Patchstack WordPress güvenlik şirketinin kurucusu Oliver Sild, WordPress 7.0'daki AI API anahtarlarının güvenliğiyle ilgili endişelerini paylaşarak “bilgisayar korsanlarının API anahtarlarını çalmak için mutlak bir akın olacağını” paylaştı. Bu noktanın altını çizmek gerekirse, WordPress 7.0'da API anahtarlarını açığa çıkaran gerçek bir güvenlik hatası keşfedildi.
AI API Anahtarları Değerlidir
AI API Anahtarları, bir WordPress eklentisinin veya temasının Claude, OpenAI veya Gemini gibi bir AI ile etkileşime girmesini sağlayan güvenli şifrelerdir (anahtarlar). API anahtarı, bir yapay zeka şirketinin, aylık planlarının “yiyebildiğin kadar yiyebilirsin” modeline ek olarak ayrı ve ek olarak sistemlerini kullanmaları karşılığında kullanıcılara fatura kesmesine olanak tanır.
AI API anahtarları, onbinlerce dolar değerinde olabilecek son derece değerli varlıklardır. Bilgisayar korsanları, sosyal medya ve flört uygulamalarında potansiyel kurbanlarla etkileşim kuran ve hedefleriyle binlerce görüşme yürüten yapay zeka botlarının ağlarını güçlendirmek için yapay zeka API anahtarlarını çalıyor. Çalınan AI API anahtarlarını ölçekli kimlik avı kampanyaları yürütmek, kötü amaçlı yazılım yazmak için de kullanıyorlar ve ayrıca bir WordPress sitesindeki AI uygulamasına bağlı hassas verilere erişmek için de kullanılabiliyorlar.
Patchstack kurucusu Oliver Sild, web sitelerinin büyük dil modellerine ve ücretli AI API'lerine giderek daha fazla bağlanmaya başlamasıyla WordPress'teki güvenlik açıklarının saldırganlar için çok daha değerli hale gelebileceği konusunda uyardı.
Sild X'te şunları paylaştı:
“WordPress 7.0, eklenti güvenlik açıklarıyla birleştiğinde = ücretsiz AI belirteçleri. Bilgisayar korsanlarının API anahtarlarını çalmak için mutlak bir hücumu olacak.”
WordPress kurucu ortağı Matt Mullenweg, WordPress sitelerinin genel olarak güvensiz olduğu fikrine karşı çıktı ve WordPress sitelerinin “büyük çoğunluğunun” güvenli olduğu konusunda ısrar etti ve 20 yılı aşkın süredir hiç saldırıya uğramamış bazı WordPress sitelerini işlettiğini söyledi.
Bu doğru olabilir ancak Automattic'in WordPress.com sunucularında 2011 yılında hassas bilgilerin açığa çıkmasına neden olan bir güvenlik olayı yaşandı.
WordPress 7.0 Yapay Zeka ile İlgili Güvenlik Hata Yüzeyleri
AI API anahtarının açığa çıkmasını içeren yeni bildirilen bir WordPress 7.0 güvenlik hatası, güvenlik sorunları potansiyelinin gerçek olduğunu gösteriyor. Bu özel güvenlik sorunu, bir tarayıcının AI API anahtarını otomatik olarak doldurarak tarayıcı penceresinde görsel olarak göstermesini sağlayan AI entegrasyon kurulum formunda ortaya çıktı. Raporda, sorunun ekran paylaşımı sırasında, paylaşılan bilgisayarlarda veya etkin bir tarayıcı oturumuna erişimi olan herkesin kimlik bilgilerinin açığa çıkabileceği belirtiliyor.
Resmi WordPress GitHub raporu güvenlik sorununun ne olduğunu açıklıyor:
“Entegrasyon kurulum formuna (Antropik sağlayıcı) bir API anahtarı girerken, API anahtarı değeri, tarayıcının otomatik tamamlama/otomatik doldurma önerisi açılır menüsünde düz metin olarak görünür. Bu, hassas kimlik bilgilerinin, tarayıcı oturumuna veya ekranına erişimi olan herkesin eline geçmesine neden olabilir.
API anahtarı alanı güvenli bir şifre alanı gibi davranmalı ve daha önce girilen değerleri öneri olarak göstermemelidir.”
WordPress Saldırılarında Yeni Bir Dönem
Oliver Sild ayrıca Dinamik WordPress Facebook grubunda yapay zeka entegrasyonlarının WordPress sitelerinden yararlanma ekonomisini nasıl değiştirebileceği konusundaki endişelerini dile getirdi.
