WordPress 7.0 enfrenta preocupações de segurança em relação às chaves de API de IA
Oliver Sild, fundador da empresa de segurança Patchstack WordPress, compartilhou preocupações sobre a segurança das chaves de API de IA no WordPress 7.0, compartilhando que “haverá uma corrida absoluta por parte dos hackers para roubar chaves de API”. Para sublinhar este ponto, foi descoberto um bug de segurança real no WordPress 7.0 que expõe chaves de API.
As chaves da API AI são valiosas
Chaves de API de IA são senhas (chaves) seguras que permitem que um plugin ou tema WordPress interaja com uma IA como Claude, OpenAI ou Gemini. Uma chave de API permite que uma empresa de IA cobre os usuários pelo uso de seus sistemas, o que é separado e adicional ao modelo de rodízio de seus planos mensais.
As chaves de API de IA são ativos altamente valiosos que podem valer dezenas de milhares de dólares. Os hackers roubam chaves de API de IA para alimentar redes de bots de IA que envolvem vítimas em potencial nas redes sociais e em aplicativos de namoro, realizando milhares de conversas com seus alvos. Eles também usam chaves de API de IA roubadas para conduzir campanhas de phishing em escala, escrever malware e também podem ser usadas para acessar dados confidenciais conectados à implementação de IA em um site WordPress.
O fundador do Patchstack, Oliver Sild, alertou que as vulnerabilidades do WordPress podem se tornar muito mais valiosas para os invasores, agora que os sites estão cada vez mais conectados a grandes modelos de linguagem e APIs de IA pagas.
Sild postou no X:
“WordPress 7.0 combinado com vulnerabilidades de plugins = tokens de IA gratuitos. Haverá uma corrida absoluta por parte dos hackers para roubar chaves de API.”
O cofundador do WordPress, Matt Mullenweg, rejeitou a ideia de que os sites WordPress são amplamente inseguros, insistindo que a “grande maioria” dos sites WordPress são seguros e dizendo que ele administra alguns sites WordPress há mais de 20 anos que nunca foram hackeados.
Isso pode ser verdade, mas os servidores WordPress.com da Automattic sofreram um incidente de segurança em 2011 que expôs informações confidenciais.
Superfícies de bugs de segurança relacionados à IA do WordPress 7.0
Um bug de segurança do WordPress 7.0 recentemente relatado envolvendo exposição de chave de API de IA mostra que o potencial para problemas de segurança é real. Esse problema de segurança específico surgiu no formulário de configuração de integração de IA, que permite que um navegador preencha automaticamente a chave de API de IA, expondo-a visualmente na janela do navegador. O relatório explica que o problema pode expor credenciais durante o compartilhamento de tela, em computadores compartilhados ou para qualquer pessoa com acesso a uma sessão ativa do navegador.
O relatório oficial do WordPress GitHub explica qual é o problema de segurança:
“Ao inserir uma chave de API no formulário de configuração de integração (provedor Antrópico), o valor da chave de API aparece no menu suspenso de sugestões de preenchimento automático/preenchimento automático do navegador em texto simples. Isso pode expor credenciais confidenciais a qualquer pessoa com acesso à sessão ou tela do navegador.
O campo da chave da API deve se comportar como um campo de senha segura e não deve exibir valores inseridos anteriormente como sugestões.”
Uma nova era de ataques WordPress
Oliver Sild também levantou preocupações no grupo Dynamic WordPress do Facebook sobre como as integrações de IA podem mudar a economia da exploração de sites WordPress.
Sild argumentou que as vulnerabilidades de software já são a principal causa de violações de segurança e alertou que os sites WordPress conectados à IA são agora alvos significativamente mais atraentes porque podem conter acesso a serviços valiosos de IA e credenciais de API.
Ele também previu que mais agentes de ameaças começariam a visar sites WordPress especificamente para credenciais e serviços relacionados à IA.
Outros desenvolvedores juntaram-se à discussão e expandiram-na além das vulnerabilidades individuais para preocupações mais amplas de arquitetura de software sobre como o WordPress lida com segredos, permissões de plugins e acesso a bancos de dados.
Andrei Lupu alertou que, uma vez que os invasores obtenham acesso ao banco de dados, proteger os segredos se torna extremamente difícil:
“A realidade é que, uma vez que eles tenham acesso ao banco de dados, você estará condenado. Precisamos trabalhar nas melhores práticas para evitar isso.”
Steve Jones, da Equalize Digital, sugeriu que o WordPress pode eventualmente precisar de um modelo de permissões mais granular, controlando quais plug-ins e temas podem acessar serviços ou credenciais confidenciais.
Sild respondeu que resolver o problema provavelmente exigiria uma grande revisão arquitetônica porque vulnerabilidades de plugins que expõem o acesso ao banco de dados ou privilégios de administrador comprometem efetivamente todo o site.
Brian Coords, um desenvolvedor defensor do WooCommerce, juntou-se à discussão para explorar se existem maneiras práticas de isolar chaves de API sem redesenhar o próprio WordPress. Mas ele também reconheceu que a execução arbitrária do PHP torna o problema difícil de resolver porque o código malicioso ainda pode invocar chamadas de API diretamente do site comprometido.
Ele compartilhou:
“Isso se aplica a segredos em geral no WordPress. Existe uma solução que não requer uma revisão arquitetônica completa?
…Só pensando nisso, mesmo que você pudesse teoricamente ocultar as chaves e as conexões fora do ambiente, mesmo a capacidade de adicionar PHP a um site significa que você ainda pode incluir código malicioso para fazer as chamadas do próprio site.
Arquitetura da Era AI do WordPress
O problema do WordPress é que seu modelo de confiança de plug-ins foi projetado antes que os sites contivessem credenciais de IA monetizáveis, conectados a sistemas de automação ou previssem acesso direto a serviços LLM de terceiros.
Isso não significa que o WordPress 7.0 seja inseguro por padrão. Como insistiu Mullenweg, sites WordPress mantidos adequadamente podem permanecer seguros. Mas manter um site atualizado com frequência não garante que um site WordPress escapará de ser hackeado. Um relatório recente do Patchstack disse que os hackers estão aumentando a velocidade com que atacam sites, a fim de explorar a breve janela de oportunidade entre o momento em que uma vulnerabilidade é descoberta e o momento em que o proprietário do site atualiza seu site.
Chaves de API AI tornam o WordPress um alvo maior
Uma das conclusões aqui é que muitos proprietários de sites não sabem como funcionam as chaves de API e que usá-las não é gratuito. Usar IA em um site WordPress pode levar ao roubo de milhares de dólares em uso de IA. Mesmo um site que não possui informações confidenciais para roubar agora se torna um alvo valioso se estiver usando uma chave de IA para realizar tarefas como dimensionar meta descrições em um site ou para ajudar na construção do próprio site.
Imagem em destaque por Shutterstock/Yuriy2012
