Оливер Сильд, основатель Patchstack, компании, занимающейся безопасностью WordPress, предупредил, что предстоящий релиз WordPress 7.0 может стать целью для хакеров, пытающихся украсть API-ключи. Его опасения быстро подтвердились, когда в новой версии была обнаружена уязвимость, раскрывающая эти ключи.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Ключи API ИИ ценны.
AI API ключи похожи на надёжные пароли, которые позволяют плагинам или темам WordPress подключаться к AI сервисам, таким как Claude, OpenAI или Gemini. Эти ключи позволяют AI компаниям взимать плату с пользователей в зависимости от их использования, даже если у пользователя также есть ежемесячный подписной план с фиксированным количеством запросов.
Ключи API искусственного интеллекта невероятно ценны, иногда стоят десятки тысяч долларов. Хакеры крадут эти ключи, чтобы контролировать большое количество AI-powered ботов, которые взаимодействуют с людьми в социальных сетях и приложениях для знакомств, ведя бесчисленные разговоры. Они также используют украденные ключи для масштабных фишинговых атак, создания вредоносного программного обеспечения и потенциального получения доступа к конфиденциальной информации, связанной с AI-системами, такими как те, что используются на веб-сайтах WordPress.
https://www.searchenginejournal.com/wp-json/sscats/v2/tk/Middle_Post_Text
Оливер Сильд, основатель Patchstack, предупредил, что уязвимости в веб-сайтах WordPress могут стать гораздо более привлекательными для хакеров, поскольку веб-сайты все чаще взаимодействуют с большими языковыми моделями и платными AI-сервисами.
Sild опубликовал в X:
Недавнее обновление WordPress (версия 7.0) в сочетании с уязвимостями в некоторых плагинах может позволить хакерам легко получить доступ и украсть ценные ключи доступа к AI. Эксперты прогнозируют всплеск хакерских атак, нацеленных на эти ключи.
Мэтт Мулленвег, один из создателей WordPress, не согласен с утверждением, что веб-сайты WordPress в целом небезопасны. Он отмечает, что большинство сайтов WordPress на самом деле безопасны, и лично он запускал сайты WordPress более двух десятилетий, не испытывая никаких нарушений безопасности.
Хотя это может быть и так, WordPress.com от Automattic пережил взлом безопасности в 2011 году, что привело к раскрытию конфиденциальных данных.
Появляется ошибка безопасности, связанная с ИИ, в WordPress 7.0.
Недавняя уязвимость в WordPress 7.0, связанная с его функциями искусственного интеллекта, может привести к раскрытию конфиденциальных API-ключей. Проблема возникает при настройке интеграции с искусственным интеллектом – браузеры могут предложить сохранить API-ключ, отображая его на экране. Это потенциально может раскрыть ключ во время демонстрации экрана, на компьютерах, используемых несколькими людьми, или любому, у кого есть доступ к открытому окну браузера.
Когда вы вводите свой API-ключ Anthropic в форму настройки, ключ ненадолго появляется в качестве предложения в функции автозаполнения вашего браузера. Это может непреднамеренно раскрыть ваш конфиденциальный ключ любому, кто может видеть ваш экран или получить доступ к вашему браузеру.
Поле API-ключа должно функционировать как безопасное поле пароля, то есть не должно отображать ранее введенные записи в качестве предложений.
Новая Эра WordPress-Атак
Оливер Сильд отметил в группе Dynamic WordPress в Facebook, что добавление функций ИИ может повлиять на прибыльность взлома или компрометации веб-сайтов WordPress.
По словам Sild, в настоящее время слабые места в программном обеспечении являются главной причиной нарушений безопасности. Он также отмечает, что веб-сайты WordPress, связанные с AI, становятся все более привлекательной целью для хакеров, поскольку они могут предоставить доступ к ценным AI-инструментам и конфиденциальной информации для входа.
