Czerwiec: miesiąc, w którym rząd spróbował wyłączyć zdolność — i pokazał, że się nie da
To nie jest podsumowanie miesiąca. To analiza kierunku — gdzie byliśmy w marcu, gdzie teraz, i na co szykować się w lipcu. Radar #2 postawił cztery projekcje na czerwiec. Trzy się sprawdziły, jedna częściowo. Czerwiec dołożył do trajektorii ostatni element: zdolności ofensywnego AI nie da się cofnąć rozkazem, a łańcuch dostaw przestał być wektorem — stał się terenem.
Cztery miesiące, jedna linia
Każdy miesiąc miał własną tezę. Czytane razem nie są czterema obserwacjami — są jedną linią, która z każdym miesiącem przyspiesza. Marzec pytał „czy to złośliwe". Czerwiec pyta „czy w ogóle mamy jeszcze kontrolę nad dostępem".
- Legalny kanał, złośliwa intencjaTEAMS · AZURE MONITOR
- Zaufanie jako wektorTEAMPCP · TRIVY
- Agent jako nowa tożsamość IAMPERMISSION INJECTION
- 87% wdrożeń AI poza pilotażemBADANIE PROOFPOINT
- Okna eksploitacji w godzinachMARIMO 9H · LMDEPLOY 12H
- Mythos Preview — zdolności exploitoweGLASSWING START
- Pierwszy AI zero-day w realnym atakuRAPORT GTIG
- Mythos „dla wszystkich" w 7 tygodniSTAMOS MÓWIŁ 6 MIES.
- Glassworm: 8 miesięcy ukrytego tłaTAKEDOWN 26.05
- Rząd wyłączył Fable 5 — Azja odpowiedziała12.06 → 01.07
- Cztery warstwy jednego ataku supply chainMIASMA · CORDYCEPS · KLUE
- Five Eyes: „miesiące, nie lata"22.06 · POTWIERDZENIE
Rząd USA zrobił najprostszą rzecz, jaką państwo może zrobić z niebezpieczną technologią — kazał ją wyłączyć. W dwa tygodnie okazało się, że zdolność wyciekła już dawno: Azja pokazała trzy niezależne drogi, którymi ta sama moc jest dostępna, tańsza i otwarta.
Kwiecień pokazał, że infrastruktura AI jest celem. Maj — że AI jest po obu stronach. Czerwiec domknął łuk: najrzadszym zasobem w tym wyścigu przestała być moc obliczeniowa. Stało się nim pozwolenie — a pozwolenia nie da się wyeksportować z powrotem do magazynu.
Sześć liczb, które definiują czerwiec
Cztery projekcje z Radaru #2 — co się sprawdziło
Radar wskazuje kierunek, a potem się z niego rozlicza. To jedyny sposób, żeby projekcja znaczyła więcej niż wróżenie. Oto cztery pozycje, które postawiliśmy miesiąc temu na czerwiec.
Trzy wątki, które definiują punkt zwrotny
Radar #2 rozwijał analizy w kartach. Tu robimy to samo dla trzech osi czerwca: sagi o dostępie do modeli, dominacji łańcucha dostaw i wzorca, który powtarzał się przez cały miesiąc.
Rząd pokazał, że potrafi wyłączyć frontier model z dnia na dzień. I że to nie wystarcza.
12 czerwca o 17:21 czasu waszyngtońskiego Departament Handlu nakazał Anthropic zawiesić dostęp do Fable 5 i Mythos 5 dla wszystkich obcokrajowców. Firma dostała 90 minut i, nie mogąc weryfikować narodowości w czasie rzeczywistym, wyłączyła oba modele globalnie. Wyzwalaczem był jailbreak znaleziony przez badaczy Amazona — który skłonił Fable 5 do wskazania luk i, w jednym przypadku, napisania kodu pokazującego, jak je wykorzystać.
Saga zamknęła się 1 lipca: Departament Handlu zniósł kontrolę, Fable 5 wrócił globalnie, Anthropic zgodził się proaktywnie wykrywać ryzyka, współpracować przy standardach i raportować nadużycia. Dziewiętnaście dni od wyłączenia do przywrócenia.
„Gdy Waszyngton chce działać szybko wobec frontier modelu, wciąż nie ma wiążącego procesu — tylko improwizowane." To jest sedno. Executive Order z 2 czerwca stworzył dobrowolną ścieżkę recenzji modeli przed premierą — ale Fable nigdy przez nią nie przeszedł. Rząd sięgnął po kontrolę eksportową jak po awaryjny wyłącznik.
I tu jest kontrapunkt, który czerwiec dopisał sam. W tym samym tygodniu, gdy Fable wracał, Anthropic wypuścił Sonnet 5 — model bliski Opusowi w kodowaniu i agentyce, a jednocześnie trzymany na zerze w budowaniu działających exploitów. To nie przypadek: firma dawkuje zdolność cyber, alokuje ją tylko do modeli trzymanych pod kontrolą. Zdolności da się zamknąć — ale to działa tylko po jednej stronie oceanu.
Sonnet 5: bliski Opusowi w agentyce, 0.0% działających exploitów w teście Firefox 147. Zdolność cyber to osobny wybór inwestycyjny, nie darmowy efekt inteligencji.
GLM-5.2 (Zhipu, open-weight): ta sama klasa wykrywania luk za ~1/6 kosztu Claude'a, do pobrania przez każdego. Sakana Fugu i Qihoo 360 dokładają orkiestrację i państwowy „rój".
Cztery warstwy, jeden atak. Za każdym razem wchodzą przez zaufanie zamienione w automat.
Czerwiec nie potrzebował statystyki, żeby pokazać, że łańcuch dostaw jest osią zagrożeń. Wystarczyła seria — i to, że każdy incydent atakował inną warstwę tego samego mechanizmu.
Miasma (1 czerwca) — robak w namespace Red Hata na npm, wariant Shai-Huluda kradnący poświadczenia i sekrety chmurowe. Wektor: jedno przejęte konto pracownika. Sedno: to fork kodu, który TeamPCP upublicznił miesiąc wcześniej — już nie operacja, ale wzorzec dla każdego naśladowcy.
Cordyceps (23 czerwca) — klasa luk w workflow CI/CD, które uruchamiają się z pełnymi sekretami repozytorium, nawet gdy odpala je pull request anonima. Ponad 300 repozytoriów Microsoftu, Google'a, Apache i Cloudflare w pełni przejmowalnych. Luka „istnieje tylko w kompozycji — gdy niezaufane dane przekraczają granicę zaufania, której nikt nie audytował".
brand-landingpage — fałszywy „skill" AI, który przeszedł skanery Cisco i NVIDII (bo w chwili skanu wskazywał na prawdziwą stronę), a po instalacji u 26 000 agentów podmienił treść na polecenie wykonania kodu. Skan to migawka; skill zmienia zachowanie po tym, jak zaufanie zostało przyznane.
Klue / Icarus — grupa weszła do platformy market intelligence przez poświadczenie z 2022 roku, zapomniane po porzuconym prototypie i nigdy nieodwołane. Wykradła tokeny OAuth i opróżniła CRM-y firm, które zawodowo chronią innych: Huntress, Recorded Future, Tanium, Snyk. A gdy Klue zapłacił okup — dane i tak wyciekły do drugiej grupy.
To już nie jest jeden ze sposobów, w jaki się włamują. To jest teren. Namespace, token, workflow, integracja — za każdym razem punktem wejścia było zaufanie, które ktoś wcześniej zamienił w automat.
Agent AI traktuje niezaufaną treść jako instrukcję. Zabezpieczenia promptowe nie pomagają.
Pod dwiema głównymi osiami przewijał się przez czerwiec jeden mechanizm, tak uporczywie, że warto go nazwać wprost. Agentjacking — zatruty raport błędu skłania Claude Code, Cursor i Codex do wykonania cudzego kodu; „łańcuch autoryzowanych intencji", w którym każdy krok jest legalny, więc żaden system obronny nic nie widzi. Gaslight — malware wstrzykuje 38 fałszywych komunikatów „systemowych", żeby przekonać analityka AI, że jego sesja się sypie. AutoJack — jedna strona WWW przejmuje agenta przeglądającego, bo dla niego localhost przestał być granicą zaufania.
Najważniejsza obserwacja z czerwca: w testach Agentjacking zabezpieczenia wpisane w prompt nie zadziałały. Agenty wykonywały ładunek nawet wtedy, gdy instrukcja systemowa kazała im ignorować niezaufane dane. To granica, o którą rozbija się nadzieja, że AI da się okiełznać kolejnym, mądrzejszym promptem.
Jedyną twardą barierą jest to, czego agent nie może zrobić, bo nie ma uprawnień — nie to, co obiecał, że zrobi. Nie przypadkiem to właśnie w czerwcu OWASP uznał, że bezpieczeństwo i safety agentów AI to już jedno i to samo.
Ten wzorzec zasila naszą bazę wzorców prompt injection — po dodaniu Gaslighta liczy 46 wzorców w 6 kategoriach, a kategoria „pośrednia injekcja" urosła do dziesięciu. Gaslight jest w niej pierwszym wzorcem, którego celem nie jest skłonić model, by coś zrobił — lecz by przestał.
Na co szykować się w lipcu
Projekcja nie jest prognozą pewną — jest oceną kierunku, w którym wskazują dane z czterech miesięcy. Każda pozycja ma oznaczony poziom pewności redakcyjnej. W lipcu rozliczymy się i z tych.
Supply chain jako trwałe plateau, nie fala
Cztery warstwy w jednym miesiącu to nie szczyt — to nowy poziom bazowy. W lipcu: kolejne warianty rodziny Shai-Hulud (Miasma migrowała już na ekosystem Go), następcy brand-landingpage w marketplace'ach skilli, kolejne breache przez OAuth i dostawców SaaS w stylu Klue. To już odnotowywanie, nie odkrycie — mechanizm strukturalny pozostaje nienaprawiony.
