300 zero-day WordPress in 72 ore per 20 dollari: la soglia economica del bug

300 zero-day WordPress in 72 ore per 20 dollari: la soglia economica del bug

Una pipeline AI costruita in tre giorni ha scoperto oltre 300 vulnerabilità zero-day critiche nell'ecosistema WordPress in 72 ore di scanning, con un costo medio stimato di circa 20 dollari per bug. Il sistema, presentato a Ekoparty Miami il 22 maggio 2026 dai ricercatori di TrendAI e CHT Security, dimostra che la soglia economica per la scoperta automatizzata di vulnerabilità critiche è già stata raggiunta. Per gli operatori di sicurezza e le piattaforme di disclosure, il problema non è più futuro: è un sovraccarico strutturale in corso.

AgentForge: come funziona la pipeline che ha battuto il mercato dei bug hunter

Il cuore del sistema si chiama AgentForge. La pipeline abbinava tre componenti: analisi statica guidata da modelli linguistici AI, provisioning automatico di ambienti Docker per il test, e verifica dinamica tramite Chrome DevTools MCP. Quest'ultimo elemento è cruciale: invece di limitarsi a leggere il codice, l'agente eseguiva il plugin in un browser controllato programmaticamente, validando se il flaw teorico si traducesse in exploit pratico.

La dashboard di AgentForge ha loggato circa 222 milioni di token consumati attraverso 95 task durante la campagna. Steven Yu, threat research engineer presso TrendAI, ha tradotto questo dato computazionale in una media di circa 20 dollari per vulnerabilità scoperta. Ha subito qualificato il risultato: il costo dipende pesantemente dalla qualità del codebase analizzato, e in altri framework i risultati potrebbero differire sostanzialmente.

Ogni finding è stato comunque sottoposto a verifica manuale prima della disclosure responsabile. I ricercatori non hanno rilasciato l'elenco dei plugin vulnerabili né i dettagli dei singoli zero-day, rispettando le tempistiche di patch coordinate.

Quando l'agente inventa l'attacco: la downgrade chain autonoma

Il caso più significativo non è una vulnerabilità isolata, ma una capacità emergente. L'agente AI ha individuato una funzionalità che permetteva il rollback di un plugin a una versione precedente. Ha poi riconosciuto autonomamente che quella versione conteneva vulnerabilità sfruttabili, e ha concatenato le due fasi in un attacco funzionante.

Steven Yu ha confermato che non c'erano stati prompt manuali né pattern pre-insegnati per questa specifica catena. L'agente ha costruito l'attacco combinando due informazioni indipendenti: la presenza di un meccanismo di downgrade e l'esistenza di flaw noti nella versione precedente. La stessa classe di vulnerabilità è stata poi identificata attraverso pattern hunting in codebase OpenCart e Joomla, suggerendo che il problema travalichi il singolo ecosistema.

Il caso è significativo perché supera il modello di AI che replica pattern umani noti. Qui l'agente ha ricombinato capacità esistenti per generare una tecnica di attacco originale, concretizzando il rischio di tool che non accelerano solo la scoperta, ma l'invenzione offensiva.

Il filtro che non basta: 80% di falsi positivi e un collo di bottiglia umano

La pipeline non ha prodotto 300 exploit pronti. La richiesta di dynamic verification prima della disclosure ha eliminato più dell'80% dei falsi positivi generati dall'analisi statica. Ma il filtraggio ha poi incontrato un limite strutturale: la verifica manuale di ciascuna vulnerabilità WordPress ha richiesto tra 30 e 60 minuti, diventando il collo di bottiglia principale del processo.

Questa asimmetria è il punto. L'AI scala la generazione di candidate vulnerabilities in modo che nessun team umano possa più tenere il passo. Se il costo di produzione crolla a circa 20 dollari per candidate valida, il costo di validazione resta fisso in tempo umano. Il risultato è una coda che cresce esponenzialmente, e un sistema di disclosure che già ora arranca.

"Both white-hat and black-hat actors are already implementing these types of actions at scale" — Steven Yu, threat research engineer at TrendAI

ZDI e NIST in sovraccarico: il disclosure system non regge la nuova offerta di bug

Steven Yu ha messo in evidenza una conseguenza sistemica: "Organizations such as ZDI and NIST are currently struggling with massive backlogs due to the explosion of AI-assisted vulnerability reports". Non si tratta di una proiezione futura. Il flusso di segnalazioni generate o assistite da AI ha già superato la capacità di triage delle principali piattaforme di coordinamento.

Il problema è duplice. In primo luogo, il volume: se ogni team con una carta di credito può generare centinaia di report validi, il criterio di prioritizzazione basato sulla scarsità dell'informazione perde senso. In secondo luogo, la qualità del segnale: tra i report AI-validati e i falsi positivi residui, il lavoro di triage richiede competenze crescenti per distinguere ciò che è veramente nuovo da ciò che è già noto o non sfruttabile.

Yu ha sintetizzato la situazione con una frase programmatica: "The ultimate solution is to fight AI magic with AI magic". Ma la soluzione implica una corsa agli armamenti nella quale gli attaccanti hanno vantaggi strutturali: non devono validare, non devono coordinare disclosure, non devono attendere patch.

Cosa fare adesso

Per chi gestisce siti WordPress, sviluppa plugin o opera security operations, la ricerca impone quattro priorità immediate:

• Isolare i meccanismi di rollback. Verificare che i plugin con funzionalità di downgrade richiedano autenticazione amministrativa e logging dettagliato, trattando il downgrade stesso come superficie di attacco, non come feature di convenienza.
• Ridurre la finestra di esposizione per i plugin meno frequentati. I bug sono stati trovati anche in plugin con oltre 1.000 stelle su GitHub; quelli con basi utente minori e manutenzione sporadica sono ancora più a rischio. Valutare la disattivazione di plugin non essenziali senza aggiornamenti recenti.
• Ricalibrare il triage interno sui report esterni. Con l'arrivo massivo di segnalazioni AI-assistite, i team devono implementare filtri di prioritizzazione basati su exploitabilità dimostrata, non sulla sola severità CVSS, per evitare la paralisi da sovraccarico informativo.
• Prepararsi alla verifica dinamica come standard. Se gli attaccanti usano già strumenti di verifica dinamica automatizzata, le difese devono includere test runtime equivalenti nel ciclo CI/CD, non solo scansioni statiche pre-deploy.

Il prezzo di una cena per una vulnerabilità critica: fine di un paradigma

La cifra di circa 20 dollari per zero-day non è un numero di contabilità. È un segnale di regime. Quando il costo di scoperta di una vulnerabilità critica scende al prezzo di una cena, il modello economico che sosteneva il responsible disclosure — basato su ricompense, reputazione, scarsità di competenze — perde coerenza interna.

La ricerca di TrendAI e CHT Security non dimostra che qualsiasi sito WordPress sia compromissibile per 20 dollari, come ha precisato lo stesso Yu: "This doesn't mean you can easily find a vulnerability in any WordPress site for just $20". Ma dimostra che la barriera all'ingresso per la scoperta sistematica di zero-day critici è caduta sotto la soglia di accessibilità per threat actor organizzati e non.

Il risultato più disturbante non è tecnico, ma sistemico. L'AI non ha solo reso più veloce ciò che gli umani facevano lentamente. Ha creato una produzione di vulnerabilities che supera la capacità di assorbimento del sistema di difesa. E nessuna patch può risolvere un problema di throughput.

Fonti

• https://www.helpnetsecurity.com/2026/05/22/ai-wordpress-plugin-vulnerabilities/

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti