TopsTip在WordPress 7.0中,AI API密钥的安全问题引起了越来越多的关注。Patchstack WordPress安全公司的创始人Oliver Sild指出,黑客可能会蜂拥而至,试图窃取这些高价值的API密钥。最近,WordPress 7.0被发现存在一个安全漏洞,可能会导致API密钥的泄露。
AI API密钥的价值
AI API密钥是WordPress插件或主题与AI进行交互的安全密码。这些密钥不仅用于计费,还可能价值数万美元。黑客窃取这些密钥后,可以通过社交媒体和约会应用上的AI机器人网络来与潜在受害者进行数千次对话。此外,这些密钥还被用于大规模的网络钓鱼活动、编写恶意软件,甚至访问与AI实现相关的敏感数据。
WordPress 7.0的AI相关安全漏洞
最近报告的WordPress 7.0安全漏洞显示,AI API密钥在集成设置表单中可能被浏览器自动填充并显示在窗口中,这可能会在屏幕共享或共享计算机时暴露凭据。WordPress官方GitHub报告对此进行了详细说明,指出API密钥字段应像安全密码字段一样,不应显示之前输入的值作为建议。
WordPress攻击的新纪元
Oliver Sild警告称,随着网站与大型语言模型和付费AI API的连接日益紧密,WordPress的漏洞对攻击者来说可能变得更加有价值。他预测,更多的威胁参与者将开始专门针对WordPress网站,寻找与AI相关的凭证和服务。
AI API密钥让WordPress成为更大的目标
在Dynamic WordPress Facebook群组中,Sild对AI集成可能如何改变WordPress网站被利用的经济性提出了担忧。他指出,软件漏洞已经是安全漏洞的主要原因,而AI连接的WordPress网站现在成为更具吸引力的目标,因为它们可能包含对有价值的AI服务和API凭证的访问。
其他开发者也参与了讨论,将问题扩展到WordPress如何处理秘密、插件权限和数据库访问的更广泛的软件架构问题。
尽管WordPress联合创始人Matt Mullenweg表示,大多数WordPress网站都是安全的,但2011年Automattic的WordPress.com服务器曾发生安全事件,暴露了敏感信息。这显示了安全问题的潜在性和现实性。
