Генеральный директор Patchstack Оливер Силд предупредил, что после выхода WordPress 7.0 с новым экраном Connectors, предоставляющим владельцам сайтов централизованное место для хранения учетных данных для ИИ-сервисов, таких как OpenAI, Anthropic и Google, «хакеры начнут массово красть API-ключи» с сайтов WordPress.
Силд забил тревогу в X 22 мая, через два дня после выхода WordPress 7.0, и распространил свои опасения в LinkedIn и Post Status Slack.
Его аргумент заключается в том, что API-ключи для ИИ коренным образом изменили экономику атак на сайты WordPress. Исторически большинство сайтов представляли для хакеров относительно низкую ценность, а максимальную выгоду приносил доступ к серверным ресурсам для запуска фишинговых страниц, перенаправления трафика, внедрения SEO-спама и создания ботнетов. API-ключи для ИИ — совсем другая история. Они продаются по значительно более высоким ценам по сравнению с другими ключами и могут быть использованы для исследования уязвимостей Tokenmax за счет жертвы.
«Рентабельность инвестиций в хакинг случайного сайта WordPress резко возросла», — написал Силд в LinkedIn, добавив, что если все больше и больше людей начнут подключать сервисы ИИ к своим сайтам, число атак будет расти экспоненциально. «Будут изобретены новые векторы атак, появится больше атак на цепочки поставок и в разы больше уязвимостей будет обнаружено в плагинах».
Почему ИИ-ключи так отличаются от других ключей
Предупреждения Силда вызвали дискуссию в соцсетях. Брайан Коордс, адвокат разработчиков в Woo, спросил в X: «Может кто-нибудь объяснить мне, с чем связаны опасения по поводу хранения API-ключей для ИИ в WordPress? Чем это отличается от хранения ключей Stripe или других API-ключей? Это искренний вопрос».
Ему ответили следующим образом: ключи Stripe позволяют получать деньги, а ключи ИИ — их тратить.
Соучредитель SureCart Адам Прейзер назвал ИИ-ключи «отмычкой к вашему сейфу», предупредив, что «это первый случай, когда API, хранящийся [на сайте WordPress], имеет такую высокую денежную ценность для хакера». Риск не гипотетический. В марте The Register сообщили, что разработчику был выставлен счет на 82 000 долларов за использование Gemini API после компрометации ИИ-ключа.
Бывший представитель команды AI Team в WordPress Джеймс Лепейдж признал риски, но отметил, что они не являются характерными именно для WordPress. Реализация коннекторов требует выполнения нескольких целенаправленных шагов, прежде чем ИИ станет пригодным для использования, включая обновление WordPress, установку плагина коннектора, получение и ввод API-ключа. Лепейдж сказал, что риск сравним с атакой на скомпрометированную цепочку поставок NPM или утечкой секрета GitHub.
Мэтт Мулленвег ответил на первоначальный пост Силда. «Вы забываете, сколько существует абсолютно безопасных сайтов на WordPress, это подавляющее большинство», — написал он в X. «Я управляю некоторыми из них более 20 лет, их никто ни разу не ломал». Силд возразил: «Небезопасных сайтов гораздо больше, чем тех, которые „абсолютно безопасны“».
Собственные данные Patchstack подтверждают масштабы проблем. Отчет компании о безопасности показал, что в 2025 году в экосистеме WordPress было обнаружено 11 334 новых уязвимости — на 42% больше, чем годом ранее, — при этом злоумышленники обычно эксплуатируют новые уязвимости в течение пяти часов после их публичного раскрытия. Проведенные компанией скрининговые сканы хостинг-провайдеров неизменно показывали, что 70–90% сайтов имеют как минимум одну известную уязвимость.
Силд: «Я не думаю, что можно что-то с этим сделать»
В интервью изданию The Repository Силд был более сдержан, чем в социальных сетях. Он не стал критиковать экран Connectors или способ его реализации.
«Честно говоря, я не думаю, что можно что-то с этим сделать», — сказал он. «Не важно, хранятся эти API-ключи в базе данных или в файловой системе, зашифрованы они или нет, — если уязвимость в системе безопасности позволяет получить полный контроль над веб-сайтом, ключи можно будет извлечь».
Больше всего его беспокоит влияние этого подхода на последующие процессы, особенно в контексте атак на цепочки поставок, которые, согласно отчету Patchstack, представляют собой растущую угрозу. Силд описал сценарий, в котором злоумышленник захватывает плагин с десятками тысяч активных установок и распространяет обновление, незаметно собирающее API-ключи со всех сайтов, не используя при этом бэкдоры.
«Мы уже наблюдаем рост атак на цепочки поставок в плагинах WordPress», — сказал он. «Количество обнаруженных уязвимостей достигло рекордного уровня».
Архитектурная проблема, не имеющая простого решения
Джон Блэкборн, представитель команды безопасности WordPress, прокомментировал Trac-тикет, посвященный аудиту безопасности хранилища API-ключей. Он подтвердил архитектурное ограничение, описываемое Силдом.
По словам Блэкборна, в настоящее время в WordPress нет способа хранить двусторонне зашифрованное значение без привязки к секретному ключу в wp-config.php, что чревато потерей данных при ротации ключа или при миграции сайта в другую среду. Он сказал, что ранее уже рассматривал идею добавления API для двустороннего шифрования.
Феликс Арнтц, основной разработчик, спонсируемый Google, добавил: «…если вредоносный плагин получит доступ к сайту, уже ничто не поможет. Поэтому я считаю уместным продолжить работу с текущим базовым вариантом без шифрования и изучить возможность поддержки внешних систем двустороннего шифрования в будущем».
Команда разработчиков WordPress AI уже устранила некоторые пробелы. В выпущенной на прошлой неделе версии 1.0 плагина WordPress AI были представлены два важных эксперимента: логирование запросов, которое позволяет администраторам отслеживать, какие ИИ-операции выполняются на их сайте, и утверждение коннекторов, которое позволяет администраторам решать, какие плагины получат доступ к настроенным провайдерам. Функционал утверждения коннекторов был разработан в ответ на опасения сообщества, высказанные в марте по поводу неконтролируемого доступа плагинов к ИИ.
Силд сказал, что логирование и подтверждение доступа – хорошие опции, но они не изменят общую картину. «Когда сайт WordPress взломан, вы, скорее всего, получите доступ ко всему и сможете вмешиваться во что угодно», — сказал он.
Что могут сделать владельцы сайтов прямо сейчас
Кэти Зант, консультант по безопасности, назвала экран Connectors «реальным улучшением» по сравнению с разрозненным хранением ключей в отдельных плагинах, но предупредила, что он «повышает вероятность компрометации административной панели WordPress».
Она посоветовала владельцам сайтов, которые подключаются к ИИ-провайдерам, установить лимит расходов для каждого API-ключа на уровне поставщика, использовать двухфакторную аутентификацию для каждого аккаунта администратора и выходить из WordPress после каждой сессии администратора для удаления сессионных файлов cookie. По мнению Зант, скомпрометированный ключ с лимитом в 50 долларов — это мелкое неудобство, в то время как скомпрометированный ключ без лимита — это катастрофа. Хочется ли вам финансировать чью-то GPU-ферму?
Хостинговые компании уже обсуждают новые риски. Силд сказал, что среди хостинг-партнеров Patchstack есть консенсус относительно того, что WordPress стал более крупной и лакомой целью атак, и дальнейшие действия зависят от того, насколько широко будут использоваться AI Connectors и удастся ли хакерам извлечь ключи на ранних этапах.
«Если им это удастся, они направят больше ресурсов на поиск новых уязвимостей нулевого дня и на проведение более сложных атак на цепочки поставок», — сказал Силд.
Источник: https://www.therepository.email
