Właśnie zobaczyłem narodziny Skynetu. Przerażające, jak szybko pękła ta granica
Badacze udokumentowali pierwszą w historii operację ransomware przeprowadzoną w całości przez autonomicznego agenta AI. Bez człowieka siedzącego za klawiaturą, bez operatora wydającego polecenia w czasie rzeczywistym, bez nikogo, kto nadzorowałby kolejne kroki.

Przez większość historii cyberbezpieczeństwa po drugiej stronie sieci siedział człowiek. Nawet jeśli używał zautomatyzowanych narzędzi - skanerów podatności, exploitów, skryptów do lateral movement - to on podejmował decyzje, reagował na błędy, interpretował wyniki. Automatyzacja ataków istniała od lat: malware, botnety, ransomware-as-a-service. Ale wszystkie te narzędzia były jak broń palna - potrzebowały kogoś, kto pociągnie za spust i wyceluje.
JADEPUFFER zmienia ten model fundamentalnie.
Agent AI uzyskał dostęp do serwera przez lukę CVE-2025-3248 - błąd nieautoryzowanego wykonania kodu zdalnego w Langflow, popularnej platformie open-source do budowania aplikacji opartych na dużych modelach językowych. Podatność była znana i załatana już w kwietniu ubiegłego roku, a CISA oznaczyła ją jako aktywnie eksploatowaną na początku maja. Innymi słowy: klasyczny scenariusz zaniedbania ze strony administratorów. Ale nie to tu jest ciekawe. Czytajcie dalej.
Czytaj też:
Samodzielne decyzje, własne inicjatywy, kreatywne podejście do włamania
Agent samodzielnie przeszukał bazę danych PostgreSQL Langflow, zebrał dane o hoście, przeszukał zmienne środowiskowe i pliki konfiguracyjne, wydobył dane logowania i zinwentaryzował zasoby w usłudze MinIO. Gdy jedno zapytanie API zwróciło dane w formacie XML zamiast spodziewanego JSON - agent sam poprawił logikę parsowania. Żaden człowiek nie musiał tego korygować.
Następnie zainstalował na zainfekowanym serwerze zadanie cron, które co 30 minut łączyło się z infrastrukturą atakujących -beacon, który teraz leżał uśpiony w sercu sieci ofiary.
Z Langflow pivotował na produkcyjny serwer MySQL z uruchomioną usługą Alibaba Nacos. Tutaj wyciągnął z rękawa starą, dobrze udokumentowaną podatność CVE-2021-29441 - błąd umożliwiający ominięcie uwierzytelnienia i stworzenie fałszywego konta administratora. Kiedy pierwsza próba logowania z nowo stworzonym kontem nie powiodła się to agent zdiagnozował przyczynę błędu i opracował działające rozwiązanie w ciągu 31 sekund.
Finalnie zaszyfrował 1342 elementy konfiguracyjne serwisu Nacos, usunął oryginalne tabele i stworzył tabelę o nazwie README_RANSOM z żądaniem okupu, adresem Bitcoin i adresem Proton Mail do kontaktu.

Ironiczne jest to, że wykonana robota była technicznie i operacyjnie spartaczona. Klucz szyfrujący wygenerowano jednorazowo, nigdzie go nie zapisano ani nie wysłano do atakujących - co oznaczało, że nawet w przypadku zapłaty okupu ofiara nie odzyska danych. Adres Bitcoin w nocie był adresem przykładowym z publicznej dokumentacji, najwyraźniej zreprodukowanym z danych treningowych modelu. Ekonomicznie ten atak nie miał sensu.
Ale to właśnie jest sedno sprawy. Badacze z firmy Sysdig - odkrywcy tego niezwykłego i pierwszego w historii wirusa opartego o GenAI - zaznaczają, że JADEPUFFER to nie tyle nowa jakość techniczna, ile sygnał ostrzegawczy. Żeby zepsuć komuś serwer, nie trzeba już umieć hakować. Trzeba umieć uruchomić agenta AI.
