脆弱性研究者たちは過去1年間、AIエージェントが実際のバグを大規模に発見できるのか、それとも主にノイズを生成するのかについて議論してきました。TrendAIとCHT Securityの研究者が3日間で構築したパイプラインは、その答えと共に、セキュリティ業界が対処する必要がある価格タグを提供しています。
Ekoparty Miamiで発表されたこのシステムは、AI駆動の静的分析と自動化されたDockerプロビジョニング、およびChrome DevTools MCPを通じた動的検証を組み合わせています。72時間のスキャン中に、WordPressプラグインエコシステム全体で300以上の重大なゼロデイ脆弱性が発見されました。すべての発見は研究者によって手動で検証され、発表前に責任を持って開示されました。
経済性
AgentForgeオーケストレーションダッシュボードは、キャンペーン中に95のタスク全体で約2億2200万トークンが消費されたことを記録しました。TrendAIの脅威研究エンジニアであるSteven Yuは、それを発見された脆弱性あたり約20ドルの平均に換算しました。
彼はその数字を慎重に説明しました。「これは、たった20ドルでWordPressサイトの脆弱性を簡単に見つけることができるという意味ではありません」と、Yuは Help Net Securityに語りました。「これはコードベースのセキュリティに大きく依存しています。WordPressエコシステムは非常に広大で複雑であり、コード品質が大きく異なります。他のフレームワークやエコシステムでは、このコスト閾値で同じ結果が得られるとは限りません。」
この説明が重要な理由は、WordPressプラグインが外れ値だからです。エコシステムは100万を超えるプラグインで構成されており、その多くは個人のボランティアによって保守されており、セキュリティ予算がなく、コード品質がそれを反映しています。強化されたエンタープライズコードベースは同じレートまたは同じコストでバグを譲歩することはありません。
Yuの説明によると、確立されているのは、調べようとする人にとって価格の下限はすでに超えられているということです。「クレジットカードを持つやる気のある攻撃者なら誰でもこれを実行できる状態になっています」と彼は言いました。「ホワイトハットとブラックハットの両方のアクターが、すでにこれらの種類のアクションを大規模に実装しています。」
パイプラインが表面化させた脆弱性クラス
300以上の発見には、認証前のリモートコード実行、脆弱なクエリを安全としてマークするPHPCS注釈に隠されたSQLインジェクション、WordPressフックシステムを通じた権限昇格、サーバーサイドリクエストフォージェリ、およびダウングレード攻撃チェーンが含まれています。1000を超えるGitHubスターを持つプラグインで、認証前のRCEが1つ特定されました。
ダウングレードチェーンはAIによって人間の指導なしに組み立てられました。エージェントはターゲットプラグインを以前のバージョンにロールバックできる脆弱性を特定し、以前のバージョンが独自の悪用可能な欠陥を持っていることを認識し、2つを機能する攻撃にチェーンしました。Yuは、手動プロンプトまたは事前に教えられたパターンが関与していないことを確認しました。同じ脆弱性クラスは、OpenCartおよびJoomlaコードベース全体でのパターン検索を通じて特定されました。
開示インフラストラクチャの逼迫
パイプラインはセキュリティ業界が「AIスロップ」と呼んでいるもの、すなわち多くの主要なオープンソースプロジェクトにAI提出を完全に拒否させた、低品質でAI生成の脆弱性報告の波に対処しています。開示キューに到達する前に、AI生成のすべての発見が動的検証に合格することを要求することで、システムは80%以上の偽陽性を排除しました。
下流への圧力は残っています。Yuは、各WordPressプラグインの脆弱性の手動検証に、彼のチームは30〜60分を要したと述べました。彼は、人間のレビュー層が主なボトルネックであると説明しました。
「ZDIやNISTなどの組織は、AI支援の脆弱性報告の急増により、現在大量のバックログに苦しんでいます」とYuは述べました。「AIが発見を1日あたり数件から1秒あたり数百件までスケーリングできるようになると、従来の人間中心の分類モデルは持続不可能になります。」
今後6ヶ月間の彼の予想は、開示される脆弱性の量の増加と、同様のパイプラインを実行する攻撃者によるゼロデイ悪用の並行上昇です。彼は、開示プログラムが提出をどのように受け入れるかについて構造的なシフトを予想しており、複数のベンダーは実績のある研究者を優先し、AI生成されたノイズを提出するアカウントを禁止する招待制またはメンバーシップベースのモデルに向かっています。
Yuが指摘した長期的な答えは、より多くの自動化であり、受信端で適用されます。「究極のソリューションはAIの魔法でAIの魔法と戦うことです」と彼は言いました。環境設定と検証を自動化するAI支援の分類により、人間の専門家は最も複雑なケースに集中することができます。
AIがまだ停止する場所
Yuは上限について率直でした。Elementorのようなドラッグアンドドロップビルダーは「コンピュータユース」カテゴリーに位置しており、数ヶ月以内に次の波のエージェントツーリングに屈する可能性があります。他の故障モードはより難しいです。機能するペイメントAPIキー、有効なユーザーアカウント、またはSMS検証コードが必要な悪用はエージェントを停止させます。なぜなら、ギャップはモデルではなく環境にあるからです。一部の呼び出しでは、最初に機能が意図的か悪意があるかを判定するために人間が必要であり、この判定はより多くの訓練データでは解決されません。
翻訳元: https://www.helpnetsecurity.com/2026/05/22/ai-wordpress-plugin-vulnerabilities/
