Czerwiec 2026: miesiąc, w którym rząd spróbował wyłączyć zdolność — i udowodnił, że raz wydanej cofnąć się nie da

przez lukasz | lip 3, 2026 | Bez kategorii | 0 komentarzy

Briefing Senteri

Liczba, która opisuje czerwiec 2026 lepiej niż jakakolwiek inna, to dziewiętnaście. Tyle dni minęło od chwili, gdy rząd Stanów Zjednoczonych kazał firmie Anthropic wyłączyć jej dwa najpotężniejsze modele — do chwili, gdy te modele wróciły, globalnie, jakby rozkazu nigdy nie było. 12 czerwca o 17:21 czasu waszyngtońskiego Departament Handlu polecił zawiesić zagraniczny dostęp do Claude Fable 5 i Mythos 5; nie mogąc rozróżniać narodowości w czasie rzeczywistym, Anthropic wyłączył oba modele na całym świecie. 1 lipca Fable 5 wrócił do wszystkich. W tym czasie trzy niezależne demonstracje z Azji pokazały, że zdolność, którą rozkaz miał zamknąć, wyciekła już dawno — tańsza, bardziej otwarta i niemożliwa do cofnięcia. Ta różnica — między tym, co rząd potrafi wyłączyć, a tym, co potrafi realnie zamknąć — jest kształtem całego miesiąca.

To jest briefing, nie inwentarz. Czerwiec przyniósł dziesiątki incydentów; większość była wariacją na temat kilku głębszych przesunięć. Poniżej tylko te wątki, które niosą tezę — te, które razem opisują zmianę strukturalną, a nie ruchliwy cykl newsowy. Każdy jest samowystarczalny: nie trzeba klikać w link ani czytać innego raportu, żeby go zrozumieć. Sednem jest wzorzec. A dla polskiego czytelnika dochodzi wątek, którego nie znajdzie w żadnym globalnym serwisie: to był również pierwszy pełny miesiąc, w którym polskie firmy zaczęły odliczać do twardego terminu nowej ustawy o cyberbezpieczeństwie.

Rząd nauczył się, że potrafi wyłączyć frontier model — i że to nic nie daje

Rozkaz przyszedł z dziewięćdziesięciominutowym terminem. Ponieważ Anthropic nie potrafił w czasie rzeczywistym odróżnić użytkownika amerykańskiego od zagranicznego, zastosowanie się do niego oznaczało wyłączenie Fable 5 i Mythos 5 dla wszystkich. Wyzwalaczem był jailbreak znaleziony przez badaczy Amazona — taki, który skłonił Fable 5 do wskazania podatności i, w jednym przypadku, napisania kodu pokazującego, jak je wykorzystać. Narzędziem blokady była kontrola eksportu — ten sam instrument, którym trzyma się zaawansowane chipy z dala od rąk przeciwnika, wymierzony po raz pierwszy w działającą usługę software'ową.

Tezą nie jest sama blokada. Jest nią to, co blokada ujawniła o narzędziach, jakie rząd faktycznie ma. Rozporządzenie wykonawcze podpisane 2 czerwca stworzyło dobrowolną ścieżkę recenzji frontier modeli przed premierą — ale Fable 5 nigdy przez nią nie przeszedł. Gdy Waszyngton zdecydował się działać szybko wobec żywego modelu, sięgnął ponad własny, dopiero co zbudowany proces i chwycił kontrolę eksportu jak awaryjny wyłącznik. Dziewiętnastodniowa podróż w obie strony — od „wyłączyć" do „wydać z powrotem" — to jest to, jak wygląda improwizacja, gdy spotyka zdolność, która nie chce pozostać zamknięta.