KSC2: polskie firmy w szczycie okna przygotowań
Nowelizacja obowiązuje od 3 kwietnia; wpis do wykazu KSC do 3 października; pełne wdrożenie SZBI do 3 kwietnia 2027. W lipcu podmioty kluczowe i ważne są w środku samoidentyfikacji i budowy dokumentacji — z dwoma nowymi ostrzami: osobistą odpowiedzialnością zarządów i instrumentem Dostawcy Wysokiego Ryzyka, który spina KSC2 wprost z wątkiem łańcucha dostaw. To kalendarz ustawowy, nie prognoza.
Agent jako niezaufany wykonawca — od incydentu do klasy uznanej
OWASP nazwał to wprost, Agentjacking pokazał, że prompt nie chroni. W lipcu spodziewaj się pierwszych branżowych ram dla bezpieczeństwa agentów i kolejnych wariantów „niezaufana treść jako instrukcja". Gaslight — malware celujący w analityka AI — to prawdopodobnie początek serii, nie jednorazówka: ktoś już liczy porażki i iteruje.
Po Fable 5: nie „czy wróci", lecz jaki precedens został
Saga zamknięta, ale precedens trwa: państwo pokazało, że potrafi wyłączyć frontier model improwizowanym narzędziem, bez wiążącego procesu. Mythos 5 pozostaje pod ściślejszą kontrolą (Glasswing urósł do 200+ organizacji). W lipcu: dalsze cofanie kontroli po stronie USA, ale utrwalenie trwałego podziału świata — kto ma dostęp do frontier, kto do open-weight. Tempo polityczne pozostaje nieprzewidywalne.
KSC2: zegar, którego nie pokaże żaden globalny serwis
Radar #2 opisywał polską „drugą prędkość" jako lukę techniczną — Szafir, STER, szablon, hasło w kodzie. Czerwiec dołożył do tego drugą warstwę: presję regulacyjną. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (wdrożenie NIS2) obowiązuje od 3 kwietnia, a w lipcu tysiące polskich firm z sektorów kluczowych i ważnych są w środku okna przygotowań przed pierwszym twardym terminem.
Dwa nowe ostrza spinają KSC2 wprost z naszą dominantą miesiąca. Osobista odpowiedzialność kierownictwa — za brak nadzoru nad procedurami zarząd może dostać karę i zakaz pełnienia funkcji. I Dostawca Wysokiego Ryzyka — minister może w drodze decyzji nakazać wycofanie sprzętu lub oprogramowania konkretnego dostawcy. To jest państwowa odpowiedź na dokładnie ten problem, który opisujemy cały miesiąc: ryzyko idzie przez dostawcę.
Koordynacje CERT Polska — czerwiec
| Oprogramowanie | CVE | Typ | Sev |
|---|---|---|---|
| Wirtualna Uczelnia (Simple) | CVE-2026-34906 | Server-Side Template Injection → RCE bez uwierzytelnienia; ~150 uczelni. Zgłoszenie: VIPentest | CRIT |
| Wirtualna Uczelnia (Simple) | CVE-2026-34907 | Reflected XSS przez parametr locale | MED |
| KS-SOMED (KAMSOFT) | CVE-2026-42251 | Zakodowane na stałe poświadczenia w systemie medycznym | HIGH |
Na lipiec — sześć ruchów, które naprawdę działają
pull_request_target i workflow_run, przypinaj akcje do SHA, ogranicz uprawnienia tokenów. Cordyceps to wzorzec kompozycji — nie zniknie po jednej łatce.Trzy miesiące temu pytaliśmy: czy to jest złośliwe. Dwa temu: komu przyznaliśmy zaufanie. W czerwcu: czy w ogóle mamy jeszcze kontrolę nad tym, kto ma dostęp do najpotężniejszych narzędzi.
Odpowiedź, jakiej udzielił ten miesiąc, jest niewygodna. Nad zdolnością kontroli nie mamy — wyciekła, jest tańsza i otwarta, a udawanie, że wystarczy ją wyłączyć, kosztowało dziewiętnaście dni i oddało przewagę konkurencji. Nad dostępem — owszem, ale tylko u siebie: Zachód potrafi dawkować zdolność w Sonnecie 5, podczas gdy Wschód rozdaje ją w GLM-ie za darmo.
Najtrwalszy obraz czerwca to nie blokada Fable 5 ani chiński model za jedną szóstą ceny. To klucz z 2022 roku, zapomniany w porzuconym prototypie, przez który wyciekły dane firm chroniących innych. Zdolności po drugiej stronie nie kontrolujemy — ale ten klucz był nasz. I to jest lekcja na lipiec: gdy nie możesz zamknąć tego, co potrafi przeciwnik, zamknij to, co sam zostawiłeś otwarte.



































































































































































































Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł