі ШІ з автоматичним розгортанням середовищ Docker і динамічною верифікацією через Chrome DevTools MCP. Панель оркестрування AgentForge зафіксувала близько 222 мільйонів токенів у 95 завданнях за час кампанії. Стівен Ю, інженер із дослідження загроз у TrendAI, перевів цей токен-витрати у середню вартість $20 за вразливість.

Перекладемо цифру на мову бюджетів. Середній iGaming-оператор, замовляючи квартальне red-team-тестування, може витратити шестизначні суми заради кількох критичних знахідок проти захищеного стеку. Той самий бюджет, запущений через подібний пайплайн проти менш захищеної екосистеми, поверне сотні знахідок. У команді з 10 розробників $20 — це похибка округлення в рахунку за хмарні ресурси за один спринт. Менше, ніж коштує резервне копіювання керованої бази даних за вихідні.

Ю обережно обмежив це твердження. «Це не означає, що ви можете легко знайти вразливість на будь-якому WordPress-сайті лише за $20, — сказав він. — Це значною мірою залежить від якості коду. Екосистема WordPress надзвичайно велика і складна, що призводить до дуже неоднорідної якості коду. В інших фреймворках або екосистемах ми можемо не побачити таких результатів за такої вартості».

Це застереження робить реальну роботу. У WordPress більше мільйона плагінів, багато з яких підтримуються поодинокими волонтерами без бюджету на безпеку. Це демографічний профіль «м'якої цілі». Захищений фінтех-монорепозиторій з обов'язковим рев'ю, SAST-шлюзами та фаз-харнесами не здаватиме баги з такою самою швидкістю. Але «WordPress — це особливий випадок» — слабка втіха, коли WordPress обслуговує значну частину публічного інтернету, включаючи маркетингові ресурси компаній, які в усьому іншому серйозно ставляться до безпеки.

Класи виявлених вразливостей читаються як екскурсія по OWASP Top Ten: виконання довільного коду без автентифікації, SQL-ін'єкції, приховані за анотаціями PHPCS, які позначають вразливі запити як безпечні, підвищення привілеїв через систему хуків WordPress, підробка серверних запитів і ланцюжок атак з пониженням версії. Один pre-auth RCE знайшли в плагіні з понад 1 000 зірок на GitHub. Це не занедбаний хобі-проєкт. Це щось, що відділ закупівель може схвалити без зайвих питань.

Що справді нового

Дослідження вразливостей за допомогою ШІ останні 18 місяців заробляло погану репутацію. Мейнтейнери були завалені ШІ-шумом, а кілька великих open-source-проєктів відхилили подання від ШІ взагалі. Виробничі інциденти, які я спостерігав і які були пов'язані з «розкриттям за допомогою ШІ», зазвичай закінчувалися тим, що мейнтейнер тиждень полював за вигаданим CVE, аж поки не з'ясовував, що звіт описує код, якого в репозиторії не існує.

Пайплайн TrendAI відрізняється двома операційно значущими речами.

По-перше, динамічна верифікація. Кожна знахідка мала запуститися в середовищі Docker і довести свою реальність через Chrome DevTools MCP перед тим, як потрапити до черги на розкриття. Система таким чином усунула понад 80% хибнопозитивних результатів. Це різниця між інструментом, що генерує тікети, та інструментом, що генерує експлойти. Статичний аналіз з LLM зверху — це засіб розпізнавання шаблонів. Статичний аналіз плюс автоматичне розгортання середовища плюс динамічне підтвердження — це генератор робочих proof-of-concept.

По-друге, і це та частина, яка має змусити захисників відчути дискомфорт, — ланцюжок пониження версії. ШІ знайшов вразливість, яка дозволяла відкотити цільовий плагін до більш ранньої версії, розпізнав, що та версія мала власні експлуатовані недоліки, і поєднав їх без ручних підказок або попередньо навчених шаблонів. Ю підтвердив, що в складанні цього ланцюжка не було жодного людського втручання. Той самий клас вразливостей потім був знайдений через пошук шаблонів у кодових базах OpenCart і Joomla.

Це автономне узагальнення класу вразливостей. Не «модель розпізнала шаблон, на якому її навчали». Модель вигадала ланцюжок, а потім перенесла абстракцію в інші екосистеми. Команди, з якими я працював, роками будували моделі загроз, виходячи з припущення, що для складання ланцюжків експлойтів потрібна людська творчість. Тепер цей годинник запущено.

Моя думка: цифра $20 збере всі заголовки, але реальна новина — це ланцюжок пониження версії. Ціна знижується з кожним поколінням моделей. Автономна побудова ланцюжків — це поріг можливостей, і після його подолання назад повернутися не можна.