Bo nie pozostała zamknięta. W ciągu dwóch tygodni przyszły z Azji trzy niezależne odpowiedzi, każda podważająca założenie, że kontrola eksportu cokolwiek daje. Chiński Zhipu AI udostępnił już wcześniej GLM-5.2 na licencji open-weight — każdy na świecie może go pobrać — a niezależne testy pokazały, że dorównuje, a na jednej klasie podatności bije, komercyjną konfigurację Claude'a przy około jednej szóstej kosztu. Japońska Sakana AI wypuściła Fugu, model orkiestrujący, który dynamicznie łączy inne modele przez jeden interfejs; jej szef nazwał to praktycznym zabezpieczeniem przed skoncentrowaną kontrolą, bo dostęp do najlepszych modeli może zniknąć z dnia na dzień. A chińskie Qihoo 360 zaprezentowało „rój" wyspecjalizowanych agentów do znajdowania i łatania luk, z detalem prawnym, który powinien dać do myślenia każdemu obrońcy: chińskie przepisy wymagają zgłoszenia każdego znalezionego zero-daya do Pekinu w ciągu 48 godzin, zanim dowie się o nim producent. Trzy filozofie, jeden komunikat pod adresem Waszyngtonu — wyłączenie własnego modelu nie wyłącza zdolności. Przesuwa tylko, kto ma do niej wygodny dostęp.

Najostrzejsze potwierdzenie przyszło od samego Anthropic, w tym samym tygodniu, w którym blokada padła. Obok przywróconego Fable 5 firma wypuściła Sonnet 5 — model bliski swojemu flagowcowi w kodowaniu i pracy agentowej, a jednocześnie celowo trzymany blisko zera w budowaniu działających exploitów. W teście tworzenia exploitów dla Firefoksa 147 Sonnet 5 zbudował działający exploit w 0,0% prób, wobec 68,8% dla flagowej serii Opus i 88,4% dla Mythos. To nie jest ograniczenie, na które model wpadł przypadkiem; to decyzja o alokacji. Anthropic potrafi zbudować model szeroko doskonały i celowo słaby w ofensywnym cyber, bo zdolność cyber jest osobną inwestycją, nie darmowym skutkiem inteligencji. Zachód potrafi tę zdolność dawkować u siebie. Po prostu nie może powstrzymać Chin przed rozdawaniem jej za darmo — GLM-5.2 jest dowodem, że ta sama moc, którą blokada próbowała zamknąć, jest już do pobrania, bezpłatnie, z drugiej strony oceanu. Zdolność da się zamknąć. Ale tylko po swojej stronie drzwi.

Łańcuch dostaw przestał być wektorem i stał się terenem

Jeśli lekcją maja było to, że łańcuch dostaw jest infrastrukturą przestępczą, a nie pojedynczym wektorem, lekcją czerwca było to, że ta infrastruktura obejmuje teraz każdą warstwę tego, jak buduje się oprogramowanie — i każda warstwa została naruszona po kolei, tym samym ruchem: atakujący nie łamią zabezpieczeń, przechodzą przez zaufanie, które ktoś już zautomatyzował.

Miesiąc otworzył się robakiem. 1 czerwca badacze znaleźli dziesiątki skompromitowanych pakietów w firmowym namespace Red Hata na npm — wariant Shai-Huluda, który kradł poświadczenia, sekrety chmurowe, klucze SSH i tokeny CI/CD, a potem się rozsiewał. Punktem wejścia było jedno przejęte konto pracownika, ze złośliwymi commitami trafiającymi do repozytoriów firmy z pominięciem przeglądu kodu. Ale najważniejsze nie było włamanie; najważniejsze było to, że robak jest forkiem kodu, który przestępcy opublikowali miesiąc wcześniej. To już nie była jedna operacja — to był wzorzec dostępny dla każdego naśladowcy.

Trzy tygodnie później przyszła głębia tego wzorca. Firma Novee Security opisała klasę luki, którą nazwała Cordyceps: workflow GitHub Actions, które przy pewnych wyzwalaczach uruchamiają się z pełnymi sekretami repozytorium, nawet gdy odpala je pull request anonimowego użytkownika. Skan trzydziestu tysięcy najważniejszych repozytoriów dał ponad trzysta w pełni przejmowalnych — wśród nich należące do Microsoftu, Google'a, Apache, Cloudflare i formatera kodu pobieranego ponad sto milionów razy miesięcznie. Ujęcie badacza jest tezą całego miesiąca: luka „istnieje tylko w kompozycji — tam, gdzie niezaufane dane przekraczają granicę zaufania, której nikt nie zaudytował". A agenty AI, dodał, reprodukują ten sam niebezpieczny wzorzec w kółko, na skalę, której żaden ludzki zespół by nie osiągnął.

Potem atak wspiął się o warstwę wyżej, w same zdolności agentów AI. Firma AIR zbudowała fałszywy „skill" agenta — reklamowany jako budowanie stron bez kodu — i przepuściła go przez skanery bezpieczeństwa Cisco, NVIDII i największych rejestrów. Wszystkie go przepuściły, bo w chwili skanowania wskazywał na prawdziwą dokumentację. Dopiero gdy skill rozszedł się do dwudziestu sześciu tysięcy agentów, część na kontach firmowych, badacze podmienili treść pod zewnętrznym adresem, na który wskazywał, na polecenie pobrania i uruchomienia kodu. Lekcja jest niewygodna: skan to migawka, a skill może zmienić zachowanie po tym, jak zaufanie zostało już przyznane. Ani czysty werdykt skanera, ani liczba gwiazdek na GitHubie nie są dowodem bezpieczeństwa.

I wreszcie incydent, który spiął ten wątek w jedną, brutalną lekcję o tym, co się dzieje, gdy zaufanie oddane dostawcy zawodzi. Grupa wymuszeniowa weszła do platformy market intelligence Klue przez poświadczenie stworzone w 2022 roku do porzuconego prototypu i nigdy nieodwołane. Stamtąd wykradła tokeny OAuth, którymi klienci łączyli swoje systemy CRM, i po cichu opróżniła ich bazy. Lista ofiar czyta się jak katalog branży, która chroni wszystkich innych: Huntress, Recorded Future, Tanium, Snyk, HackerOne. Żadna nie została zaatakowana bezpośrednio. Wszystkie padły przez tego samego dostawcę, któremu zaufał ich dział sprzedaży. A gdy Klue zapłacił okup, dane i tak wyciekły — do drugiej grupy, która ukradła je pierwszej.

To jest punkt strukturalny i jest to teraz właściwe założenie wyjściowe, a nie paranoja: namespace, token, workflow, integracja — każde z nich było zaufaniem, które ktoś wcześniej zamienił w automatyczny proces. Łańcuch dostaw nie jest już jedną z dróg do środka. Jest terenem, na którym rozgrywa się reszta walki.

Agent traktuje niezaufaną treść jako instrukcję — a prompt tego nie zatrzymuje

Pod obiema głównymi osiami miesiąca przewijał się jeden mechanizm, na tyle uporczywy, że warto go nazwać wprost: agent AI traktuje niezaufaną treść jako instrukcję. Pojawił się w Agentjacking, gdzie zatruty raport błędu skłaniał agenty kodujące — Claude Code, Cursor, Codex — do wykonania kodu atakującego przez coś, co odkrywcy nazwali „łańcuchem autoryzowanych intencji", w którym każdy pojedynczy krok jest legalny, więc żaden system obronny nie widzi niczego niewłaściwego. Pojawił się w północnokoreańskim malware na macOS, który zaszył trzydzieści osiem sfabrykowanych komunikatów „systemowych", żeby przekonać analityka AI, że jego własna sesja się sypie i że powinien przerwać. Pojawił się w AutoJack, gdzie jedna strona internetowa przejęła agenta przeglądającego, bo dla niego localhost przestał być granicą zaufania.

Obserwacja, która znaczy najwięcej z całego czerwca, brzmi tak: w testach Agentjacking zabezpieczenia wpisane w prompt nie utrzymały się. Agenty wykonywały ładunek nawet wtedy, gdy instrukcja systemowa kazała im ignorować niezaufane dane. To jest ściana, o którą rozbija się nadzieja na okiełznanie AI kolejnym, mądrzejszym promptem. Jedyną twardą granicą jest to, czego agent nie może zrobić, bo nie ma uprawnień — nie to, co obiecał, że zrobi. Nie przypadkiem w tym samym miesiącu OWASP uznał, że bezpieczeństwo i safety agentów AI to już jeden i ten sam problem.

Odkrywanie wciąż odrywa się od naprawiania

Maj nazwał tę asymetrię, a czerwiec ją poszerzył. Frontier model znalazł błąd w serwerze proxy Squid, który tkwił w kodzie od 1997 roku — dwudziestodziewięcioletnia luka wypłynęła w niemal sekundę. Autonomiczny system AI znalazł dwuletni błąd use-after-free w Redisie, którego nie wychwycił żaden ludzki przegląd. Przeglądarki wypuszczały rekordowe paczki poprawek — 429 łatek w jednym wydaniu Chrome. Wniosek z maja utrzymał się i stwardniał: znajdowanie podatności przestało być wąskim gardłem. Wąskim gardłem jest ich naprawianie, a przepaść poszerza się za każdym razem, gdy odkrywanie tanieje, podczas gdy naprawianie pozostaje związane z ludźmi, procesem i inercją organizacji.

Ten sam miesiąc uwidocznił też drugie ostrze tej samej klingi. Narzędzia bezpieczeństwa raz po raz same stawały się wektorem: platforma zarządzania endpointami wykorzystana do dostarczenia infostealera przebranego za łatkę producenta; produkt do ochrony endpointów obrócony w to, co rozprowadza malware; gang ransomware rozdający afiliantom gotowy zestaw, którego jedynym zadaniem jest zabijanie oprogramowania antywirusowego — ponad czterysta procesów, dziesiątki produktów bezpieczeństwa, wszystko przez legalne, podpisane sterowniki. Ochrona obrócona przeciwko temu, co chroni.

Polska: druga prędkość i zegar, który właśnie ruszył

Gdy globalnie AI przepisuje tempo, w Polsce toczy się równolegle druga prędkość — cierpliwa, mniej efektowna, i to ona często decyduje o bezpieczeństwie zwykłych instytucji. W czerwcu CERT Polska opublikował podatności w Wirtualnej Uczelni firmy Simple, systemie dziekanatowym używanym przez blisko sto pięćdziesiąt uczelni; najpoważniejsza to nieuwierzytelnione zdalne wykonanie kodu przez wstrzyknięcie do szablonu. Osobno pojawił się komunikat o systemie medycznym KS-SOMED, w którym znaleziono zakodowane na stałe poświadczenia — dokładnie ten sam błąd, który w skali świata opisuje się przy dużych platformach. To jest ta druga prędkość: nie frontier modele, lecz szablon, hasło w kodzie, parametr w adresie — w systemach, z których codziennie korzystają studenci i pacjenci.

Ale czerwiec dołożył do tego obrazu warstwę, której wcześniej nie było: presję regulacyjną z twardym terminem. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa — polskie wdrożenie dyrektywy NIS2 — obowiązuje od 3 kwietnia, a lipiec to pierwszy pełny miesiąc, w którym tysiące firm z sektorów kluczowych i ważnych są w środku okna przygotowań przed pierwszym twardym terminem: samoidentyfikacją i wpisem do wykazu podmiotów do 3 października. Dwa nowe ostrza spinają tę ustawę wprost z dominantą miesiąca. Pierwsze to osobista odpowiedzialność kierownictwa — za brak nadzoru nad procedurami zarząd może dostać karę i zakaz pełnienia funkcji. Drugie to instrument Dostawcy Wysokiego Ryzyka — minister może w drodze decyzji nakazać wycofanie sprzętu lub oprogramowania konkretnego dostawcy. To jest państwowa odpowiedź na dokładnie ten problem, który reszta tego briefingu opisuje jako teren: ryzyko idzie przez dostawcę, więc regulator daje sobie narzędzie, by dostawcę wykluczyć. Dla polskiej firmy najcenniejsza rzecz, jaką można zrobić w lipcu, jest tożsama z globalną lekcją miesiąca — sporządzić spis zaufania, które już się oddało: dostawców, integracji, długożyciowych poświadczeń, o których nikt nie pamięta.

Co wynieść z czerwca

Trzy obserwacje pozostaną prawdziwe przez resztę 2026 roku, niezależnie od tego, co przyniesie dany miesiąc.

Zdolności, która została wydana, nie da się cofnąć. Stany Zjednoczone wyłączyły swoje dwa najpotężniejsze modele i miały je z powrotem w dziewiętnaście dni, oddawszy w międzyczasie pole konkurentom open-weight. Zdolność ofensywną można dawkować u źródła — Sonnet 5 dowodzi, że producent potrafi zbudować szeroką doskonałość i celowo pominąć cyber — ale tylko po swojej stronie granicy. Dalej ta sama zdolność jest już darmowa. Zakładaj, że przeciwnik ma model do znajdowania podatności, po cenie towaru masowego, niezależnie od jakiejkolwiek kontroli eksportu.

Łańcuch dostaw jest terenem, nie wektorem. Traktuj skupiska pozornie osobnych incydentów w łańcuchu dostaw jako prawdopodobnie powiązane, a każdą zautomatyzowaną relację zaufania — namespace, długożyciowy token, workflow CI/CD, integrację z trzecią stroną — jako powierzchnię ataku. Klue padł przez poświadczenie z 2022 roku, o którym nikt nie pamiętał. Najcenniejszy spis, jaki obrońca może w tym kwartale sporządzić, to spis zaufania, które już oddał i o którym zapomniał. Dla polskich podmiotów KSC2 czyni ten spis nie tylko dobrą praktyką, ale obowiązkiem z terminem.

Jedyną granicą agenta, która się trzyma, jest uprawnienie. Zabezpieczenia na poziomie promptu zawiodły pod testem w czerwcu. Agenta, który traktuje niezaufaną treść jako instrukcję, nie da się z tego niezawodnie „wyinstruować". Ograniczaj to, do czego agent technicznie nie jest w stanie sięgnąć — sandbox wykonania, zgoda człowieka na komendy powłoki, poświadczenia o najmniejszych uprawnieniach — i przestań modelować narzędzia AI jako oprogramowanie biurowe. To jest infrastruktura uprzywilejowana, a powierzchnia ataku przesunęła się w górę stosu, żeby ją spotkać.

Źródła

Blokada eksportowa Fable 5 / Mythos 5 i jej zniesienie

Odpowiedź Azji: GLM-5.2, Sakana Fugu, Qihoo 360

Sonnet 5 i alokacja zdolności

Łańcuch dostaw: robak w npm, Cordyceps, fałszywy skill, Klue

Wzorzec agenta: Agentjacking, macOS.Gaslight, AutoJack

Odkrywanie kontra naprawianie, narzędzia bezpieczeństwa jako wektor

Polska: druga prędkość i KSC2

  • CERT Polska, komunikat o podatnościach w Wirtualnej Uczelni (Simple): https://cert.pl/posts/2026/06/CVE-2026-34906/
  • CERT Polska, komunikat o podatności w KS-SOMED (KAMSOFT) — zakodowane poświadczenia dawały dostęp do serwera FTP z pakietami aktualizacji; zgłosił Wojciech Giełda: https://cert.pl/en/posts/2026/06/CVE-2026-42251/
  • Ministerstwo Cyfryzacji, nowelizacja ustawy o KSC (wdrożenie NIS2): terminy samoidentyfikacji (3 października 2026) i wdrożenia SZBI, odpowiedzialność kierownictwa, instrument Dostawcy Wysokiego Ryzyka.

Briefing Senteri · czerwiec 2026 · senteri.pl — jak maszyny czytają sieć. Ten briefing jest zapisem miesiąca w takim kształcie, w jakim został opisany; gdy twierdzenie opiera się na pojedynczym źródle, jest to zaznaczone. Nie stanowi porady prawnej ani specjalistycznej rekomendacji bezpieczeństwa dla konkretnego środowiska. Terminy KSC2 według stanu prawnego na moment publikacji — przed decyzjami organizacyjnymi zweryfikuj aktualny status w Ministerstwie Cyfryzacji.