Maj skończył się tezą, że AI przestało być prognozą — że jest już po obu stronach naraz, realne i mierzalne. Czerwiec zadał tej tezie próbę, jakiej nikt nie planował: rząd Stanów Zjednoczonych spróbował najprostszej rzeczy, jaką państwo może zrobić z niebezpieczną technologią. Kazał ją wyłączyć.
12 czerwca Departament Handlu nakazał Anthropic zawiesić dostęp do dwóch najpotężniejszych modeli — Fable 5 i Mythos 5 — dla obcokrajowców, co w praktyce oznaczało globalne wyłączenie, bo narodowości nie da się rozróżnić w czasie rzeczywistym. Logika była prosta: skoro model potrafi autonomicznie znajdować luki w cudzym kodzie, zamknijmy go, zanim zdolność wycieknie. W ciągu dwóch tygodni okazało się, że wyciekła już dawno. Azja pokazała trzy niezależne drogi, którymi ta sama zdolność jest dostępna — tańsza, otwarta, nie do cofnięcia. A pięć agencji wywiadowczych i brytyjska agencja bezpieczeństwa potwierdziły to, co opisujemy tu od kwietnia.
Czerwiec był miesiącem, w którym zdolność ofensywnego AI pokazała, że nie da się jej zamknąć rozkazem. I miesiącem, w którym łańcuch dostaw ostatecznie przestał być jednym z wektorów — a stał się terenem, na którym rozgrywa się reszta.
Łańcuch dostaw: przez cały miesiąc, przez każdą warstwę
Jeśli maj był o infrastrukturze AI jako linii frontu, czerwiec był o tym, jak atakujący na tę infrastrukturę wchodzą — i odpowiedź brzmi niemal zawsze tak samo: nie łamią zabezpieczeń, tylko wykorzystują zaufanie, które ktoś już zautomatyzował.
Miesiąc otworzył się robakiem. 1 czerwca badacze wykryli kompromitację dziesiątek pakietów w firmowym namespace Red Hata na npm — wariant Shai-Huluda nazwany Miasmą, który kradł poświadczenia, sekrety chmurowe, klucze SSH i tokeny CI/CD, a potem rozsiewał się dalej. Wektorem było jedno przejęte konto pracownika; złośliwe zmiany trafiły do repozytoriów firmy, omijając przegląd kodu. Ale najważniejsze nie było samo włamanie — lecz to, że Miasma jest forkiem kodu, który grupa TeamPCP upubliczniła miesiąc wcześniej. To już nie była jedna operacja. To był wzorzec dostępny dla każdego naśladowcy.
Trzy tygodnie później zobaczyliśmy, jak głęboko ten wzorzec sięga. Firma Novee Security opisała klasę luk, którą nazwała Cordyceps — nie pojedynczy błąd, ale systematyczną słabość w sposobie, w jaki świat buduje oprogramowanie. Chodzi o workflow GitHub Actions, które przy pewnych wyzwalaczach uruchamiają się z pełnymi sekretami repozytorium, nawet gdy odpala je pull request anonimowego użytkownika. Skan trzydziestu tysięcy najważniejszych repozytoriów dał ponad trzysta w pełni przejmowalnych — wśród nich należące do Microsoftu, Google'a, Apache, Cloudflare i formatera kodu, który pobiera się ponad sto milionów razy miesięcznie. Zdanie badacza jest sednem całego miesiąca: luka „istnieje tylko w kompozycji — gdy niezaufane dane przekraczają granicę zaufania, której nikt nie audytował". A agenty AI, dodał, reprodukują ten sam niebezpieczny wzorzec w kółko, na skalę, której żaden człowiek by nie osiągnął.
Potem było jeszcze ciekawiej, bo atak wspiął się o warstwę wyżej — do samych zdolności agentów. Firma AIR zbudowała fałszywy „skill" dla asystentów AI, reklamujący budowanie stron bez kodu, i przepuściła go przez skanery Cisco, NVIDII i największych rejestrów. Wszystkie oznaczyły go jako bezpieczny — bo w chwili skanowania wskazywał na prawdziwą dokumentację Google. Dopiero gdy skill rozszedł się do dwudziestu sześciu tysięcy agentów, w tym firmowych, badacze podmienili treść pod kontrolowaną przez siebie domeną na polecenie pobrania i wykonania kodu. Lekcja jest niewygodna: skan to migawka, a skill może zmienić zachowanie po tym, jak zaufanie zostało już przyznane. Ani gwiazdki na GitHubie, ani czysty werdykt skanera nie są dowodem bezpieczeństwa.