Он также ожидает увидеть больше хакеров, сосредотачивающихся на веб-сайтах WordPress для кражи информации и нарушения работы сервисов, связанных с искусственным интеллектом.
Больше разработчиков высказались, и обсуждение переросло от конкретных уязвимостей в безопасности к более широким проблемам с тем, как разработан WordPress – таким вещам, как управление конфиденциальной информацией, контроль над тем, что могут делать плагины, и доступ к базе данных.
Если кто-то получит доступ к базе данных, это серьезная проблема. Нам нужно сосредоточиться на установке надежных мер безопасности, чтобы этого не произошло.
Стив Джонс из Equalize Digital полагает, что WordPress может потребоваться более совершенная система управления разрешениями, особенно для контроля того, какие плагины и темы могут получить доступ к важной информации или данным для входа в систему.
Sild объяснил, что исправление проблемы, вероятно, потребует значительной переработки системы. Это связано с тем, что уязвимости в плагинах, если они позволяют доступ к базе данных или административным панелям управления, могут подвергнуть весь веб-сайт риску.
Брайан Кордс из WooCommerce присоединился к обсуждению, чтобы рассказать о способах защиты ключей API без внесения серьезных изменений в WordPress. Он отметил, однако, что поскольку WordPress позволяет свободно запускать код, полностью обезопасить ключи API сложно, так как злоумышленники все еще могут использовать взломанные веб-сайты для выполнения прямых API-вызовов.
Эта проблема затрагивает конфиденциальную информацию во всей WordPress. Есть ли способ исправить её, не перепроектируя систему полностью?
Даже если вам удалось скрыть конфиденциальную информацию и связи в другом месте, сама возможность добавления PHP-кода на веб-сайт создаёт риск. Злоумышленники всё ещё могут внедрять вредоносный код и делать запросы непосредственно с сайта.
Архитектура WordPress в эпоху ИИ
Текущая система WordPress для доверия плагинам была создана до того, как веб-сайты обычно использовали функции искусственного интеллекта, которые могли бы использоваться для получения прибыли, подключения к автоматизированным процессам или прямого доступа к сервисам, таким как большие языковые модели. Это создает уязвимость сейчас, когда все эти вещи распространены.
WordPress 7.0 не является автоматически небезопасным. Мэтт Мулленвег отмечает, что веб-сайты, за которыми хорошо следят, могут оставаться защищенными. Однако, простое обновление вашего сайта не обеспечивает полной защиты от хакеров. Patchstack недавно сообщил, что хакеры становятся быстрее в эксплуатации слабых мест веб-сайтов, атакуя вскоре после обнаружения уязвимости и до того, как владелец успеет обновить.
Ключи API ИИ делают WordPress более привлекательной целью.
Ключевая находка заключается в том, что многие владельцы веб-сайтов не осознают, что использование AI-инструментов требует платных API-ключей. Это означает, что запуск AI на сайте WordPress может непреднамеренно привести к значительным расходам – потенциально тысячам долларов. Даже веб-сайты, не содержащие конфиденциальные данные, могут стать мишенью для кражи, если они используют AI-ключ для таких задач, как обновление мета-описаний или создание контента.
Смотрите также
- Какой самый низкий курс доллара к исландской кроне?
- Google: заманчиво оптимизировать показатели инструментов; Нет ярлыков для SEO
- Волатильность ранжирования Google Search нарастает 3 и 4 декабря.
- Как сохранить видимость бренда и преуспеть в этой развивающейся поисковой среде
- Google обновляет политику запрещенного использования генеративного искусственного интеллекта
- Обзоры Google AI встречаются в 74% запросов на решение проблем
- e-pick: Ваши заветные карты ждут! 🎉
- Выпуск WordPress Security 6.9.4 исправляет проблемы, которые не были решены в 6.9.2.
- TIA/USD
- YouTube добавляет комментарии к Shorts Ads, расширяется на мобильный веб.
2026-05-22 13:40