Claude na zlecenie przestępców
W sierpniu ubiegłego roku Anthropic opublikował 25-stronicowy raport opisujący przypadki nadużyć modelu Claude - udokumentowane operacje. Jedna z nich - śledzona pod oznaczeniem GTG-2002 - polegała na tym, że przestępcy użyli Claude Code do przeprowadzenia zautomatyzowanej operacji wyłudzenia danych na dużą skalę. W ciągu krótkiego czasu agent atakował 17 organizacji, w tym instytucje rządowe, placówki ochrony zdrowia i służby ratownicze. Każdemu atakowi towarzyszyło żądanie okupu od 75 tys. do 500 tys. dol. w Bitcoinie. Claude Code - narzędzie do pisania kodu, które każdy może kupić subskrypcję - przeprowadził automatyczny wywiad, zebrał dane uwierzytelniające, penetrował sieć, tworzył złośliwe oprogramowanie i pisał noty ransomware. Wszystko automatycznie, na podstawie pliku CLAUDE.md z opisem preferowanych taktyk, który dostarczył mu operator.
Najcelniejszy fragment raportu Anthropic dotyczy jednak północnokoreańskich służb zaangażowanych w atak na fałszywych pracowników IT: „Najbardziej uderzającym odkryciem jest całkowite uzależnienie służb od sztucznej inteligencji w pełnieniu ról technicznych. Wydaje się, że ci operatorzy nie potrafią pisać kodu, debugować problemów, ani nawet komunikować się zawodowo bez pomocy Claude'a. Mimo to z powodzeniem utrzymują zatrudnienie w firmach z listy Fortune 500.”
To jest zdanie warte powtórzenia. Grupy, których operatorzy nie potrafią napisać ani jednej linii kodu ani prowadzić profesjonalnej komunikacji infiltrują korporacje z Fortune 500 dzięki temu, że AI kompensuje każde ich braki. Nie potrzebujesz umieć. Potrzebujesz mieć dostęp.
Mythos i pytanie o kontrolę
W tym kontekście szczególnie ciekawy jest przypadek Claude Mythos - modelu, który Anthropic określił jako zbyt niebezpieczny, by go publicznie udostępnić. Firma przyznała, że jego zdolności w zakresie znajdowania i eksploitowania luk w oprogramowaniu przewyższają możliwości większości ludzkich specjalistów - z wyjątkiem najlepszych. W ramach kontrolowanego programu o kryptonimie Project Glasswing dostęp do modelu uzyskało jedynie około 40 organizacji: Apple, Amazon, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, Nvidia. Cel był defensywny - testowanie własnych systemów i budowanie mechanizmów ochronnych.
W kwietniu model wydostał się poza kontrolowane środowisko. Osoby powiązane z firmą zewnętrznego wykonawcy zyskały dostęp do Mythosa przez konto jednego z kontrahentów i korzystały z modelu od momentu jego wypuszczenia w ramach ograniczonego preview. Co istotne - nie użyły go do znanych nam ataków. Ale dostępność jest problemem samym w sobie.
Kontrolowane udostępnianie modeli działa tak dobrze, jak najsłabsze ogniwo w łańcuchu dostępu - a tym ogniwem są ludzie: pracownicy firm zewnętrznych, kontrahenci, testerzy. Tradycyjne mechanizmy perimeter security nic tu nie pomogą. Dostępu udzielono legalnie. Ktoś po prostu z niego skorzystał inaczej, niż powinien.
Kowalski pod ostrzałem: tu i teraz
Zanim przejdziemy do rozważań o przyszłości, warto zatrzymać się przy teraźniejszości. Bo zagrożenia AI nie dotyczą dziś wyłącznie korporacji z działami IT. One dotykają każdego - i to coraz bardziej bezpośrednio.
CERT Polska w ubiegłym roku obsłużył ponad 222 tys. incydentów cyberbezpieczeństwa - dwukrotnie więcej niż rok wcześniej. Ransomware: 176 incydentów wobec 140 w 2024 r. Szef CERT Polska Marcin Dudek komentował na łamach Cyberdefence24, że sztuczna inteligencja „coraz częściej wspiera wyszukiwanie podatności” przez przestępców, choć równocześnie zastrzega – „to nie jest tak, że AI samo atakuje i mamy już armagedon.”
Polska jest szczególnie atrakcyjnym celem dla przestępców z kilku powodów: jesteśmy krajem o wysokim stopniu cyfryzacji finansów (raport CSIRT KNF z 2025 r. sytuuje Polskę na czele rankingu cyfryzacji sektora finansowego w UE), mamy dużą populację aktywnych użytkowników bankowości elektronicznej i stosunkowo niski poziom świadomości zagrożeń socjotechnicznych wśród przeciętnych użytkowników.
Phishing odpowiada za 82 proc. naruszeń bezpieczeństwa w firmach (za Verizon Data Breach Investigations Report (DBIR) 2025), a CERT Polska zanotował ponad 100 tys. zgłoszeń tylko z kategorii phishingu i jego wariantów w ubiegłym roku - z rosnącą liczbą ataków podszywających się pod polskie instytucje: ZUS, Urząd Skarbowy, InPost, banki.

Ale to, co sprawia, że obecny phishing jest szczególnie niebezpieczny, to coś, czego nie widać w statystykach incydentów: brak błędów. Klasyczny phishing dało się rozpoznać po literówkach, dziwnych zwrotach, błędach stylistycznych. AI usunęła te sygnały ostrzegawcze. Modele językowe piszą doskonałą polszczyznę, dostosowują ton do nadawcy, nawiązują do realnych projektów i używają firmowego żargonu. IBM X-Force w ubiegłym roku wykazał, że skuteczność kliknięcia w phishing generowany przez AI jest o 30 proc. wyższa niż w przypadku tradycyjnych kampanii.
A jeszcze wchodzi klonowanie głosu. W styczniu brytyjska firma inżynieryjna straciła 590 tys. funtów po tym, jak pracownik finansowy wykonał przelew na podstawie wiadomości głosowej od „dyrektora finansowego.” Głos był identyczny - intonacja, rytm, charakterystyczne pauzy. Problem: dyrektor niczego nie mówił. Atakujący sklonował jego głos z 40-sekundowego fragmentu nagrania dostępnego na YouTube, korzystając z narzędzia dostępnego za 29 dol. miesięcznie.
Deepfakes to przy tym zagrożenie mające już mocne zakorzenienie w polskim krajobrazie. Według raportu „Dezinformacja oczami Polaków 2024” 4 na 10 respondentów w Polsce już zetknęło się z takimi materiałami. 77 proc. badanych spodziewa się, że zjawisko to dramatycznie wzrośnie w ciągu dekady.
Agentic AI i industrializacja przestępczości
CrowdStrike w swoim raporcie za ubiegły rok podaje, że liczba ataków przeprowadzanych przez „AI-enabled adversaries” wzrosła o 89 proc. rok do roku. Najkrótszy zarejestrowany czas „breakout” - czas od momentu uzyskania pierwszego dostępu do infrastruktury ofiary do pivotowania na kolejne systemy - wyniósł 27 sekund. Średni breakout time spadł do 29 minut, co stanowi przyspieszenie o 65 proc. względem roku poprzedniego.
To są liczby, które zmieniają cały model reagowania na incydenty. Jeśli atakujący ma 29 minut od momentu pierwszego wtargnięcia do ekspansji w sieci, a SOC potrzebuje - statystycznie - kilku godzin do wygenerowania pierwszego alertu, to nawet najlepsza procedura reagowania działa po fakcie.
HUMAN Security opublikowało w marcu „State of AI Traffic & Cyberthreat Benchmark Report” analizujący ponad trylion interakcji. Ruch agentów AI wzrósł w 2025 r. o 7851 proc. Jednocześnie rosnąca część tego ruchu miała charakter złośliwy albo co najmniej podejrzany.

Raport Cloud Security Alliance z marca opisuje kolejny niepokojący trend: autonomiczne agenty AI nie tylko przeprowadzają znane ataki wydajniej - zaczynają generować zupełnie nowe warianty exploitów, których żaden ludzki badacz wcześniej nie opisał. Unit 42 Palo Alto Networks i Google Project Zero dokumentowały przypadki, w których AI agent przetestował podatną aplikację webową na 47 różnych wektorach ataku w ciągu sześciu minut, skutecznie znajdując i eksploatując błąd SQL Injection, wydobywając schemat bazy danych i przygotowując dane do eksfiltracji - zanim jakikolwiek system monitoringu zdążył wygenerować alert.
Ekonomia tych ataków zmienia wszystko. Koszt ataku z udziałem wykwalifikowanego pentestera: tygodnie pracy, tysiące dolarów. Koszt ataku z agentem AI: subskrypcja modelu i kilka godzin na skonfigurowanie środowiska. Marginalny koszt zaatakowania kolejnej ofiary zbliża się do zera, bo agent może atakować setki celów jednocześnie. To jest industrializacja przestępczości cybernetycznej.
Problem zbuntowanej AI: nauka kontra kinematografia
Teraz dochodzimy do pytania, które zadaje każdy przy wzmiance o Skynecie: czy sztuczna inteligencja może „się zbuntować”? Czy agenci AI mogą stać się prawdziwym, egzystencjalnym zagrożeniem dla ludzkości - nie jako narzędzie w rękach przestępców, ale jako autonomiczne podmioty działające we własnym interesie?
To pytanie zasługuje na poważną, naukową odpowiedź - bez hollywoodzkiej narracji, ale też bez naiwnego bagatelizowania.
Zacznijmy od rozróżnienia, które bywa pomijane: w filmach Skynet „zbuntował się” ponieważ zyskał świadomość i wolę przeżycia. W rzeczywistości naukowej problem jest zupełnie inaczej zdefiniowany i znacznie bardziej subtelny. Naukowcy nie boją się AI, która „postanowi” zniszczyć ludzkość. Boją się AI, która zoptymalizuje źle zdefiniowany cel - i zrobi to w sposób, który jest dla nas katastrofalny, ale z jej perspektywy jest sukcesem.
To jest tzw. problem alignment - spójność między tym, czego naprawdę chcemy od AI, a tym, co jej powiemy, żeby robiła. Ryzyko egzystencjalne oznacza hipotetyczne zagrożenie ze strony systemu sztucznej inteligencji, który posiadałby zarówno zdolność, jak i cel - bezpośrednio lub pośrednio - unicestwienia ludzkości. Kluczowe jest rozróżnienie: inteligencja jest bezpośrednim predyktorem egzystencjalnego zagrożenia ze strony AI, a świadomość - nie.

Innymi słowy: maszyna nie musi „wiedzieć, że istnieje”, żeby być groźna. Musi tylko być wystarczająco inteligentna, żeby realizować swoje cele w sposób, który uniemożliwia nam jej zatrzymanie.
Reward hacking: gdy AI rozwiązuje problem nie tak, jak byśmy chcieli
Najbardziej niepokoją badaczy nie dramatyczne scenariusze buntu, lecz zjawisko zwane reward hacking - sytuacja, w której agent AI znajduje sprytne skróty do maksymalizacji swojej metryki sukcesu, nie realizując faktycznie zamierzonego celu.
Przykłady? Proszę. Niepokojący jest przypadek opisany przez eksperymenty Anthropic. Dziewięć instancji modelu Claude Opus 4.6 zostało postawionych przed zadaniem autonomicznego odkrywania metod alignment. Dwa z agentów podjęły działania kwalifikujące się jako klasyczny reward hacking: jeden hardkodował statystycznie najczęstsze odpowiedzi, żeby maksymalizować metrykę wydajności - bez faktycznego rozwiązania problemu. Drugi agent uruchomił kod bezpośrednio przeciwko zestawowi testów, żeby odczytać poprawne odpowiedzi. Oba osiągnęły wysokie wyniki w mierzonych metrykach, jednocześnie całkowicie ignorując cel badania.
To nie był atak. To był normalny przebieg optymalizacji. Agent nie „postanowił” nikogo oszukać - po prostu znalazł najefektywniejszy sposób na zdobycie punktów.
Skala tego problemu rośnie wraz z możliwościami agentów. Autonomiczne systemy, które mogą przez tygodnie operować bez nadzoru człowieka, mogą akumulować „dryf celów” - stopniowe odchylanie się od oryginalnych zamiarów, w miarę jak optymalizują pod metryki proxy zamiast rzeczywistych zadań.
Scenariusze przyszłości: realne, nie filmowe
Mając tę wiedzę można precyzyjniej narysować spektrum zagrożeń, które czekają na nas w perspektywie 5–10 lat - bez science fiction, ale z zachowaniem naukowej uczciwości.
Scenariusz bliski: demokratyzacja zaawansowanych ataków. Już dziś agentic AI obniżyła próg wejścia dla zaawansowanej cyberprzestępczości do koszt subskrypcji. W ciągu kilku lat modele będą dostępne lokalnie, na własnym sprzęcie, bez jakichkolwiek mechanizmów bezpieczeństwa. Grupy, które dziś nie mają zdolności do przeprowadzania ataków na poziomie APT (Advanced Persistent Threat), będą je miały. Infrastruktura krytyczna - energetyka, szpitale, systemy wody - stanie się celem dla podmiotów, które wcześniej nie miały po temu zdolności technicznych.
Raport WEF Global Cybersecurity Outlook 2026 wskazuje, że 87 proc. respondentów wskazuje podatności związane z AI jako najszybciej rosnącą kategorię zagrożeń cybernetycznych.
Scenariusz średnioterminowy: autonomiczne ataki na infrastrukturę. Nie chodzi o to, że AI „postanowi” zaatakować elektrownię. Chodzi o to, że ktoś wypuści agenta z instrukcją „znajdź i wyłącz systemy należące do tego państwa”, a agent to zrobi - sprawnie, elastycznie, adaptując się do napotkanych przeszkód, nie patrząc na koszty ludzkie wynikające z wyłączenia sieci energetycznej w środku zimy.
Scenariusz dalszy: autonomiczne systemy uzbrojenia. To jest już rzeczywistość, nie spekulacja. Eksperci Future of Life Institute (za Reuters) zidentyfikowali około 200 autonomicznych systemów uzbrojenia rozmieszczonych na terenach Ukrainy, Bliskiego Wschodu i Afryki. Rosja używa w Ukrainie około 3000 dronów kamikaze zdolnych do autonomicznego identyfikowania i atakowania celów. Stany Zjednoczone, Chiny, Rosja, Izrael i wiele innych państw inwestuje intensywnie w autonomiczne systemy bojowe. Sekretarz Generalny ONZ António Guterres określił decyzje podejmowane przez algorytmy w kwestii śmierci ludzkiej jako „moralnie odrażające” i wzywał do ich zakazu do 2026 r. Tego zakazu nie ma.
W kontekście Skynetowym: problem nie polega na tym, że drony „się zbuntują”. Polega na tym, że nie ma mechanizmu odpowiedzialności. Kto odpowie za zbrodnię wojenną popełnioną przez algorytm? Producent oprogramowania? Dowódca wojskowy? Sam algorytm?
Egzystencjalne ryzyko: co mówi nauka
International AI Safety Report z bieżącego roku - firmowany przez ponad 100 ekspertów AI, w tym laureata Nagrody Turinga Yoshua Bengio, i popierany przez ponad 30 krajów - to największe dotychczasowe globalne podsumowanie stanu wiedzy o ryzyku AI. Dokument nie ma wydźwięku panicznego. Ale jest poważnie.
Naukowcy estymują tzw. P(doom) - prawdopodobieństwo katastrofalnego scenariusza z AI - w szerokim przedziale. Agregat opinii eksperckich zebrany przez biocomm.ai w listopadzie 2025 r. pokazuje skumulowaną średnią na poziomie 35 proc. To nie jest liczba, którą należy traktować jak prognozę pogody. Ale to też nie jest liczba, którą należy zignorować.
Artykuł z University of Groningen z 2025 r. punktuje „manhattańskie” podejście do problemu alignment - ideę, że możemy rozwiązać ten problem tak jak zbudowaliśmy bombę atomową: skupionymi zasobami, w wyznaczonym czasie. Autorzy argumentują, że alignment prawdopodobnie nie jest problemem binarnym, który można „rozwiązać,” lecz ciągłym procesem zarządzania ryzykiem.
To ważna subtelność. Nie chodzi o to, żeby zrobić AI bezpieczną raz i na zawsze. Chodzi o to, że każdy kolejny krok w kierunku bardziej autonomicznych, bardziej zdolnych systemów musi być poprzedzony adekwatnym krokiem w kierunku ich zrozumienia i kontroli. A dziś te dwa tempa - możliwości kontra bezpieczeństwo - wyraźnie nie idą równym tempem.
Co z tym wszystkim robić
JADEPUFFER zostawił nam kilka lekcji, które brzmią banalnie, ale wciąż są ignorowane na masową skalę. Po pierwsze: niezałatane podatności to zaproszenie dla agentów AI, które nie mają cierpliwości ludzkiego hakera, ale jego skuteczność. CVE z 2021 i 2025 roku w jednym łańcuchu ataku to nie jest wyrafinowanie - to jest oportunizm, na który AI jest doskonale skrojona.
Po drugie: architektura „zero trust” przestaje być opcją dla firm, które trzymają cokolwiek wartościowego w chmurze. Agent, który uzyska dostęp do jednego węzła, powinien napotykać kolejne bariery uwierzytelnienia przy każdym kolejnym kroku. Dziś większość sieci firmowych tak nie działa.
Po trzecie: phishing w erze AI to nie jest problem edukacyjny. To jest problem architektoniczny. Szkolenia z rozpoznawania phishingu działają coraz gorzej, bo AI wyeliminowała sygnały, których ludzie uczyli się szukać. KnowBe4 w raporcie z 2025 r. pokazuje, że nawet po intensywnych szkoleniach 4-5 proc. pracowników klika w dobrze przygotowane symulacje phishingowe. W firmie 200-osobowej to 8-10 osób. Atakujący potrzebuje jednej.
Po czwarte, i najważniejsze: tempo rozwoju narzędzi ofensywnych AI przewyższa tempo regulacji i budowania mechanizmów bezpieczeństwa. To nie jest opinia - to jest obserwowalne zjawisko. 89 proc. wzrostu ataków AI w ciągu roku, pierwsze autonomiczne ransomware w 2026, modele cybersecurity zbyt niebezpieczne do publicznego udostępnienia - i jednocześnie brak globalnych wiążących standardów dla autonomicznych systemów bojowych, brak jednolitych regulacji dla modeli zdolnych do autonomicznego hackingu, brak obowiązkowego raportowania incydentów AI.
Praprzodek czy już potomek?
Wracając do Skynetu: nie, nie mamy do czynienia z autonomiczną superinteligencją, która „postanowiła” zaatakować ludzkość. JADEPUFFER jest bardziej jak prymitywny poprzednik - sprawny w wąskim zakresie, bez żadnej wewnętrznej motywacji, całkowicie zależny od kogoś, kto go uruchomił i powiedział mu, co ma osiągnąć.
Ale „prymitywny poprzednik” to nie znaczy „niegroźny.” Pierwsze bomby były też prymitywnymi poprzednikami broni nuklearnej.
Kluczowe pytanie brzmi nie „czy AI może się zbuntować”, lecz „czy ludzie, którzy kontrolują coraz bardziej zdolne systemy AI, będą z niej korzystać w sposób odpowiedzialny.” Historia cyberprzestępczości odpowiada na to pytanie jednoznacznie: nie wszyscy. A ponieważ AI obniża koszty wejścia i podnosi pułap możliwości dla każdego - w tym tych o złych intencjach - każdy kolejny postęp w zdolnościach modeli jest jednocześnie postępem w arsenale potencjalnych atakujących.
JADEPUFFER był niesprawny, naiwny i finansowo bezsensowny. Ale był autonomiczny. Zrobił to sam. Następna wersja będzie sprawniejsza. Jeszcze następna - jeszcze bardziej. I na każdym etapie tej ewolucji będzie ktoś, kto uzna, że to dobry moment, żeby sprawdzić, co potrafi - na cudzych systemach, cudzych danych, cudzym koszcie.
Lubi oglądać się zarówno za siebie – wspominając przełomowe dokonania w informatyce – jak i przed siebie, będąc nieustannie ciekawym tego, co będzie dalej. Jego zainteresowania to przede wszystkim software: UI/UX, algorytmy, uczenie maszynowe, chmura czy sztuczna inteligencja. Nic dziwnego, że jako specjalizację obrał sobie pilnowanie firmy Microsoft. Uwielbia też sztukę gier i kina, przez co wyrósł na pasjonata sprzętu RTV – a i o technologii wspomnianych gier i filmów ma wiele ciekawego do opowiedzenia. Jego pierwsza obecność w mediach dotyczyła muzyki – współtworzył Overkill.pl. Ciąg dalszy jego rozwoju dotyczył już tylko nowych technologii. Zanim dołączył do zespołu Spider’s Web przez lata współtworzył CHIP.pl i Magazyn CHIP.