Grupa cyberkryminalna podyktowała modelowi językowemu zero-day. Pewnie nikt by jej nie zauważył, gdyby AI nie zostawiło typowych śladów: dokumentacji jak z podręcznika i halucynacji CVSS. Sprawę ujawniło Google Threat Intelligence Group w analizie z 11 maja 2026. To pierwsza publicznie opisana sprawa AI zero-daya, w której wiarygodne źródło defensywne ocenia z dużą pewnością, że za znalezieniem luki stał model. Warto się mu przyjrzeć, zanim w polskim Internecie ruszy fala paniki. W tym samym tygodniu Mozilla chwaliła się 271 lukami znalezionymi przez Claude Mythos w Firefoksie. Atakujący pokazali drugą stronę medalu. Dla polskich zespołów IT to konkretny sygnał. Obrona musi przyspieszyć, bo przestępcy właśnie dostali bardzo cierpliwego juniora, który nigdy nie idzie spać.
Co dokładnie odkryło Google Threat Intelligence Group
GTIG opisało konkretny atak, który udało się przerwać przed masowym wykorzystaniem luki. Innymi słowy, zanim grupa zdążyła seryjnie z niej skorzystać. Cel? “Popularne otwartoźródłowe narzędzie do administracji przez przeglądarkę”. Google nie podało nazwy produktu, ponieważ trwa odpowiedzialne ujawnienie wraz z wydawcą. Luka to zero-day pozwalający obejść uwierzytelnianie dwuskładnikowe. Nadal wymaga jednak prawidłowych danych logowania użytkownika. W praktyce osoba, która zna login i hasło, mogła ominąć drugi czynnik. W efekcie dostała się prosto do panelu administracyjnego.
Atak nie był więc magicznym pominięciem hasła. To było natomiast obejście dodatkowej zapory. To ważna różnica, ponieważ wpisuje się w klasyczny scenariusz. Przestępcy mają hasła z wcześniejszych wycieków albo wyłudzeń. Brakuje im jednego elementu, żeby skutecznie się zalogować. Dotąd ten element zatrzymywał większość włamań. Dlatego luka 2FA to jeden z najcenniejszych zasobów na czarnym rynku. Co więcej, przyczyną nie była klasyczna pomyłka pamięciowa ani brak sanityzacji wejścia. Google mówi wprost: chodziło o wysokopoziomowy błąd semantyczny. Innymi słowy, kod zakładał, że pewien warunek zawsze jest spełniony, dlatego nie sprawdzał go dwa razy. To tak, jakby strażnik wpuszczał kogoś przez bramę zewnętrzną tylko dlatego, że widział, jak ten ktoś chwilę wcześniej zamknął bramę wewnętrzną.
Hakerzy nie potrzebowali łamać szyfru. Wystarczyło, że model językowy znalazł miejsce, gdzie programista zaufał własnemu kodowi o jedno założenie za dużo.
Skąd Google wie, że to AI, skoro modelu nie ujawniło
Pierwsza odpowiedź jest prosta. Skrypt eksploita wygląda dokładnie tak, jak kod pisany przez duży model. Co więcej, defensywna społeczność zna ten odcisk palca od miesięcy. GTIG wymieniło konkretne sygnały, które przekonały analityków. Pierwszy z nich to “obfitość edukacyjnych docstringów”. Chodzi o komentarze pisane jak w podręczniku, w stylu “ta funkcja przyjmuje X i zwraca Y, jest używana do Z”. Żaden zawodowy autor narzędzia ofensywnego tego nie pisze. To po prostu informacja dla obrony. Drugi sygnał to “halucynowany score CVSS”. Skrypt miał wpisaną ocenę krytyczności luki, jednak liczba nie odpowiadała żadnemu prawdziwemu rejestrowi. Model po prostu ją wymyślił.
Do tego dochodzi “uporządkowany, podręcznikowy format Pythonic”. Atakujący zostawili w skrypcie dopracowane menu pomocy i czystą klasę _C do kolorowania terminala. W efekcie kod wygląda jak rozdział z książki o Pythonie, a nie jak praktyczne narzędzie kogoś, kto codziennie atakuje serwery. GTIG zaznacza przy tym, że nie uważa, by użyto Gemini. Cytat: “Nie sądzimy, by użyto Gemini, ale na podstawie struktury i treści tych eksploitów mamy wysokie zaufanie, że atakujący wykorzystał model AI do odkrycia i uzbrojenia tej luki”. Dystans jest tu zrozumiały, ponieważ Google nie chce wyglądać na firmę, której własne narzędzie pomogło zbudować eksploita. Co więcej, komentatorzy na Hacker News zauważyli, że ten dystans pasuje też do dyskusji o modelach konkurencji. Anthropic w ostatnich tygodniach mocno promował Claude Mythos jako narzędzie do wzmacniania zabezpieczeń kodu. Dlatego każda firma chce być po właściwej stronie tej historii.
Halucynacja modelu okazała się sygnałem, który zdradził atakujących. To nie tylko ironia – to ślad, który w tym przypadku pomógł analitykom GTIG zbudować ocenę z wysoką pewnością.
Druga strona Claude Mythos – obrona i atak rosną razem
Bezpośrednio przed publikacją GTIG mieliśmy dwa głośne case’y obrony. Mozilla pokazała na przykład, że Claude Mythos w dwa miesiące znalazł 271 luk w Firefoksie 150. Wiele z nich było jednak duplikatami albo niskiej wagi. Daniel Stenberg z projektu curl zgłosił natomiast bardziej sceptyczne wnioski. Na pięć zgłoszeń tylko jedno okazało się prawdziwą luką. Trzy to były halucynacje, a jedno zwykły bug. W obu przypadkach narrację napędzało jedno zdanie: “AI znajduje luki szybciej niż człowiek”. GTIG dokłada do tego obrazu drugą półkulę, ponieważ ten sam mechanizm działa też w drugą stronę.
Z punktu widzenia analityka bezpieczeństwa to nie jest zaskakujące. Każde narzędzie ofensywne prędzej czy później trafia też do atakujących. Czasem w wersji ograniczonej, czasem przez open source, a czasem przez wyciek. New York Times w materiale o tej sprawie powołał się na Anthropic. Według firmy Mythos jest “tak dobry w znajdowaniu luk, że udostępniono go tylko wybranym firmom i agencjom w USA i Wielkiej Brytanii”. Społeczność HN przyjęła to natomiast z dystansem. Komentatorzy słusznie zauważają, że brzmi to jak materiał marketingowy. Mimo to logika rynkowa jest prosta. Bramka kontrolowanego dostępu opóźni bowiem rozlanie się narzędzia o tygodnie, nie o lata. Tu pasuje analogia z kuchni. Gdy nowy nóż szefa kuchni trafia na półkę w profesjonalnym sklepie, prędzej czy później znajdzie się też w Lidlu pod inną nazwą i za mniejsze pieniądze.
Pierwsza Misja AI · Kodożercy
Rozumiesz zagrożenia AI, gdy rozumiesz jak naprawdę działa
Kurs Pierwsza Misja AI ma dedykowaną lekcję o ciemnej stronie AI: halucynacje, deepfakes, manipulacja. Zanim zaczniesz się bać – zacznij rozumieć.
Poznaj pełny program →
Co to znaczy dla polskiej firmy
Polskie zespoły IT używają na co dzień popularnych narzędzi open source do administracji systemami. Dlatego “internetowe narzędzie administracyjne” z raportu GTIG to scenariusz, który dotyczy kogoś znajomego. Mowa na przykład o panelach hostingowych typu Webmin czy CyberPanel. Również o narzędziach monitoringu w stylu Zabbix lub Netdata. Mowa też o portalach VPN, panelach automatyzacji domowej i własnych dashboardach w Pythonie albo Node.js. Każde z tych narzędzi ma zwykle 2FA dorzucone z boku. W efekcie stałość kodu w open source nie zawsze obejmuje uważne audyty wszystkich ścieżek autoryzacji. Tu właśnie spotyka się logika AI – cierpliwa, dokładna, niezmęczona – z niewielką niezgodnością w kodzie. Człowiek pod presją terminu nie zauważyłby jej przez tydzień.
Regulacje i wewnętrzne procesy
Polski kąt jest też regulacyjny. RODO i zbliżający się reżim NIS2 stawiają na zespoły IT dużą presję. Co więcej, wymagają udokumentowania zarządzania ryzykiem dostawców i komponentów open source. Jeśli nie masz jasnego procesu reagowania na ujawnienie luki w używanym komponencie, ten incydent jest dobrą okazją, żeby go napisać. Co więcej, jeśli zespół buduje automatyzacje na n8n, Make czy własnym kodzie, warto sprawdzić ścieżki autoryzacji. Szczególnie te z “twardymi założeniami”, czyli warunkami sprawdzanymi raz, a potem traktowanymi jak gwarancja. Standardowo w projektach zespoły szybko piszą takie skróty na produkcji. Później nikt już do nich nie wraca. Atakujący wraca natomiast, bo płaci mu się od znalezionej luki. Dodatkowo AI obniżyło mu koszt poszukiwań do bliskiego zera.
Trzy ruchy na ten tydzień
Najpierw zrób przegląd komponentów open source w stosie. Sprawdź, jakie panele administracyjne masz wystawione na świat. Kiedy ostatnio były aktualizowane? Czy mają wymuszone 2FA z weryfikacją po stronie serwera, a nie tylko klienta? Następnie zrób audyt logiki autoryzacji we własnym kodzie. Poszukaj wzorca “skoro raz sprawdziliśmy, to ufamy” i dodaj drugą warstwę kontroli. Na koniec włącz monitorowanie publicznych ogłoszeń CVE pod kątem internetowych narzędzi administracyjnych. Warto też zasubskrybować biuletyn GTIG lub CERT Polska. Mimo że nikt nie obroni się przed wszystkim, te trzy ruchy istotnie zmniejszą ryzyko. W rezultacie Twoja firma nie stanie się przypadkiem opisanym w kolejnym raporcie.
Podsumowanie
Pierwszy AI zero-day potwierdzony publicznie przez Google Threat Intelligence Group to nie sensacja. To sygnał, że krzywa kosztów ataku właśnie się złamała. Atakujący dostali narzędzie, które pracuje bez zmęczenia i kosztuje grosze. Zostawia drobne ślady, takie jak halucynowany CVSS. Dzięki tym śladom obrońcy mogą się jeszcze trzymać. Ta równowaga jest dziś krucha, bo modele będą coraz lepsze w ukrywaniu odcisków. Dlatego najważniejsze nie są dziś nowe technologie obrony. Liczy się porządek w procesach. Świadomość, jakich narzędzi open source używasz. Jak je aktualizujesz i jak weryfikujesz autoryzację we własnym kodzie. Tak banalne rzeczy jak konsekwentne 2FA po stronie serwera i regularny audyt zależności robią dziś więcej dla bezpieczeństwa firmy niż kolejne kupione narzędzie SOC.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
