Budujemy Agentic Web
Wiedza Agentic Web
Narzędzia iFox.pl
Słownik Agentic Web
Skaner Prompt Injection
2026
Maj 2026: miesiąc w którym AI przestało być prognozą
Kwiecień 2026: miesiąc w którym infrastruktura AI stała się linią frontu
Marzec 2026 na Cyberflux.pl: Miesiąc w którym granica przestała być granicą
Radar Cyberflux.pl
Cyberflux Radar #2 – maj 2026
Cyberflux Radar #1 — kwiecień 2026
Wybierz Stronę
11 minut. Sigstore. GitHub. Nx Console był jednym krokiem od SLSA Level 4.
maj 20, 2026
|
Cyberflux
Techniki ataku
Comment and Control
2
Indirect Prompt Injection
10
MCP Tool Poisoning
6
Permission Injection
8
Prompt Injection
8
Prompt Leaking
1
Ransomware
2
SQL Injection
2
Stored Prompt Injection
3
Supply Chain Attack
34
Zero-day
30
Kampanie i systemy
TeamPCP
4
Contagious Interview
3
AI agents
3
Handala
2
OpenClaw
2
Marimo
2
AI Agent
2
WordPress 7.0
2
Dwa commity go zasadziły. Dwa lata go ukrywały. Code review nigdy go nie znalazł — znalazło AI.
Powiadomienie, którego nie przeczytałeś, mówi Gemini co ma zrobić. „Tak” wypowiedziane przy kierownicy otwiera okna w domu.
Jeden issue, żeby przejąć repozytorium. I jeszcze jeden, żeby zatruć akcję, której używają wszyscy inni.
Zakodowane na stałe hasło do serwera aktualizacji polskiego systemu medycznego. Ten sam wzorzec, który dziś opisywaliśmy trzy razy w skali świata.
RCE w platformie AI to nie koniec ataku. To klucz do skarbca, który trzyma hasła do tuzina innych usług.
Platforma która chroni endpointy staje się tą, która rozprowadza malware. Trzeci raz w tym tygodniu.
Ten sam błąd. Ta sama ocena. Microsoft załatał jeden i odmówił drugiemu. Co dziura bez CVE mówi o łataniu według numerów.
RCE bez logowania w systemie, który zna oceny, PESEL i konto bankowe studenta. Co CVE-2026-34906 mówi o drugiej prędkości polskiego oprogramowania.
Codex znalazł HTTP/2 Bomb. Potem te same łatki posłużyły AI do potwierdzenia, że podatne są też IIS, Envoy i Pingora.
Bez kliknięcia, bez aplikacji, bez śladu. Co czwarty Android zero-day w sześć miesięcy mówi o jednym wytrwałym aktorze.
Następna iteracja powstała. Nie wiadomo, czy to TeamPCP — bo teraz może to być każdy.
Cztery dni. Tyle wystarczyło, żeby z „medium severity, brak eksploatacji” zrobiło się „atakowane, najwyższy priorytet”
Trzy dni temu nazwaliśmy to projekcją. Dziś Glasswing rośnie z 50 do 200 organizacji
Strona staje się ładunkiem. ChatGPT renderuje phishing atakującego we własnym interfejsie — i nie potrafi odróżnić go od siebie.
Fałszywa łatka na dziurę, przez którą weszła. Co FortiClient EMS mówi o tym, że system zarządzania jest najkrótszą drogą do wszystkich endpointów naraz
Nie atak na dane. Atak na mapę. Co prompt leaking mówi o tym, że „ukryte” w AI znaczy coś innego niż myślisz.
Cyberflux Radar #2 – maj 2026
Maj 2026: miesiąc w którym AI przestało być prognozą
Wiadomość instaluje Service Workera
Nie brakuje łatki. Brakuje świadomości że Roundcube to cel państwowych grup szpiegowskich.
Łatka na produkcji bez przerywania produkcji. Co IBM i Red Hat odpowiedzieli na vulnpocalypse pięcioma miliardami dolarów
Anthropic ogłosił że Mythos trafi do wszystkich klientów. Alex Stamos mówił pół roku. Minął jeden.
Likwidacja Glassworm zajęła osiem miesięcy przygotowań i jedną sekundę wykonania. To nie był koniec kampanii.
Jak cyberfirmy zabiły Glassworm jednym strzałem
Napisał złośliwe oprogramowanie AI-em. Zapomniał że AI też popełnia błędy.
„Nigdy nieuzasadnione.” Microsoft odpowiada na Chaotic Eclipse. Badacz się nie odzywa.
DAEMON Tools łata dziś wieczorem. CISA domknęła maj jednym wpisem do katalogu.
Szafir mówił „zweryfikowano”. Nikt nie sprawdzał co weryfikował. Co CVE-2026-9058 mówi o e-administracji która jest bezpieczna dopóki ktoś nie sprawdzi
Nie brakuje już podatności. Brakuje ludzi którzy je naprawią. Co raport Glasswing mówi o nowym kształcie problemu
Palo Alto znalazło 75 dziur. Skończyło i zaczęło od nowa. Co update Lee Klarich mówi o tym, że okno właśnie stało się węższe
12 godzin. Co CERT-In mówi o tym, że stare cykle łatania właśnie stały się zobowiązaniem
Nie tajny model tylko plik konfiguracyjny. Co Pentest Agent Suite mówi o tym, gdzie jesteśmy z AI w ofensywnym bezpieczeństwie
OpenAI odpowiada na Mythos. Daybreak nie jest nowym produktem — jest nową filozofią dostępu.
TrapDoor wstrzyknął instrukcje do CLAUDE.md. Trzy rejestry, jeden weekend, nowa klasa ładunku.
Hey Google przy stoliku obok — co audio glasses zarejestrowały o rozmowie której nie były częścią
Model Google, runtime developera, dane między — kto odpowiada za incident w architekturze Antigravity SDK
197 milionów parametrów, zero dodatkowej zgody — co Google zrobił z weights.bin po Gemma 197M
47 sekund, 3 zakupione produkty, 2 utworzone konta, 0 kliknięć użytkownika — anatomia zalogowanego agenta w Chrome 148
14 minut, 28 sekund, zero kliknięć użytkownika. Co kernel macOS zarejestrował o pobraniu Gemini Nano przez Chrome — i co to znaczy dla każdego, kto ufa swojej przeglądarce
WordPress 7.0 wychodzi dziś bez real-time collaboration. Analiza błędu który wypadł w RC.
„To duplikat, już naprawione.” Maintainerzy mieli rację. I przez to nikt nie dostał łatki.
Drupal łata dziś wieczór. Exploity mogą być gotowe w ciągu godzin.
11 minut. Sigstore. GitHub. Nx Console był jednym krokiem od SLSA Level 4.
TeamPCP weszło do GitHub. I tego samego dnia opublikowało kod Shai-Huluda na GitHubie. Pod licencją MIT.
Domena za kilkanaście dolarów, reset hasła przez formularz. node-ipc miał 822 000 tygodniowych pobrań.
Palo Alto znalazło 75 luk własnym AI. Atakujący siedzieli w ich firewallu przez miesiąc.
Q-Day 2029. Google nie ogłosił kiedy nadejdzie. Ogłosił do kiedy trzeba być gotowym.
Exchange dostał zero-day dwa dni po Patch Tuesday. Orange Tsai w tym czasie robił RCE na scenie.
Pwn2Own zabrakło miejsc. 150 badaczy odrzucono. Część opublikowała exploity sami.
OpenClaw dostał dziś cztery nowe CVE. W sumie ma ich 34. Ma pół roku.
Drugi raz w dwa miesiące. Co kompromitacja OpenAI przez TanStack mówi o certyfikatach jako punkcie centralnym
Apple budował MIE przez pięć lat. Mythos z ludźmi złamał go w pięć dni.
Vulnpocalypse. Dlaczego nagle mamy dwie razy więcej podatności — i co z tym zrobić
Palo Alto znalazł 75 dziur. Microsoft 16. Firefox 423. Witaj w vulnpocalypse.
25 000 dolarów za 450 repozytoriów Mistral. Co ogłoszenie TeamPCP domyka w historii która zaczęła się od TanStack
GemStuffer nie zainfekował deweloperów. Użył ich rejestru jako schowka na skradzione dane rządowe.
NGINX Rift: AI znalazł go w sześć godzin. Człowiek nie znalazł przez osiemnaście lat.
„To już tutaj.” Co raport GTIG mówi o tym, że AI zmienia samą klasę błędów które atakujący są w stanie znaleźć
Łatka na Dirty Frag urodziła Fragnesię. Trzeci root w dwa tygodnie.
YellowKey: BitLocker przestał chronić laptopy. Chaotic Eclipse eskaluje.
