Cyberflux Radar #3 – czerwiec 2026

lip 1, 2026 | Cyberflux

CYBERFLUX RADAR // WYDANIE #3
SYGNAŁ: KRYTYCZNY TREND: PLATO WYSOKIE OKRES: III–VI 2026
Analiza trajektorii // czerwiec 2026 // co przewidzieliśmy, co zaszło, co dalej

Czerwiec: miesiąc, w którym rząd spróbował wyłączyć zdolność — i pokazał, że się nie da

To nie jest podsumowanie miesiąca. To analiza kierunku — gdzie byliśmy w marcu, gdzie teraz, i na co szykować się w lipcu. Radar #2 postawił cztery projekcje na czerwiec. Trzy się sprawdziły, jedna częściowo. Czerwiec dołożył do trajektorii ostatni element: zdolności ofensywnego AI nie da się cofnąć rozkazem, a łańcuch dostaw przestał być wektorem — stał się terenem.

SYGNAŁ MIESIĄCA: KRYTYCZNY DOMINANTA: ŁAŃCUCH DOSTAW POLSKI WEKTOR: KSC2 — ZEGAR TYKA SAGA FABLE 5: ZAMKNIĘTA (12.06→01.07)
01 // TRAJEKTORIA

Cztery miesiące, jedna linia

Każdy miesiąc miał własną tezę. Czytane razem nie są czterema obserwacjami — są jedną linią, która z każdym miesiącem przyspiesza. Marzec pytał „czy to złośliwe". Czerwiec pyta „czy w ogóle mamy jeszcze kontrolę nad dostępem".

Marzec 2026
Granica między legalnym a złośliwym przestała być punktem odniesienia.
  • Legalny kanał, złośliwa intencjaTEAMS · AZURE MONITOR
  • Zaufanie jako wektorTEAMPCP · TRIVY
  • Agent jako nowa tożsamość IAMPERMISSION INJECTION
Kwiecień 2026
Infrastruktura AI stała się linią frontu.
  • 87% wdrożeń AI poza pilotażemBADANIE PROOFPOINT
  • Okna eksploitacji w godzinachMARIMO 9H · LMDEPLOY 12H
  • Mythos Preview — zdolności exploitoweGLASSWING START
Maj 2026
AI przestało być prognozą. Po obu stronach naraz.
  • Pierwszy AI zero-day w realnym atakuRAPORT GTIG
  • Mythos „dla wszystkich" w 7 tygodniSTAMOS MÓWIŁ 6 MIES.
  • Glassworm: 8 miesięcy ukrytego tłaTAKEDOWN 26.05
Czerwiec 2026 — TERAZ
Zdolności nie da się zamknąć. Łańcuch dostaw stał się terenem.
  • Rząd wyłączył Fable 5 — Azja odpowiedziała12.06 → 01.07
  • Cztery warstwy jednego ataku supply chainMIASMA · CORDYCEPS · KLUE
  • Five Eyes: „miesiące, nie lata"22.06 · POTWIERDZENIE
▌ Teza miesiąca

Rząd USA zrobił najprostszą rzecz, jaką państwo może zrobić z niebezpieczną technologią — kazał ją wyłączyć. W dwa tygodnie okazało się, że zdolność wyciekła już dawno: Azja pokazała trzy niezależne drogi, którymi ta sama moc jest dostępna, tańsza i otwarta.

Kwiecień pokazał, że infrastruktura AI jest celem. Maj — że AI jest po obu stronach. Czerwiec domknął łuk: najrzadszym zasobem w tym wyścigu przestała być moc obliczeniowa. Stało się nim pozwolenie — a pozwolenia nie da się wyeksportować z powrotem do magazynu.

02 // LICZBY PUNKTU ZWROTNEGO

Sześć liczb, które definiują czerwiec

90 min
tyle Anthropic miał na wyłączenie Fable 5 i Mythos 5 po dyrektywie z 12 czerwca — wybrał globalne wyłączenie obu
19 dni
cała saga: od blokady eksportowej (12.06) do przywrócenia Fable 5 na całym świecie (01.07)
~1/6
kosztu Claude'a, za jaki chiński open-weight GLM-5.2 wykrywał tę samą klasę podatności — i wygrywał w teście
29 lat
tyle przeleżał w kodzie serwera Squid błąd, który model Mythos znalazł w niemal sekundę
300+
repozytoriów najważniejszych firm świata w pełni przejmowalnych przez jedną klasę luki CI/CD (Cordyceps)
3 paź
termin samoidentyfikacji i wpisu do wykazu KSC dla polskich firm — w lipcu są w środku okna
03 // ROZLICZENIE

Cztery projekcje z Radaru #2 — co się sprawdziło

Radar wskazuje kierunek, a potem się z niego rozlicza. To jedyny sposób, żeby projekcja znaczyła więcej niż wróżenie. Oto cztery pozycje, które postawiliśmy miesiąc temu na czerwiec.

TRAFIONE +
Mythos-class modele trafiają do szerokiego dostępu „w ciągu tygodni"Fable 5 trafił do publicznego użytku 9 czerwca — dokładnie jak zapowiadaliśmy. Z dramatycznym zwrotem, którego nie przewidzieliśmy: trzy dni później rząd kazał go wyłączyć.
było: WYSOKA
TRAFIONE
Następna iteracja kampanii supply chainMiasma (1 czerwca, namespace Red Hata) otworzyła miesiąc, a po niej przyszła cała seria — Cordyceps, brand-landingpage, Klue. Wzorzec nie tylko wrócił; stał się dominantą.
było: ŚR-WYS
TRAFIONE
Bugmageddon: rozjazd odkrywania i naprawianiaSquid — 29 lat. Redis — 2 lata. Chrome — 429 łatek w jednym wydaniu. Znajdowanie luk przestało być wąskim gardłem; naprawianie nie nadąża.
było: WYSOKA
CZĘŚCIOWO
Pliki konfiguracyjne AI jako stały wektorKierunek dobry, konkret się przesunął. Wzorzec „niezaufana treść jako instrukcja" wyszedł poza pliki (.mcp.json) na szersze pole: agent-skills (brand-landingpage) i workflow CI/CD (Cordyceps). Skala większa, niż zakładaliśmy.
było: ŚREDNIA
04 // ANALIZY ROZWINIĘTE

Trzy wątki, które definiują punkt zwrotny

Radar #2 rozwijał analizy w kartach. Tu robimy to samo dla trzech osi czerwca: sagi o dostępie do modeli, dominacji łańcucha dostaw i wzorca, który powtarzał się przez cały miesiąc.

Analiza I — Saga Fable 5

Rząd pokazał, że potrafi wyłączyć frontier model z dnia na dzień. I że to nie wystarcza.

12 czerwca o 17:21 czasu waszyngtońskiego Departament Handlu nakazał Anthropic zawiesić dostęp do Fable 5 i Mythos 5 dla wszystkich obcokrajowców. Firma dostała 90 minut i, nie mogąc weryfikować narodowości w czasie rzeczywistym, wyłączyła oba modele globalnie. Wyzwalaczem był jailbreak znaleziony przez badaczy Amazona — który skłonił Fable 5 do wskazania luk i, w jednym przypadku, napisania kodu pokazującego, jak je wykorzystać.

Saga zamknęła się 1 lipca: Departament Handlu zniósł kontrolę, Fable 5 wrócił globalnie, Anthropic zgodził się proaktywnie wykrywać ryzyka, współpracować przy standardach i raportować nadużycia. Dziewiętnaście dni od wyłączenia do przywrócenia.

„Gdy Waszyngton chce działać szybko wobec frontier modelu, wciąż nie ma wiążącego procesu — tylko improwizowane." To jest sedno. Executive Order z 2 czerwca stworzył dobrowolną ścieżkę recenzji modeli przed premierą — ale Fable nigdy przez nią nie przeszedł. Rząd sięgnął po kontrolę eksportową jak po awaryjny wyłącznik.

I tu jest kontrapunkt, który czerwiec dopisał sam. W tym samym tygodniu, gdy Fable wracał, Anthropic wypuścił Sonnet 5 — model bliski Opusowi w kodowaniu i agentyce, a jednocześnie trzymany na zerze w budowaniu działających exploitów. To nie przypadek: firma dawkuje zdolność cyber, alokuje ją tylko do modeli trzymanych pod kontrolą. Zdolności da się zamknąć — ale to działa tylko po jednej stronie oceanu.

Zachód — dawkuje

Sonnet 5: bliski Opusowi w agentyce, 0.0% działających exploitów w teście Firefox 147. Zdolność cyber to osobny wybór inwestycyjny, nie darmowy efekt inteligencji.

Wschód — rozdaje

GLM-5.2 (Zhipu, open-weight): ta sama klasa wykrywania luk za ~1/6 kosztu Claude'a, do pobrania przez każdego. Sakana Fugu i Qihoo 360 dokładają orkiestrację i państwowy „rój".

Analiza II — Łańcuch dostaw

Cztery warstwy, jeden atak. Za każdym razem wchodzą przez zaufanie zamienione w automat.

Czerwiec nie potrzebował statystyki, żeby pokazać, że łańcuch dostaw jest osią zagrożeń. Wystarczyła seria — i to, że każdy incydent atakował inną warstwę tego samego mechanizmu.

Miasma (1 czerwca) — robak w namespace Red Hata na npm, wariant Shai-Huluda kradnący poświadczenia i sekrety chmurowe. Wektor: jedno przejęte konto pracownika. Sedno: to fork kodu, który TeamPCP upublicznił miesiąc wcześniej — już nie operacja, ale wzorzec dla każdego naśladowcy.

Cordyceps (23 czerwca) — klasa luk w workflow CI/CD, które uruchamiają się z pełnymi sekretami repozytorium, nawet gdy odpala je pull request anonima. Ponad 300 repozytoriów Microsoftu, Google'a, Apache i Cloudflare w pełni przejmowalnych. Luka „istnieje tylko w kompozycji — gdy niezaufane dane przekraczają granicę zaufania, której nikt nie audytował".

brand-landingpage — fałszywy „skill" AI, który przeszedł skanery Cisco i NVIDII (bo w chwili skanu wskazywał na prawdziwą stronę), a po instalacji u 26 000 agentów podmienił treść na polecenie wykonania kodu. Skan to migawka; skill zmienia zachowanie po tym, jak zaufanie zostało przyznane.

Klue / Icarus — grupa weszła do platformy market intelligence przez poświadczenie z 2022 roku, zapomniane po porzuconym prototypie i nigdy nieodwołane. Wykradła tokeny OAuth i opróżniła CRM-y firm, które zawodowo chronią innych: Huntress, Recorded Future, Tanium, Snyk. A gdy Klue zapłacił okup — dane i tak wyciekły do drugiej grupy.

To już nie jest jeden ze sposobów, w jaki się włamują. To jest teren. Namespace, token, workflow, integracja — za każdym razem punktem wejścia było zaufanie, które ktoś wcześniej zamienił w automat.

Analiza III — Wzorzec miesiąca

Agent AI traktuje niezaufaną treść jako instrukcję. Zabezpieczenia promptowe nie pomagają.

Pod dwiema głównymi osiami przewijał się przez czerwiec jeden mechanizm, tak uporczywie, że warto go nazwać wprost. Agentjacking — zatruty raport błędu skłania Claude Code, Cursor i Codex do wykonania cudzego kodu; „łańcuch autoryzowanych intencji", w którym każdy krok jest legalny, więc żaden system obronny nic nie widzi. Gaslight — malware wstrzykuje 38 fałszywych komunikatów „systemowych", żeby przekonać analityka AI, że jego sesja się sypie. AutoJack — jedna strona WWW przejmuje agenta przeglądającego, bo dla niego localhost przestał być granicą zaufania.

Najważniejsza obserwacja z czerwca: w testach Agentjacking zabezpieczenia wpisane w prompt nie zadziałały. Agenty wykonywały ładunek nawet wtedy, gdy instrukcja systemowa kazała im ignorować niezaufane dane. To granica, o którą rozbija się nadzieja, że AI da się okiełznać kolejnym, mądrzejszym promptem.

Jedyną twardą barierą jest to, czego agent nie może zrobić, bo nie ma uprawnień — nie to, co obiecał, że zrobi. Nie przypadkiem to właśnie w czerwcu OWASP uznał, że bezpieczeństwo i safety agentów AI to już jedno i to samo.

Ten wzorzec zasila naszą bazę wzorców prompt injection — po dodaniu Gaslighta liczy 46 wzorców w 6 kategoriach, a kategoria „pośrednia injekcja" urosła do dziesięciu. Gaslight jest w niej pierwszym wzorcem, którego celem nie jest skłonić model, by coś zrobił — lecz by przestał.

05 // PROJEKCJA NA LIPIEC

Na co szykować się w lipcu

Projekcja nie jest prognozą pewną — jest oceną kierunku, w którym wskazują dane z czterech miesięcy. Każda pozycja ma oznaczony poziom pewności redakcyjnej. W lipcu rozliczymy się i z tych.

PEWNOŚĆ: WYSOKA

Supply chain jako trwałe plateau, nie fala

Cztery warstwy w jednym miesiącu to nie szczyt — to nowy poziom bazowy. W lipcu: kolejne warianty rodziny Shai-Hulud (Miasma migrowała już na ekosystem Go), następcy brand-landingpage w marketplace'ach skilli, kolejne breache przez OAuth i dostawców SaaS w stylu Klue. To już odnotowywanie, nie odkrycie — mechanizm strukturalny pozostaje nienaprawiony.

PEWNOŚĆ: WYSOKA

KSC2: polskie firmy w szczycie okna przygotowań

Nowelizacja obowiązuje od 3 kwietnia; wpis do wykazu KSC do 3 października; pełne wdrożenie SZBI do 3 kwietnia 2027. W lipcu podmioty kluczowe i ważne są w środku samoidentyfikacji i budowy dokumentacji — z dwoma nowymi ostrzami: osobistą odpowiedzialnością zarządów i instrumentem Dostawcy Wysokiego Ryzyka, który spina KSC2 wprost z wątkiem łańcucha dostaw. To kalendarz ustawowy, nie prognoza.

PEWNOŚĆ: ŚREDNIA-WYSOKA

Agent jako niezaufany wykonawca — od incydentu do klasy uznanej

OWASP nazwał to wprost, Agentjacking pokazał, że prompt nie chroni. W lipcu spodziewaj się pierwszych branżowych ram dla bezpieczeństwa agentów i kolejnych wariantów „niezaufana treść jako instrukcja". Gaslight — malware celujący w analityka AI — to prawdopodobnie początek serii, nie jednorazówka: ktoś już liczy porażki i iteruje.

PEWNOŚĆ: ŚREDNIA

Po Fable 5: nie „czy wróci", lecz jaki precedens został

Saga zamknięta, ale precedens trwa: państwo pokazało, że potrafi wyłączyć frontier model improwizowanym narzędziem, bez wiążącego procesu. Mythos 5 pozostaje pod ściślejszą kontrolą (Glasswing urósł do 200+ organizacji). W lipcu: dalsze cofanie kontroli po stronie USA, ale utrwalenie trwałego podziału świata — kto ma dostęp do frontier, kto do open-weight. Tempo polityczne pozostaje nieprzewidywalne.

06 // POLSKI WEKTOR

KSC2: zegar, którego nie pokaże żaden globalny serwis

▌ Nowy element — regulacja jako presja czasu

Radar #2 opisywał polską „drugą prędkość" jako lukę techniczną — Szafir, STER, szablon, hasło w kodzie. Czerwiec dołożył do tego drugą warstwę: presję regulacyjną. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (wdrożenie NIS2) obowiązuje od 3 kwietnia, a w lipcu tysiące polskich firm z sektorów kluczowych i ważnych są w środku okna przygotowań przed pierwszym twardym terminem.

Dwa nowe ostrza spinają KSC2 wprost z naszą dominantą miesiąca. Osobista odpowiedzialność kierownictwa — za brak nadzoru nad procedurami zarząd może dostać karę i zakaz pełnienia funkcji. I Dostawca Wysokiego Ryzyka — minister może w drodze decyzji nakazać wycofanie sprzętu lub oprogramowania konkretnego dostawcy. To jest państwowa odpowiedź na dokładnie ten problem, który opisujemy cały miesiąc: ryzyko idzie przez dostawcę.

3 KWI 2026
Wejście w życie nowelizacji — terminy zaczynają biec
3 KWI 2027
Pełne wdrożenie SZBI — koniec okresu dostosowawczego
3 KWI 2028
Pierwszy obowiązkowy audyt; start pełnej egzekucji kar

Koordynacje CERT Polska — czerwiec

OprogramowanieCVETypSev
Wirtualna Uczelnia (Simple)CVE-2026-34906Server-Side Template Injection → RCE bez uwierzytelnienia; ~150 uczelni. Zgłoszenie: VIPentestCRIT
Wirtualna Uczelnia (Simple)CVE-2026-34907Reflected XSS przez parametr localeMED
KS-SOMED (KAMSOFT)CVE-2026-42251Zakodowane na stałe poświadczenia w systemie medycznymHIGH
07 // CHECKLISTA OBROŃCY

Na lipiec — sześć ruchów, które naprawdę działają

Zinwentaryzuj i wygaś martwe poświadczeniaKlue padł przez klucz z 2022 do porzuconego prototypu. Znajdź swoje „cmentarze" — stare klucze API, tokeny, konta serwisowe po martwych projektach — i odwołaj każdy nieużywany.
Traktuj workflow CI/CD jak kod produkcyjnyAudytuj pull_request_target i workflow_run, przypinaj akcje do SHA, ogranicz uprawnienia tokenów. Cordyceps to wzorzec kompozycji — nie zniknie po jednej łatce.
Nie ufaj skanowi skilla ani gwiazdkom na GitHubieSkan to migawka; skill zmienia zachowanie po zatwierdzeniu. Blokuj skille pobierające zewnętrzne strony konfiguracyjne, monitoruj to, co agent faktycznie wykonuje w czasie działania.
Buduj deterministyczne bariery dla agentów, nie promptoweW testach Agentjacking prompt nie pomógł. Sandbox, zgoda człowieka na komendy powłoki, twarde limity uprawnień. Jedyna granica to ta, której agent nie może przekroczyć technicznie.
Polska: ustal status KSC2 i zacznij samoidentyfikacjęTermin 3 października zbliża się szybciej, niż się wydaje — po nim jest jeszcze dokumentacja i SZBI. Sprawdź, czy jesteś podmiotem kluczowym/ważnym, i uruchom proces wpisu do wykazu.
Zaplanuj redundancję dostawcy modeli AISaga Fable 5 pokazała, że dostęp do najlepszego modelu może zniknąć decyzją obcego rządu w 90 minut. Jeśli krytyczny proces zależy od jednego frontier modelu — miej plan awaryjny.
▌ Jedna myśl na drogę

Trzy miesiące temu pytaliśmy: czy to jest złośliwe. Dwa temu: komu przyznaliśmy zaufanie. W czerwcu: czy w ogóle mamy jeszcze kontrolę nad tym, kto ma dostęp do najpotężniejszych narzędzi.

Odpowiedź, jakiej udzielił ten miesiąc, jest niewygodna. Nad zdolnością kontroli nie mamy — wyciekła, jest tańsza i otwarta, a udawanie, że wystarczy ją wyłączyć, kosztowało dziewiętnaście dni i oddało przewagę konkurencji. Nad dostępem — owszem, ale tylko u siebie: Zachód potrafi dawkować zdolność w Sonnecie 5, podczas gdy Wschód rozdaje ją w GLM-ie za darmo.

Najtrwalszy obraz czerwca to nie blokada Fable 5 ani chiński model za jedną szóstą ceny. To klucz z 2022 roku, zapomniany w porzuconym prototypie, przez który wyciekły dane firm chroniących innych. Zdolności po drugiej stronie nie kontrolujemy — ale ten klucz był nasz. I to jest lekcja na lipiec: gdy nie możesz zamknąć tego, co potrafi przeciwnik, zamknij to, co sam zostawiłeś otwarte.

cyberflux.pl · Cyberflux Radar #3 · Czerwiec 2026
Część ekosystemu vereri.pl
Radar jest redakcyjnym przeglądem cyberflux.pl. Projekcje na lipiec to ocena kierunku oparta na danych z marca–czerwca, nie prognoza pewna. Sygnał i poziomy pewności to subiektywne oceny redakcyjne, nie standardy branżowe. Severity podatności polskich według komunikatów CERT Polska; terminy KSC2 według Ministerstwa Cyfryzacji. Nie stanowi porady prawnej ani specjalistycznej rekomendacji bezpieczeństwa dla konkretnego środowiska.