WordPressエコシステムでAIによる脆弱性発見が急増
- •セキュリティ研究者がAIを活用し、WordPressのゼロデイ脆弱性300件以上を72時間で特定した。
- •公開された脆弱性が大規模攻撃に悪用されるまでの時間は、加重中央値で約5時間にまで短縮された。
- •2026年9月までに、EU域内で展開するプラグイン開発者には脆弱性開示プログラムの導入が義務付けられる。
セキュリティ研究者が、WordPressプラグインのエコシステムにおいて300件以上の深刻なゼロデイ脆弱性を、72時間のスキャン期間内に発見した。この迅速な特定は、AI主導の静的解析と自動検証技術の組み合わせによって実現された。Patchstackの「2026 State of WordPress Security」レポートによると、この問題の主要な要因は「Vibe Coding」であり、開発者が適切な監査を行わずにLLMで生成されたコードをそのまま出荷している現状がある。ある開発代理店は、この手法で開発された単一のプラグインから100件の異なるセキュリティ問題を特定した。AIがプラグインの作成と脆弱性の発見を同時に加速させる中、攻撃者は大規模に欠陥を特定・悪用しており、公開から大規模攻撃までの加重中央値は現在約5時間となっている。開発者がパッチを適用する余裕はほとんどなく、プラグイン開発者の52%が脆弱性の公開までに修正を完了できず、公開時に46%の脆弱性が未修正であるという状況が事態を悪化させている。
多くの開発者は、AIが生成したコードは安全であると信じ込み、HTMLインジェクションや不適切な権限チェックといった致命的な欠陥を生んでいる。ある事例では、モデルの出力を本質的に安全とみなし、そのままページにレンダリングしたことで、単一のプラグインから35件のバグが発生した。緩和策として、すべてのモデル応答を信頼できない入力として扱う必要がある。開発者は、入力バリデーションや「wp_kses」などの関数を用いた出力の無害化、nonceバリデーションや権限検証といった厳格な権限チェックのハンドラーを手動で監査しなければならない。WordPress 7.0のAbilities APIは、プラグインがAIエージェントにアクションを公開する新しい手段をもたらすが、権限設定が適切でなければ攻撃対象領域を拡大させるリスクがある。
AIによる急速な脆弱性開示は、迅速なセキュリティパッチを維持するリソースを持たない個人プラグイン開発者にとって大きな障壁となる。2026年9月までには、欧州連合の規制により、EUユーザーに配布を行うプラグインやテーマの開発者は、正式な脆弱性開示プログラムの実装が義務付けられる。この要件は、研究者がバグが公になる前に報告できる非公開チャネルを提供することを目的としている。個人開発者に対しては、脆弱性が自動攻撃にさらされる前に報告・対応できるよう、シンプルなセキュリティ連絡先や専用の開示ファイルを維持することが推奨される。