Raport z miesiąca który zaczął się od "za kilka miesięcy" i skończył się na "w ciągu tygodni."
Liczba która opisuje maj lepiej niż wszystkie inne
7 tygodni.
Tyle czasu minęło między ogłoszeniem Mythos Preview a ogłoszeniem że Mythos trafi do wszystkich klientów Anthropic. Alex Stamos mówił sześć miesięcy. Palo Alto Networks szacowało trzy do pięciu. Rzeczywistość zajęła siedem tygodni.
To nie jest szczegół techniczny. To jest miara tempa w którym cały maj przebiegał.
Dwie strony tej samej zmiany
11 maja GTIG opublikował raport który opisywał coś o czym branża mówiła jako o przyszłości przez dwa lata: pierwszy udokumentowany AI zero-day w rękach atakujących. Nie w laboratorium, nie w badaniu akademickim — w planowanej masowej kampanii. Model czytał intencję dewelopera, znajdował sprzeczność w logice uwierzytelnienia, budował exploit.
Trzy dni wcześniej AI autonomicznie znalazł osiemnastoletni błąd w nginx w sześć godzin. Tydzień wcześniej Mythos z trzema badaczami złamał Apple MIE w pięć dni — zabezpieczenie które Apple budowało przez pięć lat. Przez cały miesiąc Glasswing znajdowało podatności w tempie które skończyło się na ponad 10 000 wysokiego lub krytycznego poziomu.
Dwie strony tej samej technologii, ten sam tydzień, te same możliwości. Illumio's CEO ujął to wprost: AI eradicated the lag between vulnerability discovery and exploitation. Obrońcy i atakujący poruszają się teraz z prędkością maszyny.
Glassworm jako ukryte tło całego miesiąca
26 maja CrowdStrike, Google i Shadowserver Foundation zamknęły cztery kanały C2 botnetu Glassworm jednocześnie— Solana blockchain, BitTorrent DHT, Google Calendar, serwery VPS — o godzinie 14:00:00 UTC. Jedna sekunda, osiem miesięcy przygotowań.
To co takedown ujawnił: Glassworm działał przynajmniej od października 2025, systematycznie kompromitując deweloperów przez każdy kanał którym dystrybuują oprogramowanie. Przez cały maj cyberflux opisywał kolejne incydenty supply chain — TanStack z SLSA Level 3 certyfikującym złośliwy pakiet, Nx Console 11 minut na VS Code Marketplace, GitHub breach przez rozszerzenie VS Code — nie wiedząc że Glassworm był tłem dla wszystkich.
Maj nie był miesiącem supply chain. Był miesiącem w którym supply chain okazał się wierzchołkiem operacji która trwała od ośmiu miesięcy.
TeamPCP: od kampanii do platformy
Pisaliśmy o TeamPCP przez cały miesiąc — Checkmarx KICS, Bitwarden CLI, PyTorch Lightning na PyPI, 1800 deweloperów przez pięć ekosystemów jednocześnie, TanStack z pierwszym złośliwym pakietem z ważną proweniencją SLSA, Mistral i OpenAI przez ten sam łańcuch, GitHub breach jako finał.
Każdy atak otwierał drzwi do następnego. Endor Labs opisał to w jednym zdaniu przy TanStack: "Each attack yielded credentials that unlocked the next target." TeamPCP nie jest grupą hakerów. Jest modelem operacyjnym: automatyczne generowanie dostępu, monetyzacja przez partnerstwa, decentralizowana infrastruktura. Ten model przeżyje każdą próbę neutralizacji bo nie zależy od konkretnych osób ani konkretnej infrastruktury.
Vulnpocalypse: odkrywanie oderwało się od naprawiania
Palo Alto Networks znalazło 75 luk w pięć tygodni. Microsoft MDASH — 16 w jeden Patch Tuesday. Mozilla — 423 poprawki Firefox w jednym cyklu. Lee Klarich z Palo Alto powiedział że reskanują wszystko od nowa bo modele są lepsze niż sądzili — i że mają trzy do pięciu miesięcy zanim te same zdolności trafią do atakujących.
NIST w kwietniu przyznał że nie nadąża z bazą NVD. Mandiant w M-Trends 2026 dokumentował ujemną medianę time-to-exploit. CERT-In wprowadził 12-godzinne okno łatania jako regulacyjną odpowiedź. IBM i Red Hat ogłosili Project Lightwell — pięć miliardów dolarów na industrializację łatania.
Asymetria jest prosta: AI przyspiesza odkrywanie dramatycznie. Naprawianie pozostaje ograniczone przez ludzi, procesy i organizacyjną inercję. Vulnpocalypse to nie jest nazwa dla jednego miesiąca. To jest nazwa dla strukturalnej zmiany która będzie się pogłębiać.
Infrastruktura AI jako nowa linia frontu
Maj kontynuował to co kwiecień zaczął — Marimo 9h 41min, LMDeploy 12h, LiteLLM 36h — ale z nowymi warstwami.
ClawdBot / Moltbot / OpenClaw z 34 CVE w pół roku i 245 000 wystawionych instancji. llama.cpp z pięcioma CVE w pięć miesięcy — fundament który napędza Ollama, LM Studio i dziesiątki innych narzędzi. Bleeding Llama CVSS 9.8bez uwierzytelnienia.
TrustFall, Mitiga, ClaudeBleed, Open WebUI przez zdjęcie profilowe. Każdy z tych wpisów opisuje narzędzia AI jako powierzchnię ataku — nie infrastrukturę wspierającą ataki, ale cel sam w sobie.
Malware-Slop celujący w katalog /mnt/user-data Claude — pierwszy znany pakiet npm zaprojektowany specyficznie do kradzieży plików z przestrzeni roboczej asystenta AI — zamknął maj jako miesiąc w którym atakujący nauczyli się celować nie w użytkownika AI ale w dane którymi AI zarządza.
Kernelowa seria której nikt nie powiązał wprost
Copy Fail — 29 kwietnia. Dirty Frag — 7 maja, aktywna eksploitacja potwierdzona przez Microsoft. Fragnesia — 13 maja, efekt uboczny łatki na Dirty Frag. DirtyDecrypt — 18 maja, cicho naprawiony 25 kwietnia bez CVE, PoC opublikowany trzy tygodnie później.
Cztery podatności tej samej klasy — brakujący COW guard w różnych subsystemach sieciowych kernela — w ciągu trzech tygodni. Każda kolejna znajdowana przez szukanie tego samego wzorca w sąsiednich subsystemach. Dla infrastruktury AI na Linuksie — serwery wnioskowania, węzły GPU, Ollama — każda z nich była potencjalnym drugim krokiem po uzyskaniu nieuprzywilejowanego dostępu przez framework AI.
Polska e-administracja i to co odkryliśmy przy okazji
CVE-2026-9058 w bibliotece Szafir SDK — silniku weryfikacji kwalifikowanych podpisów elektronicznych używanym przez e-ZUS, e-Sąd i systemy e-Zdrowia. Biblioteka zwracała "zweryfikowano" dla certyfikatów z nieokreślonym statusem zaufania. 113 dni od zgłoszenia do łatki.
Przy okazji Roundcube opisaliśmy mechanizm złośliwego Service Workera zaobserwowany w 2025 roku — wiadomość która instaluje trwały interceptor w przeglądarce, wylogowuje ofiarę z aktywnej sesji i przechwytuje hasło które wpisuje żeby się zalogować z powrotem.
Co zapamiętać z maja
Maj 2026 przyniósł kilka obserwacji które będą aktualne przez następne miesiące niezależnie od tego co się wydarzy w czerwcu.
AI nie tworzy nowych technik ataku — ale widzi błędy których narzędzia statyczne nie widzą. Lee Klarich z Palo Alto: "So far, frontier AI models only find new attacks, not new attack techniques." To jest ograniczona dobra wiadomość. Obrońcy mogą budować ochronę przed znane klasy ataków. Problem polega na tym że AI widzi błędy logiczne i semantyczne — rozbieżności między intencją a implementacją — których tradycyjne skanery strukturalnie nie widzą. To jest klasa luk która przez dekady była praktycznie niewidoczna.
Łańcuch dostaw to nie wektor ataku — to infrastruktura. Przez cały miesiąc każdy atak supply chain był opisywany jako osobny incydent. Glassworm takedown pokazał że część z nich była elementami jednej operacji. Za miesiąc odkryjemy prawdopodobnie że część tego co opisujemy w czerwcu ma tło w operacjach które zaczęły się w maju. Tak działa infrastruktura przestępcza.
Okno nie jest trzy do pięciu miesięcy. Jest tygodniami. Mythos: siedem tygodni. GTIG: AI zero-day jest już. Pentest Agent Suite: plik CLAUDE.md i klucz API. Różnica między zdolnościami dostępnymi dla nielicznych a zdolnościami dostępnymi dla wszystkich zamknęła się w maju szybciej niż ktokolwiek prognozował.
Czerwiec zaczyna się jutro
Wszystkie wpisy majowe: Glassworm infrastruktura i takedown · GitHub breach przez Nx Console · Malware-Slop · Anthropic Opus 4.8 i Mythos dla wszystkich · CISA KEV — DAEMON Tools, TanStack, Nx Console · Glasswing 10 000 podatności · Palo Alto update Mythos · Service Worker i phishing · Roundcube UNC1151 · Szafir CVE-2026-9058 · TrapDoor CLAUDE.md · OpenAI Daybreak · Pentest Agent Suite · CERT-In 12 godzin · IBM Project Lightwell · DirtyDecrypt duplikat · Fragnesia · Dirty Frag · PCPJack · Pwn2Own Berlin · Apple MIE Mythos · OpenAI przez TanStack · SLSA TanStack · Mistral repozytoria · GemStuffer · node-ipc · PAN-OS CVE-2026-0300 · NGINX Rift · GTIG pierwszy AI zero-day · Vulnpocalypse · Apple MIE Mythos · Hysteria czy diagnoza · Mitiga MCP token · TrustFall· Monterrey OT · OpenClaw 4 CVE
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł