AI News HubLIVE
站内改写2 分钟阅读

用4700行代码两天内阻止大规模WordPress垃圾攻击——感谢Codex和Claude

作者网站遭受垃圾注册攻击,利用Claude Cowork和OpenAI Codex在两天内编写4700行代码,识别漏洞、加强防御并清理15,000多个垃圾账户。

来源ZDNet AI

约一个月前,作者的主网站遭受了新的垃圾攻击。攻击者利用用户名字段传递虚假域名和加密货币诱饵,例如“检查余额”、“提取资金”、“BTC转账”和“需要操作”。WordPress将这些内容转发为“新用户注册”邮件,作者每天收到数千封。当时使用的商业安全产品未能有效防护,于是作者决定在自己开发的WordPress安全插件中加入反垃圾功能。最初,作者将Gmail中数百封垃圾邮件的截图喂给Codex,要求它编写快速缓解措施。Codex完成后,作者部署了增强版插件,问题在一小时内得到解决。那是在六月初。然而,上周攻击卷土重来,且更加凶猛。作者的托管提供商告知数据库已膨胀至超过39,000个用户账户和700,000个用户元记录,用户账户仪表板无法加载。提供商要求立即清理数据库并阻止攻击。

作者决定混用两款AI工具:使用Claude Cowork进行诊断和分析,使用Codex编写代码。由于作者使用的是ChatGPT Plus(每月20美元)而非Pro,不想让Codex超限,而Claude有更大的使用窗口,因此分工明确。Claude Cowork首先要求管理员登录,但作者解释垃圾邮件发送者无需管理员权限即可利用漏洞,Claude理解了并开始对网站进行探查。大约40分钟后,Claude发现了八个漏洞,最显著的是用户注册页面虽然有验证码,但垃圾邮件发送者可通过提交URL绕过验证码直接触发注册。此外,垃圾邮件发送者还将URL植入到个人简介字段(而非URL字段)中。Claude还分析了数据库,发现了多个识别垃圾账户的信号。随后,作者要求Claude为Codex编写提示,以修复这些漏洞。Claude的第一版提示可能导致破坏性代码,经作者检查和纠正后,获得了安全的提示。

Codex在ChatGPT Plus订阅下构建了三大系统。首先,增强了垃圾检测信号。其次,在所有开放注册路径上添加了验证码,包括标准WordPress注册表单以及REST API、XML-RPC、admin-ajax和自定义注册表单等入口。最后,利用Codex添加了一个多阶段垃圾账户清理工具,该工具使用所有垃圾账户信号分析功能来确定用户账户是否为垃圾账户,并新增了可恢复的浏览器驱动批量分析和删除界面。整个周末作者都在紧张编码,因为每拖延一小时就会有更多垃圾账户产生。周六,作者两次被Codex限制使用,但通过“重置使用量”功能每次获得了约45分钟的额外编码时间。周日主要在测试,将数据库副本移至本地机器运行清理工具,每次测试约需两小时。作者使用了第三次重置进行最终编码修改。到周日下午晚些时候,新模块部署到服务器。清理后,删除了39,314个用户账户中的15,069个,以及723,799个用户元记录中的275,567个,用户账户仪表板恢复正常。

作者对这次经历进行了反思:Claude Cowork的宽使用窗口适合前期分析,而Codex擅长代码生成,但需要仔细审核输出。这次经验展示了低价位AI订阅在紧急开发中的潜力,也强调了人工监督的重要性。OpenAI于6月11日推出了重置功能,符合条件的Plus和Pro用户获得了一次免费重置。作者提醒,务必双重检查AI生成的所有内容,特别是供其他AI使用的提示。