Sild, yazılımdaki güvenlik açıklarının zaten güvenlik ihlallerinin önde gelen nedeni olduğunu savundu ve yapay zeka bağlantılı WordPress sitelerinin, değerli yapay zeka hizmetlerine ve API kimlik bilgilerine erişim içerebilecekleri için artık çok daha çekici hedefler haline geldiği konusunda uyardı.
Ayrıca daha fazla tehdit aktörünün özellikle yapay zeka ile ilgili kimlik bilgileri ve hizmetler için WordPress sitelerini hedeflemeye başlayacağını da öngördü.
Tartışmaya diğer geliştiriciler de katıldı ve tartışmayı bireysel güvenlik açıklarının ötesine taşıyarak WordPress'in sırları, eklenti izinlerini ve veritabanı erişimini nasıl ele aldığıyla ilgili daha geniş yazılım mimarisi kaygılarına doğru genişletti.
Andrei Lupu, saldırganların veritabanı erişimi elde etmesiyle sırları korumanın son derece zor hale geleceği konusunda uyardı:
“Gerçek şu ki, onlar veri tabanına erişime sahip olduklarında, bu kaçınılmazdır. Bunu önlemek için en iyi uygulamalar üzerinde çalışmamız gerekiyor.”
Equalize Digital'den Steve Jones, WordPress'in en sonunda hangi eklentilerin ve temaların hassas hizmetlere veya kimlik bilgilerine erişebileceğini kontrol eden daha ayrıntılı bir izin modeline ihtiyaç duyabileceğini öne sürdü.
Sild, veritabanı erişimini veya yönetici ayrıcalıklarını açığa çıkaran eklenti güvenlik açıklarının tüm siteyi etkili bir şekilde tehlikeye atması nedeniyle sorunun çözülmesinin büyük olasılıkla büyük bir mimari revizyon gerektireceğini söyledi.
WooCommerce geliştirici savunucusu Brian Coords, WordPress'in kendisini yeniden tasarlamadan API anahtarlarını izole etmenin pratik yollarının olup olmadığını keşfetmek için tartışmaya katıldı. Ancak aynı zamanda, kötü amaçlı kodların tehlikeye atılan siteden API çağrılarını doğrudan başlatabilmesi nedeniyle rastgele PHP uygulamasının sorunu çözmeyi zorlaştırdığını da kabul etti.
Şunları paylaştı:
“Bu, WordPress'teki sırlar için genel olarak geçerli. Tam bir mimari revizyon gerektirmeyen bir çözüm var mı?”
…Sadece düşününce, anahtarları ve bağlantıları teorik olarak ortamın dışında gizleyebilseniz bile, bir siteye PHP ekleme yeteneği bile yine de sitenin kendisinden arama yapmak için kötü amaçlı kod içerebileceğiniz anlamına gelir.”
WordPress'in Yapay Zeka Çağı Mimarisi
WordPress'in sorunu, eklenti güven modelinin, web sitelerinin para kazanılabilir AI kimlik bilgileri içermesinden, otomasyon sistemlerine bağlanmadan veya üçüncü taraf LLM hizmetlerine doğrudan erişim öngörmeden önce tasarlanmış olmasıdır.
Bu, WordPress 7.0'ın varsayılan olarak güvensiz olduğu anlamına gelmez. Mullenweg'in ısrar ettiği gibi, bakımı düzgün şekilde yapılan WordPress siteleri güvende kalabilir. Ancak bir siteyi sık sık güncel tutmak, WordPress sitesinin saldırıya uğramayacağını garanti etmez. Patchstack tarafından yakın zamanda yayınlanan bir raporda, bilgisayar korsanlarının, bir güvenlik açığının keşfedildiği an ile site sahibinin sitesini güncellemeye başladığı an arasındaki kısa fırsat penceresinden yararlanmak amacıyla web sitelerine saldırma hızlarını artırdıkları belirtildi.
AI API Anahtarları WordPress'i Daha Büyük Bir Hedef Haline Getiriyor
Buradaki çıkarımlardan biri, pek çok site sahibinin API anahtarlarının nasıl çalıştığından habersiz olması ve bunları kullanmanın ücretsiz olmamasıdır. Bir WordPress sitesinde yapay zekanın kullanılması potansiyel olarak yapay zeka kullanımında binlerce dolarlık hırsızlığa yol açabilir. Çalınacak hassas bilgileri olmayan bir site bile, bir sitedeki meta açıklamaları ölçeklendirmek veya web sitesinin kendisini oluşturmaya yardımcı olmak gibi görevleri gerçekleştirmek için bir AI anahtarı kullanıyorsa, artık değerli bir hedef haline geliyor.
Shutterstock/Yuriy2012'den Öne Çıkan Görsel
Bir yanıt yazın