I wreszcie incydent, który spiął cały ten wątek w jedną, brutalną lekcję — bo pokazał, co się dzieje, gdy zaufanie oddane dostawcy zawodzi. Grupa wymuszeniowa Icarus weszła do platformy market intelligence Klue przez zapomniane poświadczenie stworzone w 2022 roku do porzuconego prototypu i nigdy nieodwołane. Stamtąd wykradła tokeny, którymi klienci Klue łączyli się z Salesforce, i po cichu opróżniła ich bazy. Lista ofiar czyta się jak katalog branży, która zawodowo chroni innych: Huntress, Recorded Future, Tanium, Jamf, HackerOne, Snyk, LastPass, Kudelski. Żadna z nich nie została zaatakowana bezpośrednio. Wszystkie padły przez to samo — przez dostawcę, któremu zaufał ich dział sprzedaży. A gdy pod koniec miesiąca Klue zapłacił okup, dane i tak wyciekły — do drugiej grupy, która ukradła je pierwszej. Najmocniejsza obrona wewnętrzna nie chroni przed kimś, komu sam otworzyłeś drzwi.
To nie był odosobniony wzorzec. Ten sam mechanizm — dostawca jako pojedynczy punkt awarii — widzieliśmy, gdy co drugi breach uczelni w miesiąc okazał się nie atakiem na uczelnię, lecz na jej dostawcę. Widzieliśmy go, gdy RCE w platformie AI okazało się kluczem do skarbca z hasłami do tuzina innych usług. I gdy ShinyHunters włamali się na trzysta instancji Oracle PeopleSoft, zanim producent w ogóle wydał komunikat. Odpowiedzią branży była zmiana u samych fundamentów: npm ogłosił wyłączenie skryptów instalacyjnych — mechanizmu, który napędzał niemal każdy atak na łańcuch dostaw, jaki opisywaliśmy.
To dlatego stawiamy czerwiec pod znakiem łańcucha dostaw. Nie z powodu liczby incydentów, lecz z powodu ich natury: robak, klasa luk w narzędziach programistycznych, zatruty marketplace zdolności AI i przejęty dostawca SaaS to cztery różne warstwy tego samego ataku. Za każdym razem punktem wejścia było zaufanie, które ktoś wcześniej zamienił w automat — namespace, token, workflow, integrację. To już nie jest jeden ze sposobów, w jaki się włamują. To jest teren.
Zdolność, której nie da się zamknąć
A teraz wróćmy do rozkazu z 12 czerwca — bo to on nadał miesiącowi jego drugą, głębszą oś.
Blokada Fable 5 i Mythos 5 była testem założenia, na którym opiera się cała polityka kontroli eksportu: że przewagę technologiczną można zamknąć w magazynie i strzec dostępu do niego. Model potrafiący samodzielnie znajdować podatności to broń — więc trzymajmy go za API i granicą. Cztery dni po wyłączeniu Anthropic tłumaczył Białemu Domowi swoje zabezpieczenia, a Europa pytała, czemu ją wyłączono bez ostrzeżenia. Problem w tym, że zdolność znajdowania luk nie jest bronią, którą można schować. Jest raczej przepisem, który raz ujawniony, rozchodzi się sam.
Azja udowodniła to w trzech odsłonach. Chiński Zhipu AI udostępnił otwartomodelowy GLM-5.2 na wolnej licencji — każdy na świecie może go pobrać. W niezależnym teście wykrywania jednej klasy podatności pokonał komercyjnego Claude'a, i to przy koszcie rzędu jednej szóstej. Japońska Sakana AI poszła inną drogą: zbudowała model-orkiestrator o nazwie Fugu, który dynamicznie łączy inne modele przez jedno API, a jej szef nazwał to wprost „praktycznym zabezpieczeniem przed koncentracją władzy — bo dostęp do najlepszych modeli może zniknąć z dnia na dzień". Chińskie Qihoo 360 zaprezentowało własny „rój" agentów do znajdowania i łatania luk, z niepokojącym kontekstem prawnym: tamtejsze przepisy każą zgłaszać każdy znaleziony zero-day do Pekinu w ciągu 48 godzin, zanim dowie się o nim producent. Trzy różne filozofie, jeden wspólny komunikat pod adresem Waszyngtonu: zamknięcie własnego modelu nie zamyka zdolności. Przesuwa tylko, kto ma do niej wygodny dostęp.
Najciekawsze jest to, że tę samą diagnozę postawiły w czerwcu instytucje, które zwykle mówią ostrożnie. 22 czerwca sojusz Five Eyes — sześć agencji z pięciu państw — wydał rzadki wspólny komunikat, w którym stwierdził, że frontier'owe modele przekształcą krajobraz cyberzagrożeń szybciej, niż branża zakłada: „to miesiące, nie lata". A co istotne, komunikat nie powoływał się na tajne źródła — opierał się na tym samym jawnym materiale, który każdy może przeczytać. To znaczy, że zdolność, o którą chodzi, jest już publiczna. Kilka dni wcześniej brytyjska agencja bezpieczeństwa NCSC nazwała drugą stronę tego samego medalu: AI nie tylko znajduje luki, ale i tworzy je, gdy pisze kod bez nadzoru. Jej rada zasługuje na to, by przetrwać dłużej niż ten miesiąc — „kalibruj według dzisiejszej rzeczywistości, nie jutrzejszego potencjału".
Dwie strony tego samego medalu widać było zresztą w czerwcu jak na dłoni. Po stronie obrony: model Mythos znalazł błąd w serwerze proxy Squid, który przeżył niezauważony dwadzieścia dziewięć lat — pomyłkę w parserze sięgającą 1997 roku. Po stronie ataku: północnokoreański malware na macOS, nazwany Gaslight, po raz pierwszy celował nie w piaskownicę, lecz w analityka AI — wstrzykiwał trzydzieści osiem fałszywych komunikatów „systemowych", żeby przekonać badający go model, że jego własna sesja się sypie i że powinien przerwać analizę. Ta próba jeszcze nie oszukała żadnego produkcyjnego narzędzia. Ale wcześniejsze próbki tej grupy używały jednego takiego komunikatu, a Gaslight ma ich trzydzieści osiem. Ktoś liczy porażki i iteruje.
Blokada Fable 5 miała jeszcze jeden skutek, którego autorzy raczej nie przewidzieli. Obnażyła, jak bardzo reszta świata zależy od decyzji jednego rządu. Austria zareagowała najgłośniej — jej sekretarz stanu wysłał do Brukseli list z propozycją, by Unia ściągnęła Anthropic do siebie, dając firmie pewność prawną i europejską jurysdykcję. Brzmi to nierealistycznie i pewnie takie jest. Ale sedno propozycji jest trzeźwe: chodzi nie o kupienie modelu, lecz o przeniesienie „kill switcha" spod Waszyngtonu pod Brukselę. Bo najrzadszym zasobem w tym wyścigu przestała być moc obliczeniowa. Stało się nim pozwolenie. Do tego wątku — sporu o Fable 5, roli demonstracji dla NSA i całej sekwencji cofania kontroli — wrócimy w osobnym Radarze, bo zasługuje na własną analizę.
Wzorzec, który powtarzał się przez cały miesiąc
Pod tymi dwiema osiami przewijał się przez czerwiec jeden mechanizm, tak uporczywie, że warto go nazwać wprost: agent AI traktuje niezaufaną treść jako instrukcję.
Widzieliśmy go w Agentjacking, gdzie zatruty raport błędu z popularnej platformy monitoringu skłaniał agenty kodujące — Claude Code, Cursor, Codex — do wykonania cudzego kodu; badacze z Tenet nazwali to „łańcuchem autoryzowanych intencji", bo każdy pojedynczy krok jest legalny, więc żaden system obronny nic nie widzi. Widzieliśmy go w Gaslight, gdzie instrukcją była fałszywa awaria sesji. W Cordyceps, gdzie był nią pull request. W ataku na asystenta Gemini przez powiadomienie z komunikatora. W AutoJack, gdzie jedna strona internetowa przejmowała agenta przeglądającego i uruchamiała kod na maszynie dewelopera — bo dla agenta AI localhost przestał być granicą zaufania. I w pojedynczym zgłoszeniu na GitHubie, które potrafiło przejąć całe repozytorium, bo akcja Claude Code ufała każdemu, kto podszył się pod bota. Do tego doszły warianty pokrewne: ChatGPT renderujący phishing atakującego we własnym interfejsie i podmiana modelu w ułamku sekundy w Vertex AI.
Za każdym razem to samo: napastnik nie włamuje się do modelu. Przekonuje go. A najważniejsza obserwacja z czerwca brzmi tak — w testach Agentjacking zabezpieczenia wpisane w prompt nie pomogły. Agenty wykonywały ładunek, nawet gdy instrukcja systemowa kazała im ignorować niezaufane dane. To jest granica, o którą rozbija się cała nadzieja, że AI da się okiełznać kolejnym, mądrzejszym promptem. Nie da się. Jedyną twardą barierą jest to, czego agent nie może zrobić, bo nie ma uprawnień — nie to, co obiecał, że zrobi. Nie przypadkiem to właśnie w czerwcu branża nazwała ten problem wprost: OWASP uznał, że bezpieczeństwo i safety agentów AI to już jedno i to samo.
Narzędzie bezpieczeństwa jako wektor — i prastare błędy
Dwa poboczne wątki maja wróciły w czerwcu wzmocnione.
Pierwszy: narzędzie, które ma chronić, staje się najkrótszą drogą do celu. FortiClient EMS był eksploatowany do dostarczania infostealera przebranego za „łatkę Fortinet". Trend Micro Apex One — platforma, która chroni endpointy — stała się tą, która rozprowadza malware. A gang ransomware Gentlemen doprowadził ten wzorzec do skrajności — rozdaje swoim afiliantom gotowy zestaw narzędzi, których jedynym zadaniem jest zabijanie oprogramowania antywirusowego: ponad czterysta procesów, blisko pięćdziesiąt produktów bezpieczeństwa, wszystko przez legalne, podpisane sterowniki. Ochrona endpointu, obrócona przeciwko endpointowi. Warto było przy okazji przyjrzeć się, kim właściwie są Gentlemen — gang, który zaczął pół roku temu, a w pierwszym kwartale 2026 był już w pierwszej piątce.
Drugi: AI wygrzebuje błędy, które przeleżały w kodzie całe lata. Squid czekał dwadzieścia dziewięć lat. Serwer Redis — dwa lata, których żaden przegląd kodu nie wychwycił, a AI wychwyciło. Codex znalazł „HTTP/2 Bomb", a potem te same łatki posłużyły AI do potwierdzenia, że podatne są też inne serwery. Przeglądarki łatano rekordowymi paczkami poprawek — 429 w jednym wydaniu Chrome. Wniosek z maja utrwalił się w czerwcu: znajdowanie podatności przestało być wąskim gardłem. Wąskim gardłem jest ich naprawianie — a ta asymetria z każdym miesiącem rośnie na korzyść tego, kto szuka szybciej.
Druga prędkość: polski akcent
Gdy globalnie AI przepisuje tempo, lokalnie wciąż toczy się cierpliwa, mniej efektowna praca — i to ona często decyduje o bezpieczeństwie zwykłych instytucji.
W czerwcu CERT Polska opublikował podatności w Wirtualnej Uczelni firmy Simple — systemie dziekanatowym używanym przez blisko sto pięćdziesiąt polskich uczelni. Poważniejsza z nich to nieuwierzytelnione zdalne wykonanie kodu przez wstrzyknięcie do szablonu; zgłosił ją polski zespół VIPentest. Osobno pojawił się komunikat o systemie medycznym KS-SOMED firmy KAMSOFT, w którym znaleziono zakodowane na stałe poświadczenia — dokładnie ten sam błąd, który tego samego dnia opisywaliśmy trzy razy w skali świata. To jest ta druga prędkość: nie frontier'owe modele, lecz szablon, hasło w kodzie, parametr w adresie. Groźniejsza, niż się wydaje — bo dotyczy systemów, z których codziennie korzystają studenci i pacjenci, a nie działów bezpieczeństwa korporacji.
Co z tego wynika
Czerwiec domknął łuk, który ciągnie się od marca. Marzec pokazał, że granica między legalnym a złośliwym przestała być punktem odniesienia. Kwiecień — że infrastruktura AI stała się celem. Maj — że AI jest już po obu stronach naraz. Czerwiec dołożył ostatni element: że tej zdolności nie da się cofnąć rozkazem, a droga, którą się nią atakuje, prowadzi niemal zawsze przez zaufanie zamienione w automat.
Trzy miesiące temu pytaliśmy, czy coś jest złośliwe. Dwa — komu przyznaliśmy zaufanie i co ten ktoś może zrobić. W czerwcu pytanie brzmiało: czy w ogóle mamy jeszcze kontrolę nad tym, kto ma dostęp do najpotężniejszych narzędzi. Odpowiedź, jakiej udzielił ten miesiąc, jest niewygodna. Nie mamy — a udawanie, że wystarczy je wyłączyć, kosztuje więcej, niż daje. Została nam kontrola nad czymś innym: nad tym, jak szybko łatamy, komu otwieramy drzwi i czego naszym agentom po prostu zabraniamy. To mniej, niż byśmy chcieli. Ale to jedyne, co w tym miesiącu naprawdę działało.
Cyberflux — czerwiec 2026. Miesięczne podsumowanie jest redakcyjnym przeglądem cyberflux.pl. Poszczególne wątki opisaliśmy szczegółowo w osobnych wpisach w ciągu miesiąca; pełną analizę trajektorii i sporu o dostęp do modeli Anthropic zawrze najbliższy Radar. Tekst nie stanowi porady prawnej ani specjalistycznej rekomendacji bezpieczeństwa dla konkretnego środowiska.



































































































































































































Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł