최근 보안 연구원들이 AI 기반 정적 분석과 자동 검증 기술을 결합하여 WordPress 플러그인 생태계에서 300개 이상의 치명적인 제로데이 취약점을 72시간 만에 찾아냈다. Patchstack의 '2026 State of WordPress Security' 보고서에 따르면, 이러한 현상의 주요 원인은 검증되지 않은 LLM 생성 코드를 그대로 배포하는 'Vibe Coding'인 것으로 나타났다. 실제로 특정 개발 에이전시는 이러한 방식으로 제작된 단일 플러그인에서 100개의 보안 문제를 발견하기도 했다. 현재 공격자들은 취약점 공개 후 평균 5시간 이내에 대규모 공격을 감행하고 있으며, 전체 플러그인 개발자의 52%가 취약점 공개 전 패치를 배포하지 못하고 있다.

많은 개발자가 AI가 생성한 코드를 안전하다고 오인하여 HTML 주입이나 부적절한 권한 검사 등의 취약점을 방치하고 있다. 사례로 한 개발자는 AI 모델의 출력을 직접 웹페이지에 렌더링하다 단일 플러그인에서 35개의 버그를 일으켰다. 따라서 모든 모델 응답을 신뢰할 수 없는 입력값으로 간주하고, 'wp_kses'와 같은 출력 중화 함수나 nonce 검증 등 엄격한 보안 처리를 수동으로 감사해야 한다. 특히 WordPress 7.0의 Abilities API 도입으로 AI 에이전트의 접근성이 확대됨에 따라 권한 설정의 중요성이 더욱 커지고 있다.

취약점 발견 속도가 빨라지면서 자원이 부족한 개인 개발자들의 부담이 가중되고 있다. 이에 따라 2026년 9월부터는 유럽 연합(EU) 내 배포를 위해 플러그인 및 테마 개발자들은 공식 취약점 공개 프로그램을 반드시 구현해야 한다. 이는 연구원들이 취약점을 공개하기 전 비공개 채널을 통해 보고할 수 있도록 유도하기 위함이다. 전문가들은 개인 개발자들도 보안 연락처나 별도의 보고 문서를 마련하여 자동화된 공격에 대비할 것을 권고한다.

최근 보안 연구원들이 AI 기반 정적 분석과 자동 검증 기술을 결합하여 WordPress 플러그인 생태계에서 300개 이상의 치명적인 제로데이 취약점을 72시간 만에 찾아냈다. Patchstack의 '2026 State of WordPress Security' 보고서에 따르면, 이러한 현상의 주요 원인은 검증되지 않은 LLM 생성 코드를 그대로 배포하는 'Vibe Coding'인 것으로 나타났다. 실제로 특정 개발 에이전시는 이러한 방식으로 제작된 단일 플러그인에서 100개의 보안 문제를 발견하기도 했다. 현재 공격자들은 취약점 공개 후 평균 5시간 이내에 대규모 공격을 감행하고 있으며, 전체 플러그인 개발자의 52%가 취약점 공개 전 패치를 배포하지 못하고 있다.

많은 개발자가 AI가 생성한 코드를 안전하다고 오인하여 HTML 주입이나 부적절한 권한 검사 등의 취약점을 방치하고 있다. 사례로 한 개발자는 AI 모델의 출력을 직접 웹페이지에 렌더링하다 단일 플러그인에서 35개의 버그를 일으켰다. 따라서 모든 모델 응답을 신뢰할 수 없는 입력값으로 간주하고, 'wp_kses'와 같은 출력 중화 함수나 nonce 검증 등 엄격한 보안 처리를 수동으로 감사해야 한다. 특히 WordPress 7.0의 Abilities API 도입으로 AI 에이전트의 접근성이 확대됨에 따라 권한 설정의 중요성이 더욱 커지고 있다.

취약점 발견 속도가 빨라지면서 자원이 부족한 개인 개발자들의 부담이 가중되고 있다. 이에 따라 2026년 9월부터는 유럽 연합(EU) 내 배포를 위해 플러그인 및 테마 개발자들은 공식 취약점 공개 프로그램을 반드시 구현해야 한다. 이는 연구원들이 취약점을 공개하기 전 비공개 채널을 통해 보고할 수 있도록 유도하기 위함이다. 전문가들은 개인 개발자들도 보안 연락처나 별도의 보고 문서를 마련하여 자동화된 공격에 대비할 것을 권고한다.