04 maj, 2026Detekcja obrazów AI w 2026 – co naprawdę działa po premierze GPT Image 2
21 kwietnia 2026 OpenAI uruchomił GPT Image 2. W ciągu kilku dni społeczność zaczęła dzielić się obserwacjami: w wielu generacjach pojawiały się powtarzalne wzory szumu, które dawało się wydobyć prostym przekrzywieniem krzywych w edytorze. Wróciło stare pytanie. Czy detekcja obrazów AI da się oprzeć...
04 maj, 2026Claude Code i rm -rf: jak ustawić uprawnienia bash, żeby agent nie skasował projektu
Wystarczyło jedno kliknięcie w terminalu. Programista dał Claude Code szerokie uprawnienia do uruchamiania komend bash w swoim repozytorium. Asystent dostał zadanie, które wymagało kilku połączonych komend, a w jednej z nich pojawiło się rm -rf wymierzone w katalog, którego nikt nie chciał kasować. Programista odruchowo kliknął “akceptuj” i w ułamku sekundy zniknęła połowa projektu....
01 maj, 2026PyTorch Lightning malware – co zrobić jeśli zainstalowałeś wersję 2.6.2 albo 2.6.3
Osiemnaście minut wystarczyło Socket Research Team, żeby wyłapać atak na pakiet lightning w repozytorium PyPI. 30 kwietnia 2026 ktoś przejął konto GitHub projektu PyTorch Lightning i wypuścił dwie złośliwe wersje pakietu, oznaczone jako 2.6.2 oraz 2.6.3. Każdy, kto w tym oknie czasowym zrobił pip install lightning albo pip install lightning --upgrade, ściągnął...
01 maj, 2026VECT 2.0 ransomware vibe coded – jak hakerzy zniszczyli własne ofiary błędem w kodzie AI
Cyberprzestępcy z grupy VECT zrobili coś, czego nie życzyłbyś sobie nawet wrogowi. Ich własne narzędzie do szyfrowania, czyli ransomware VECT 2.0, zamiast brać pliki w zakładnika i żądać okupu, po prostu je niszczy. Mowa o wszystkim, co waży powyżej 128 kilobajtów, czyli praktycznie każdym dokumencie, mailu czy bazie...
30 kwi, 2026HERMES.md w Claude Code – jak jeden tekst w commicie drenował konto
Deweloper patrzy w panel Anthropic. Plan Max 20x pokazuje 86 procent limitu wciąż dostępnego, a mimo to jego projekty właśnie przestały działać. Obok widnieje rachunek 200,98 dolarów spalonych w “extra usage”, czyli rozliczeniu poza planem. Dlatego deweloper zaczyna diagnostykę przez binarne dzielenie. Klonuje repozytoria,...
29 kwi, 2026Luka RCE w GitHubie – CVE-2026-3854 i co musisz zrobić
Wystarczyło darmowe konto na GitHubie, puste repozytorium i jeden push z przygotowaną opcją. Tyle, żeby uruchomić własny kod na backendzie. W ten sposób działała luka RCE w GitHubie oznaczona jako CVE-2026-3854. Badacze firmy Wiz zgłosili ją 4 marca 2026, a publiczne ogłoszenie nastąpiło 28...
28 kwi, 2026Mercor wyciek 4TB nagrań głosowych – 40 000 AI contractorów na sprzedaż
Cztery terabajty nagrań głosowych, paszportów i numerów ubezpieczenia społecznego trafiło na stronę wyciekową grupy Lapsus$. Ofiarą padł Mercor, wyceniany na 10 miliardów dolarów startup. Łączy on bowiem zewnętrznych contractorów z laboratoriami AI takimi jak OpenAI, Meta i Anthropic. Pakiet danych obejmuje 40 000 osób,...
27 kwi, 2026Agent AI skasował produkcyjną bazę PocketOS – co naprawdę poszło źle
Wystarczyło jedno polecenie diagnostyki w środowisku testowym, by firma PocketOS straciła całą produkcyjną bazę danych klientów. Agent AI w edytorze Cursor sam wybrał klucz, sam ułożył zapytanie GraphQL i sam je wysłał do platformy Railway. Po wszystkim spokojnie wyrecytował każdą zasadę bezpieczeństwa, którą dopiero...
24 kwi, 2026Bitwarden CLI atak: zainfekowana wersja 2026.4.0 kradła klucze przez 19 godzin
Socket.dev 23 kwietnia 2026 roku wykrył zainfekowaną wersję oficjalnego pakietu @bitwarden/cli w rejestrze npm. Wersja 2026.4.0 zawierała plik bw1.js, który w ciągu 19 godzin wykradał z zainfekowanych maszyn klucze GitHub, AWS, Azure, GCP, konfigurację npm, klucze SSH, a także pliki konfiguracyjne Claude i MCP. Dlatego to nie tylko...
21 kwi, 2026Wyciek Lovable – jak pięć wywołań API otworzyło cudze aplikacje
Pięć wywołań API z darmowego konta wystarczyło, żeby badacz bezpieczeństwa pobrał kod źródłowy cudzych aplikacji, hasła do baz danych i historie czatów z AI. Platforma Lovable, jedno z największych narzędzi do tak zwanego vibe codingu, przez 48 dni ignorowała zgłoszenie tej luki. Pierwsza oficjalna...