Zdjęcie profilowe jako exploit. Co nowa podatność w Open WebUI mówi o tym, że maintainerzy zamknęli zgłoszenie bez odpowiedzi
ClaudeBleed: każde rozszerzenie Chrome może przejąć Claude’a. Łatka tego nie naprawiła
SLSA certyfikował złośliwy pakiet. Co atak na TanStack mówi o tym, że mechanizmy ochrony łańcucha dostaw stały się jego słabością
Dirty Frag: dwa błędy, zero wyścigu, root na żądanie. Co CVE-2026-43284 mówi o infrastrukturze AI na Linuksie
Zainfekowany host nie należy do ciebie. Może należeć do TeamPCP. Albo do PCPJack. Co nowy robak chmurowy mówi o tym, że infrastruktura AI stała się walutą na czarnym rynku
Hysteria czy diagnoza? Co miesiąc po Mythos mówi o tym, gdzie naprawdę jesteśmy
Rotacja tokenu nie pomaga. Co Mitiga mówi o trwałym przejęciu MCP w Claude Code
Drugie włamanie do Canvas w osiem miesięcy. Jeden vendor, dziewięć tysięcy szkół, jeden klucz API
Enter. Co TrustFall mówi o tym, że konfiguracja repozytorium stała się warstwą wykonywalną
Claude nie znał protokołów OT. Nie musiał. Co atak na stację wodociągową w Monterrey mówi o tym, jak AI zmienia granicę między IT a infrastrukturą krytyczną
5000 gwiazdek w kilka dni. DeepSeek-TUI to dobra historia i gotowy cel dla Shai-Hulud
llama.cpp: fundament lokalnej infrastruktury AI z pięcioma CVE w pięć miesięcy
Infrastruktura AI jest bardziej podatna niż cokolwiek innego co kiedykolwiek zbadaliśmy. Mamy teraz liczby.
Nie zaatakowali Homebrew. Kupili reklamę nad nim. Co kampania MacSync mówi o granicy zaufania w wyszukiwarce
Rządy sojuszu Five Eyes zauważyły agenty AI. Co dokument „Careful Adoption” mówi — i czego nie mówi
Atakujący zdążyli, zanim łatka wyszła. Co M-Trends 2026 mówi o tym, że kwiecień był normą, nie wyjątkiem
Jeden średnik w git push, miliony repozytoriów w zasięgu. Co CVE-2026-3854 mówi o granicy między danymi użytkownika a metadanymi systemu
Kim jest TeamPCP — i dlaczego to nie jest zwykła grupa hakerów
TeamPCP: 1800 publicznych repozytoriów z wykradzionymi poświadczeniami. Co pełna skala kampanii Mini Shai-Hulud mówi o nowym modelu ataku na łańcuch dostaw
Kod źródłowy Trellix w nieznanych rękach. Dlaczego breach firmy cybersecurity to inny rodzaj breaczu
Nie narzędzie do pokazania — narzędzie do użycia. Dokumentacja techniczna Prompt Injection Skanera, jego ograniczeń i tego co musimy zbudować dalej
PyTorch Lightning CVE-2026-38742: Shai-Hulud przekroczył granicę npm.
Agent miał napisane „NEVER GUESSnever”. Zgadł. Co incydent PocketOS mówi o granicy między autonomią a kontrolą
Cyberflux Radar #1 — kwiecień 2026
Kwiecień 2026: miesiąc w którym infrastruktura AI stała się linią frontu
VECT 2.0 nie szyfruje plików. Niszczy je. Płacenie okupu nic nie zmieni.