Що вже враховано командами безпеки

Частина цього зрілим командам безпеки вже була відома. Кожен, хто запускав програму bug bounty протягом останніх 12 місяців, бачив хвилю ШІ-сміття і збудував для неї фільтри. Кожен, хто спостерігав, як зростає каталог KEV від CISA, знає: розрив між розкриттям і активною експлуатацією скорочується роками. Ідея про те, що мотивовані зловмисники можуть запускати пайплайни виявлення у промислових масштабах, не є сюрпризом для тих, хто читав звіти про загрози після 2024 року.

Що не враховано — це колапс тріажу. Ю висловився прямо. «Такі організації, як ZDI та NIST, зараз борються з величезними накопиченими справами через вибух ШІ-звітів про вразливості. Коли ШІ може масштабувати виявлення від кількох знахідок на день до сотень на секунду, традиційна модель тріажу, орієнтована на людей, стає нежиттєздатною».

Ручна верифікація кожної вразливості плагіна WordPress займала у команди TrendAI від 30 до 60 хвилин. Людський рев'ю був названий основним вузьким місцем у їхньому власному пайплайні. Якщо ті, хто знаходить вразливості, не можуть встигати за власним обсягом виводу, постачальники та CNA нижче за течією не мають жодного шансу. Ю очікує, що кілька постачальників перейдуть до моделей розкриття тільки за запрошенням або за членством та блокуватимуть акаунти, що надсилають ШІ-шум.

Незручний висновок: bug bounty як відкритий ринок подань, мабуть, завершується. Те, що прийде на зміну, більше нагадує гільдію — з доступом, обмеженим репутацією, і тріажем «ШІ проти ШІ» на стороні отримувача. Власний рецепт Ю — «боротися з магією ШІ магією ШІ». Технічні керівники, які до цього часу стримували закупівлі інструментів безпеки з підтримкою ШІ, програють цей аргумент протягом наступних двох бюджетних циклів.

Альтернативний погляд

Апокаліптична версія пише себе сама: zero-day за $20, автономні ланцюжки експлойтів, інфраструктура розкриття в колапсі. Але є причини не поспішати оголошувати кінець захищеної вебінфраструктури.

Пайплайн працює саме на плагінах WordPress, бо плагіни WordPress унікально погані. Екосистема з мільйоном плагінів, які здебільшого підтримуються волонтерами, не є репрезентативною для того, як будується серйозне програмне забезпечення. Той самий агент, спрямований на кодову базу Rust з property-based тестами і культурою ретельного рев'ю, витратить багато токенів і знайде дуже мало.

Агент також має жорсткі обмеження. Експлойти, що потребують робочого ключа платіжного API, дійсного облікового запису користувача або коду верифікації SMS, ламають пайплайн, бо розрив є середовищним, а не аналітичним. Більша частина корпоративної поверхні атаки знаходиться якраз за такими шлюзами. Модель не може підробити корпоративний SSO-флоу або підтверджений через Twilio номер телефону.

І є версія того самого пайплайну для захисників. Якщо TrendAI побудувала це за три дні, внутрішні AppSec-команди можуть побудувати щось подібне проти власного коду раніше, ніж це зроблять зловмисники. Можливість симетрична. Перша хвиля сприятиме зловмисникам, бо в них менше комітетів з етичного рев'ю, але інструментарій поширюється в обох напрямках. Команди, які запустять пайплайни в CI протягом наступних шести місяців, спалять накопичені борги швидше, ніж зловмисники знаходитимуть нові баги.

Ключові висновки

• Перестаньте вважати плагіни WordPress низькопріоритетною поверхнею атаки. Якщо ваш маркетинговий сайт працює на WP, він тепер є реальним вектором первинного доступу для будь-якого зловмисника з кредитною карткою. Проведіть інвентаризацію плагінів, зафіксуйте версії і поставте маркетинговий стек за ті самі засоби контролю egress-трафіку, що й production.
• Ланцюжок пониження версії — це справжній сигнал. Автономне складання ланцюжків експлойтів між версіями та між екосистемами (WordPress, OpenCart, Joomla) означає, що патчінг за одним CVE більше не є достатньою моделлю загроз. Нанесіть на карту шляхи відкату версій у вашому графі залежностей.
• Очікуйте посилення програм розкриття. Моделі подання тільки за запрошенням і з обмеженням за репутацією з'являться протягом найближчих місяців. Якщо ваша команда покладається на зовнішні подання до bug bounty, акредитуйте своїх дослідників зараз, поки двері ще не зачинилися.
• Закладіть бюджет на ШІ-тріаж на стороні захисту. «Боротися з магією ШІ магією ШІ» — це не гасло, а директива щодо закупівель. Ручний тріаж по 30–60 хвилин на знахідку не масштабується проти виявлення зі швидкістю сотень за секунду.
• Проаудитуйте ваші PHPCS-супресії сьогодні. SQL-ін'єкції, приховані за анотаціями, що позначають вразливі запити як безпечні, — це шаблон, який ШІ цілеспрямовано шукав. Якщо ваша кодова база використовує подібні коментарі «заглушити і забути», вони тепер є дороговказами для зловмисників.