上个月,我想做个AI导航站,搜集各种好用的AI工具链接,方便自己用也顺便分享给朋友。
找了一圈开源源码,好用的都要收费。自己平时用WordPress比较多,想着要不试试最近火的那个WorkBuddy——据说能让AI直接帮你生成网站主题代码。
直接跟WorkBuddy说给我建一个WordPress导航主题,参照XX风格。半天,网站就搭好了。简单调试几天,配上我收藏的AI工具链接,就正式上线了,感觉还挺像那么回事。心里美滋滋,想着这效率,传统开发得写一周吧?
上线之后,每天几十个IP,不温不火。我也没太管它,毕竟主业还忙。
顶部挂着一堆广告,Banner被人改了,配图是一个我没见过的链接。整站内容没丢,但页面被塞满了垃圾信息。
一
10分钟,恢复文件,清除垃圾内容,检查后台——看起来恢复正常了。
我想,可能是哪儿的漏洞吧,WordPress被扫到也不奇怪。改了个密码,升级了插件,没再多想。
二
第一反应是去找WorkBuddy——就是帮我生成主题的那个AI工具。
“主题代码里有几个地方可能存在安全风险,包括广告内容 XSS 风险,可以在广告字段里注入任意 JS 代码等。不过说实话,这些漏洞理论上不太可能成为直接入口——黑客更可能是通过服务器或WordPress核心漏洞进来的。”
说得有道理。
我去改了服务器密码,给WordPress打了所有安全补丁,把不用的插件全删了,防火墙规则也收紧了一遍。
三
这台服务器上,还有其他几个WordPress站,都是用商业主题搭的,平时正常维护。
问题很可能不在服务器,也不在WordPress本身。
我又去找WorkBuddy,这次明确说:把上次你找到的漏洞全修好,我重新上传试试。
这次WorkBuddy马上把上次找到的漏洞一条改好了,重新打包上传。
四
后来复盘,WorkBuddy帮我审计出来的几个漏洞确实存在。比如某个文件上传接口,没做后缀名校验;比如某个表单提交,直接拼SQL语句。这些低级错误,在传统开发流程里通常会被review掉,但AI写代码太快了,快到你没来得及想「这里安不安全」。
不是说AI不靠谱,而是AI的优先级是「跑通功能」,安全这事儿得人来兜底。
就像我用AI写了个网站,一天上线,确实快。代价是上线之后被黑了三次,差点把整台服务器搭进去。
五
这是我现在养成的习惯。WorkBuddy有审计功能,主流工具应该都有。别省这一步,别赶着上线省这点时间。
本文系【发现AI】原创内容,部分内容综合自网络,如有侵权,请联系编辑删除。
转载请注明来源:http://www.faxai.cn 发现AI
微信扫一扫 
