
Исследователи из Intruder создали автоматизированную систему на базе ИИ, которая обнаружила zero-day уязвимость (CVE-2026-3985) в плагине Creative Mail для WordPress. Уязвимость позволяет проводить SQL-инъекции и получать доступ к паролям администраторов. Плагин установлен на 300 000+ сайтов, что делает находку критически важной для безопасности WordPress.
Кратко: ключевые факты
- Плагин Creative Mail содержит SQL-инъекцию (CVE-2026-3985), обнаруженную ИИ-сканером
- Уязвимость затрагивает 300 000+ сайтов на WordPress
- Для эксплуатации требуется установленный WooCommerce (7 млн активных инсталляций)
- ИИ-система автоматически создала рабочий эксплоит без участия человека
- Плагин временно удалён из репозитория WordPress до выпуска патча
Как ИИ нашёл сложную уязвимость
Технология program slices позволяет анализировать только релевантные фрагменты кода. Сканер Joern идентифицирует потенциально опасные участки, а ИИ-модели Sonnet и Opus оценивают их эксплуатацию.
4 этапа работы сканера
- Joern ищет «интересные» паттерны в коде
- Лёгкая модель Sonnet отсеивает ложные срабатывания
- Мощная модель Opus оценивает возможность эксплуатации
- Финальный агент автоматически генерирует эксплоит
Технические детали анализа кода
Система использует статический анализ с построением графа вызовов для отслеживания потоков данных. Особое внимание уделяется точкам ввода пользовательских данных (REST API, AJAX-запросы). Для каждого потенциально уязвимого участка строится контекстный срез, включающий:
- Исходную функцию обработки запроса
- Все зависимые функции по цепочке вызовов
- Проверенные сантайзеры входных данных
- Конечные точки выполнения SQL-запросов
Пример работы среза кода
При анализе Creative Mail система выявила цепочку из 5 функций, передающих неочищенные данные от AJAX-запроса до SQL-запроса. В обычных условиях такой путь сложно отследить без глубокого аудита. ИИ-агент смог автоматически восстановить полный путь эксплуатации за 12 секунд.
Почему традиционные сканеры пропустили уязвимость
Ошибка скрыта за цепочкой вызовов функций и требует установки WooCommerce. Обычные сканеры ищут простые паттерны и не анализируют сложные взаимодействия.
Ограничения старых подходов
Традиционные сканеры уязвимостей работают по следующим принципам, которые неэффективны в данном случае:
| Метод | Проблема |
|---|---|
| Паттерн-матчинг | Не обнаруживает многоэтапные атаки |
| Динамический анализ | Требует конкретных тестовых сценариев |
| Ручной аудит | Не масштабируется на большие кодовые базы |
| Поверхностная проверка | Игнорирует зависимости между плагинами |
Риски для владельцев WordPress
Уязвимость позволяет злоумышленникам получать хэши паролей администраторов. Особенно опасна комбинация Creative Mail + WooCommerce.
Что проверить немедленно
- Версию Creative Mail (безопасная — 1.5.4+)
- Наличие подозрительных SQL-запросов в логах
- Обновления для других популярных плагинов
- Необычные записи в таблицах wp_users и wp_usermeta
Дополнительные меры защиты
Помимо базовых проверок рекомендуется:
- Включить двухфакторную аутентификацию для всех учётных записей
- Настроить мониторинг необычной активности в базе данных
- Ограничить привилегии пользователей WooCommerce
- Регулярно создавать резервные копии сайта
- Использовать специализированные WAF-решения для WordPress
Будущее автоматизированного поиска уязвимостей
Технология Intruder демонстрирует, что ИИ может не только находить известные уязвимости, но и обнаруживать сложные zero-day. В ближайшие годы ожидается:
- Увеличение точности обнаружения на 30-40%
- Сокращение времени анализа больших кодовых баз
- Интеграция с системами CI/CD для превентивной защиты
- Автоматическая генерация патчей для некоторых классов уязвимостей
- Создание гибридных систем, комбинирующих статический и динамический анализ
Вопросы и ответы
Какой плагин WordPress уязвим?
Creative Mail для WordPress содержит SQL-инъекцию CVE-2026-3985. Плагин установлен на 300 000+ сайтов.
Можно ли взломать сайт через эту уязвимость?
Да, при наличии WooCommerce злоумышленник может получить доступ к базе данных с паролями.
Как защититься от автоматического поиска уязвимостей ИИ?
Регулярно обновляйте плагины, используйте WAF и мониторьте подозрительную активность.
Какие ещё плагины проверяли с помощью этого метода?
Сканер проанализировал топ-200 плагинов WordPress, другие уязвимости пока не раскрыты.
Могут ли хакеры использовать аналогичные ИИ-инструменты?
Да, злоумышленники уже применяют ИИ для автоматического поиска уязвимостей. Это делает своевременное обновление систем критически важным.
Как работает генерация эксплойтов в системе?
Финальный агент использует комбинацию статического анализа и динамического тестирования в изолированной среде Docker. Он автоматически подбирает параметры атаки и проверяет их работоспособность.
Какие языки программирования поддерживает сканер?
Текущая версия системы специализируется на PHP (особенно WordPress), но архитектура позволяет добавлять поддержку Python, Java и JavaScript.
Сколько времени занимает полный анализ плагина?
Среднее время анализа плагина среднего размера (50 000 строк кода) составляет около 15 минут на современном оборудовании.