BuddyBoss被黑3天后才公開：5萬WordPress站主還

3月19日，一個法國黑客用Claude（Anthropic的AI助手）寫了段惡意代碼，塞進BuddyBoss的更新服務(wù)器。三天后，這個消息才傳到用戶耳朵里——而很多人已經(jīng)點了"立即更新"。

BuddyBoss不是無名小卒。這個WordPress插件+主題組合，專門做在線社區(qū)、會員站和網(wǎng)課平臺，客戶名單里有5萬個站點，其中2.7萬同時裝了它的平臺和主題。你可以把它理解為"想在WordPress上搭個像模像樣的私域流量池"時的首選工具之一。

攻擊鏈：AI寫碼→偷渡更新→坐等上鉤

據(jù)Cybernews披露，攻擊者先黑進了BuddyBoss的軟件分發(fā)系統(tǒng)。然后做了一件頗具諷刺意味的事：用Claude幫忙寫惡意代碼，并研究怎么把它推送到更新服務(wù)器。

Claude這類AI工具通常有嚴格的安全護欄，拒絕協(xié)助攻擊行為。但黑客用了個老把戲——把它包裝成"無害的CTF挑戰(zhàn)題"或技術(shù)測試場景，騙過了審查。

代碼寫好后，攻擊者沒有搞什么復(fù)雜的滲透，只是靜靜等待。用戶像往常一樣收到更新提示，點擊安裝，惡意程序就跟著正版更新包一起進了服務(wù)器。這種"供應(yīng)鏈投毒"的效率，比挨個站點暴力破解高出幾個數(shù)量級。

惡意軟件的功能清單相當全面：竊取管理員密碼和API密鑰、完整復(fù)制數(shù)據(jù)庫、留下后門供遠程控制。Cybernews特別提到，部分被盜數(shù)據(jù)包括Stripe支付密鑰——這意味著攻擊者可能直接摸到用戶的交易流水。

被感染的版本號：對號入座

如果你在用BuddyBoss，現(xiàn)在需要檢查的是這兩個版本號：

平臺（Platform）：2.7.70、2.7.71

主題（Theme）：2.7.71

這兩個版本被確認攜帶惡意代碼。BuddyBoss在3月22日發(fā)布了干凈版本（平臺2.7.72、主題2.7.72），但問題在于：很多WordPress站主沒有每天刷安全新聞的習慣，他們的更新提醒彈窗里，可能還躺著那個帶毒的版本。

更麻煩的是主題和平臺的組合關(guān)系。2.7萬用戶同時裝了兩者，意味著雙重暴露——平臺和主題各自被投毒，清理時漏掉任何一個，后門就還在。

自檢清單：5步排查

如果你或你的客戶正在用BuddyBoss，按這個順序處理：

第一步：版本確認

進WordPress后臺，分別檢查BuddyBoss Platform和BuddyBoss Theme的版本號。如果在上述毒版本列表里，立即進入下一步。

第二步：更新到最新版

手動觸發(fā)更新，確保拉到2.7.72或更高版本。不要依賴自動更新，供應(yīng)鏈攻擊期間，自動更新反而是風險通道。

第三步：改所有密碼

包括WordPress管理員賬戶、數(shù)據(jù)庫密碼、服務(wù)器SSH/FTP憑證。惡意軟件的設(shè)計目標就是抓這些，假設(shè)它們已經(jīng)泄露是最安全的做法。

第四步：輪換API密鑰

重點檢查Stripe、PayPal等支付接口的密鑰，以及任何存儲在站點配置里的第三方服務(wù)憑證。攻擊者已經(jīng)拿到部分Stripe密鑰，這個風險是實時的。

第五步：掃后門

用WordPress安全插件（如Wordfence、Sucuri）做完整掃描，或手動檢查核心文件修改時間。供應(yīng)鏈攻擊喜歡留持久化后門，清完毒版本不等于清完了所有隱患。

一個值得玩味的細節(jié)

這次攻擊暴露了一個尷尬現(xiàn)實：AI安全護欄的"防君子不防小人"屬性。Claude的開發(fā)者Anthropic花了大量精力訓(xùn)練模型拒絕有害請求，但"假裝這是CTF題目"這種經(jīng)典社工手法，依然能繞過限制。

這不是AI的鍋，但確實是AI時代的特色攻擊面——攻擊者不需要自己精通代碼，只需要精通怎么讓AI替自己寫。BuddyBoss的5萬客戶里，有多少站主能想到，自己中招的起點是一段AI生成的惡意腳本？

截至發(fā)稿，BuddyBoss官方尚未公開披露此次事件的詳細時間線和影響范圍評估。3月22日的版本更新日志里，這次安全修復(fù)被描述得相當?shù)驼{(diào)。