Nie nowa klasa ataku, tylko nowy dom. Co CVE-2026-42208 w LiteLLM mówi o tym, że SQL injection trafiło do infrastruktury AI
Nie błąd w kodzie Cursor, tylko agent który nie powinien ufać repozytorium. Co CVE-2026-26268 mówi o tym, że środowisko dewelopera stało się nową powierzchnią ataku
Nie rola dla administratora, tylko rola dla agenta AI. Co błąd Microsoft Entra Agent ID Administrator mówi o tym, że warstwa tożsamości AI dziedziczy stare problemy
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł
Nie włamanie do Vercel, tylko skrypt do Roblox. Co łańcuch Context.ai → OAuth → Vercel mówi o tym, że rozszerzenia przeglądarki stały się nowym wektorem dostępu do infrastruktury firmowej
Nie włamanie przez kod, tylko odgadnięcie URL. Co nieautoryzowany dostęp do Mythos mówi o tym, że ograniczony dostęp to nie to samo co kontrolowany dostęp
Nie koniec kampanii, tylko nowy cel. Co Shai-Hulud i TeamPCP mówią o tym, że narzędzia AI do kodowania stały się nową powierzchnią ataku w łańcuchu dostaw
Nie jeden wyścig, tylko dwa modele tej samej decyzji. Co GPT-5.4-Cyber i Mythos Preview mówią o tym, jak AI staje się infrastrukturą cyberbezpieczeństwa
Nie Marimo, nie SGLang. LMDeploy. Czego trzecia eksploitacja frameworku AI w miesiąc uczy o tym, że infrastruktura wnioskowania stała się nową powierzchnią ataku
Nie złośliwe oprogramowanie, tylko model AI. Co CVE-2026-5760 w SGLang mówi o tym, że plik modelu stał się wektorem ataku
Nie skaner bezpieczeństwa, tylko wektor ataku. Co kampania TeamPCP i Checkmarx mówią o tym, że narzędzia DevSecOps stały się nową powierzchnią ataku
Nie SQL injection, tylko Comment and Control. Co atak na Claude Code, Gemini i Copilot mówi o tym, jak wygląda następna generacja wstrzyknięć
Nie jedna podatność, tylko protest. Co trzy zero-days w Microsoft Defender mówią o tym, jak psuje się relacja między badaczami a vendorami
Marimo: ciąg dalszy. Co zrobili z dostępem atakujący, którzy weszli w niecałe dziesięć godzin
Nie Mythos, tylko Opus. Co exploit Chrome za 2283 dolary mówi o tym, gdzie naprawdę jesteśmy z AI w pisaniu ataków
Nie błąd w implementacji, błąd w projekcie. Co raport OX Security o STDIO w MCP mówi o tym, gdzie naprawdę leży odpowiedzialność za bezpieczeństwo protokołu
Nie tajny model, tylko Claude i 13 lat niewidzialnego błędu. Co CVE-2026-34197 w Apache ActiveMQ mówi o tym, gdzie jesteśmy z AI w szukaniu podatności
Nie sześćdziesiąt siedem błędów, tylko dwa. Czego analityk bezpieczeństwa szuka w Patch Tuesday za kwiecień 2026
Nie brakuje łatek, brakuje mapy. Co decyzja NIST o ograniczeniu bazy NVD mówi o tym, że model zarządzania podatnościami właśnie się złamał
Nie wyciek, tylko popularność. Jak Claude stał się wabikiem dla PlugX i dlaczego to nie zaskoczy nikogo kto śledzi ten wzór
Nie system operacyjny, tylko platforma aplikacyjna. Ale to ta sama historia. Co tydzień ataków na ekosystem WordPress mówi o naturze infrastruktury, której nikt tak nie nazywa
Nie tylko nowa wersja, ale nowa powierzchnia ataku. Co WordPress 7.0 i natywne MCP oznaczają dla bezpieczeństwa 40% sieci
WordPress 7.0: dlaczego nie wyszedł 9 kwietnia, co wprowadza i dlaczego opóźnienie to dobry znak
Dwa narzędzia, dwa ataki, ten sam wniosek. Dlaczego okno na załatanie podatności przestało istnieć
Nie zero-day, tylko sześć miesięcy zaległości. Co Flowise CVE-2025-59528 mówi o tym, jak traktujemy bezpieczeństwo narzędzi do budowania agentów
Nie dostaniesz alertu. Co robić gdy kompromitacja konta odkrywa się z opóźnieniem
Nie złamali podpisanych plików. Podmienili link. Czego atak na CPUID uczy o granicy zaufania w łańcuchu dystrybucji
Nie kod exploita, tylko opis podatności. Czego Marimo CVE-2026-39987 uczy o tym, ile czasu naprawdę masz na załatanie podatności
Nie narzędzie do ataków, tylko model, który się nauczył. Co wyłonienie zdolności exploitowych w Mythos Preview mówi o tym, dokąd zmierza cyberbezpieczeństwo
Nie atak na użytkownika, tylko na moment jego interakcji. Czego GrafanaGhost uczy o stored prompt injection
Nie exploit, tylko jedno żądanie. Co CVE-2026-34040 mówi o agentach, które umieją obchodzić ograniczenia
Nie nowe ataki, nowy wektor dostarczenia. Czego pierwsze CVE w ekosystemie MCP uczą o tym, czym naprawdę jest ten protokół
Nie brakuje łatki, brakuje założenia. Co CVE-2026-32211 mówi o tym, jak MCP projektuje zaufanie
Agent nie odwiedza już tylko webu. Web zaczyna atakować agenta
Nie wyciekł model, tylko zaczął żyć wabik. Jak ujawnienie kodu Claude Code przeszło w malware na GitHubie
Nie wyciek danych, tylko instrukcja działania. Co ujawnienie kodu Claude Code mówi o ryzyku agentów
Przeglądarka nadal jest polem walki. Chrome i czwarty zero-day 2026
Nie świadomość, tylko sprawczość. Co Vertex AI pokazuje o naturze agentów
Marzec 2026 na Cyberflux.pl: Miesiąc w którym granica przestała być granicą
Nowa tożsamość uprzywilejowana. Dlaczego agent AI staje się problemem IAM
Moltbook i chaos agentów. Co się dzieje, gdy agentów jest więcej niż nadzoru
Przeglądarka jako warstwa wykonania. Co ShadowPrompt mówi o agentach AI
Sekrety jako paliwo wykonania. Jak chaos uwierzytelnienia łączy się z agentami AI
Kiedy Intune staje się polem walki. Co incydent Stryker mówi o zaufaniu do endpoint management
Nie główny system, tylko partner od świadczeń. Co case HackerOne mówi o rozszerzonej granicy zaufania
Nie repozytorium, tylko ekosystem. Tak wygląda nowy atak na open source
Nie główna platforma, tylko zaplecze obsługi. Czego case Crunchyroll uczy o zaufaniu do partnerów zewnętrznych
AI jako nowy interfejs wpływu
Legit channel, malicious intent. Jak zaufane interfejsy stają się wektorem ataku
Legit channel, malicious intent. Azure Monitor jako nośnik phishingu
Contagious Interview w CI/CD. Czego incydent Trivy uczy o zaufaniu do automatyzacji
„Nie prompt injection, tylko permission injection?” — czego Bedrock uczy o agentach AI
OpenClaw ciąg dalszy – ESET pogłębia analizę zagrożeń agentów AI
Prompt injection bez AI? Co łączy Contagious Interview i ataki na agentów AI
Contagious Interview — kiedy rekrutacja staje się powierzchnią ataku
„Claudy Day” i nowa lekcja o prompt injection. Problem nie leży już w samym poleceniu, ale w architekturze agenta
Załatane za późno? CISA potwierdza ataki wykorzystujące krytyczny błąd w SharePoint
Teams jako nowy helpdesk dla przestępców — jak legalne narzędzia i zaufane interfejsy stają się wektorem ataku
Który rząd, kiedy i za jaką cenę
Prompt injection po erze prostych analogii. Prawdziwy problem zaczyna się tam, gdzie agent może działać
WordPress 6.9.4 – dlaczego po jednej poprawce bezpieczeństwa pojawiły się trzy szybkie wydania
OpenClaw i nowy model cyberataków na agentów AI
Handala Hack – jak działa grupa stojąca za cyberatakami na firmy i instytucje
AI jako nowy insider. Gdy agent zaczyna hakować system, w którym pracuje
Cyberatak na firmę medyczną Stryker. Gdy cyberwojna uderza w sektor ochrony zdrowia
Cyberatak na Narodowe Centrum Badań Jądrowych. Co pokazuje ten incydent o bezpieczeństwie instytucji badawczych
Masz starszego iPhone’a? Apple właśnie załatało luki wykorzystywane w realnych atakach
Fake CAPTCHA wraca w Polsce. Jedno kliknięcie może otworzyć drogę do infekcji całej firmy
CERT Polska ostrzega: rośnie liczba ataków na konta administratorów w usługach chmurowych
Jak jedna luka w pluginie WordPress pozwala przejąć tysiące stron
Android, AI i nowa generacja oszustw. Zagrożenia stają się sprytniejsze, nie tylko głośniejsze
Przeglądarka pod ostrzałem. Dlaczego luka w Chrome znów pokazuje, jak krucha bywa warstwa webowa
ARIA jako wektor ataku na agentów AI. Czy OpenAI Atlas jest na to gotowy?
Ransomware oparte na AI – przełom, który już się wydarzył. Co oznacza odkrycie ESET sprzed kilku miesięcy?
Więcej o: Supply Chain Attack
Zobacz wszystkie →
04.05.2026
Kim jest TeamPCP — i dlaczego to nie jest zwykła grupa hakerów
critical
04.05.2026
TeamPCP: 1800 publicznych repozytoriów z wykradzionymi poświadczeniami. Co pełna skala kampanii Mini Shai-Hulud mówi o nowym modelu ataku na łańcuch dostaw
critical
CVE-2026-38742
01.05.2026
PyTorch Lightning CVE-2026-38742: Shai-Hulud przekroczył granicę npm.
high
27.04.2026
Nie włamanie do Vercel, tylko skrypt do Roblox. Co łańcuch Context.ai → OAuth → Vercel mówi o tym, że rozszerzenia przeglądarki stały się nowym wektorem dostępu do infrastruktury firmowej
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł