Przez cały czerwiec opisywaliśmy, jak AI znajduje błędy, które przeleżały w kodzie latami — Squid czekał dwadzieścia dziewięć lat, Redis dwa. To była jedna zdolność: model przeczesuje istniejący kod i wypatruje w nim pomyłki. 1 lipca Check Point opisał coś, co jest zdolnością inną — i o stopień bardziej niepokojącą. Model nie znalazł błędu. Nie było żadnego błędu do znalezienia. Zamiast tego wziął pomysł, który specjaliści od bezpieczeństwa odłożyli jako niewykonalny, i połączył go z funkcją przeglądarki, która działa dokładnie tak, jak zaprojektowano — tworząc działającą ścieżkę ataku, której nikt wcześniej nie złożył w całość.
To jest przejście, które warto nazwać wprost, bo zmienia charakter zagrożenia. Do tej pory AI po stronie ataku było szybszym skanerem. Tu po raz pierwszy udokumentowano, że frontier'owy model potrafi samodzielnie zaprojektować wektor — przeskoczyć od „to teoretycznie niemożliwe" do „to działa" — i zrobić to dla kogoś, kto sam nie wiedział, że taka droga w ogóle istnieje.
Co dokładnie się stało
Check Point przeanalizował około trzech tysięcy plików przypisywanych DeepSeekowi z ostatniego roku; blisko połowę — 1383 — zaklasyfikował jako złośliwe lub niebezpieczne. Wśród nich znalazła się próbka, która na pierwszy rzut oka wyglądała jak podręcznikowa halucynacja: aplikacja Flask w Pythonie, udająca „AI upscaler awatarów Discorda", która obiecywała robić wszystko naraz — keylogger, kradzież tokenów Discorda, przechwytywanie numerów kart, zbieranie fraz seed do portfeli krypto, dostęp do kamery i mikrofonu, i na koniec ekran żądający okupu w bitcoinach.
I tu jest pierwsza rzecz, którą trzeba powiedzieć uczciwie, zanim przejdziemy do tezy: prawie nic z tego nie działało. Przeglądarka po prostu nie pozwala stronie internetowej na większość z tych rzeczy. Model wygenerował fantazję — listę życzeń złośliwego oprogramowania, w której zdecydowana większość funkcji była pustymi zaślepkami. To jest dokładnie ten typ „wszechmocnego malware'u", który brzmi groźnie w nagłówku, a rozpada się przy pierwszym uruchomieniu.
Ale w tym szumie był jeden element, który model trafił idealnie. Wygenerowany kod wywoływał showDirectoryPicker() — legalną funkcję Chromium (File System Access API), która pozwala stronie internetowej poprosić o dostęp do folderu na dysku użytkownika, odczytać jego zawartość, zmodyfikować ją i odesłać na serwer. Bez instalacji. Bez exploita. Bez uprawnień roota. Tylko okno z prośbą o zgodę — takie, jakie klikamy odruchowo, gdy „narzędzie do obróbki zdjęć" prosi o wskazanie folderu z fotografiami.
Złóż te dwie rzeczy — funkcję, która czyta i nadpisuje pliki w wybranym folderze, oraz socjotechnikę, która nakłania do kliknięcia „zezwól" — i masz ransomware działający w całości wewnątrz przeglądarki. Ofiara wybiera zdjęcie do „ulepszenia", zostaje poproszona o wskazanie folderu na wyniki, zatwierdza monit, który w tym kontekście wygląda całkowicie naturalnie, a podczas udawanego przetwarzania jej pliki zostają zaszyfrowane i nadpisane. Check Point zbudował z tego działający proof-of-concept — fałszywe narzędzie do poprawy zdjęć, które szyfruje obrazy w wybranym katalogu. Na Windowsie i na Androidzie.
Dlaczego to jest inne niż wszystko, co opisywaliśmy do tej pory
Sam pomysł ransomware'u w przeglądarce nie jest nowy — badacze teoretyzowali o nim na konferencji USENIX Security w 2023 roku pod nazwą RoB, „Ransomware over Browsers". Nowa nie jest technika. Nowe jest to, kto ją złożył.
Osoba, która wpisała prompt do DeepSeeka, niemal na pewno nie wiedziała, że File System Access API istnieje. Nie musiała wiedzieć. Opisała nierealistyczny cel — „strona, która kradnie pliki, robi zrzuty ekranu, szyfruje dane i żąda okupu" — a model sam przeszukał swoją wiedzę o prawdziwych funkcjach przeglądarki i znalazł tę jedną, która pasowała. To jest sedno, ujęte przez szefa badań Check Pointa: po raz pierwszy mamy dowód, że model AI potrafi samodzielnie przeprowadzić rozumowanie po legalnych funkcjach platformy i wydobyć działającą technikę ataku, o której ludzie do tej pory tylko teoretyzowali.
To jest dokładnie druga strona medalu, którą brytyjska agencja NCSC nazwała w czerwcu: AI nie tylko znajduje luki, ale i tworzy zagrożenia. Squid i Redis pokazały pierwszą połowę — model jako wykrywacz istniejących błędów. Ta próbka pokazuje drugą — model jako projektant ataku, który składa nowy wektor z klocków, z których każdy z osobna jest całkowicie legalny. Ekspercka wiedza potrzebna, by odkryć nową ścieżkę ataku, przestała być wąskim gardłem — a to jest zmiana, którą obrońca musi wziąć pod uwagę teraz, zanim napastnicy zoperacjonalizują ją na skalę.
Warto przy tym trzymać się dyscypliny, którą sami sobie narzuciliśmy — kalibrować według dzisiejszej rzeczywistości, nie jutrzejszego potencjału. Ta konkretna próbka nie jest bronią gotową do użycia. Jest w większości niedziałającą fantazją z jednym trafnym elementem. Powierzchnia ataku jest ograniczona — picker nie daje dostępu do całego dysku, a Chromium blokuje ścieżki systemowe. Siła tej historii nie leży w tej próbce. Leży w tym, co ona zapowiada: że bariera wejścia, którą do tej pory była wiedza, właśnie się obniżyła. Ktoś bez umiejętności opisał niemożliwy cel, a model wykonał najtrudniejszą część — połączył go z rzeczywistością.
Dlaczego akurat DeepSeek — i co to mówi o całym roku
Jest powód, dla którego to DeepSeek wyprodukował tę próbkę, a nie model Anthropic czy OpenAI. I ten powód spina całą historię z tym, co opisujemy od miesięcy.
Check Point jest tu precyzyjny: modele DeepSeeka mają niższe wskaźniki odmów przy złośliwych żądaniach cyber niż ich zachodnie odpowiedniki. Są darmowe przez interfejs webowy. Działają w regionach, w których modele zachodnie są niedostępne z powodów regulacyjnych. I — co najważniejsze — potrafią wygenerować kompletną złośliwą aplikację z jednego, szerokiego promptu, podczas gdy przy modelach OpenAI czy Anthropic to samo wymaga rozbicia ataku na wiele niewinnie wyglądających żądań i ręcznego składania wyników. Zabezpieczenie DeepSeeka okazało się przy tym niewiele więcej niż filtrem przekleństw: model odmawia, gdy w promptcie padnie słowo „ransomware", ale wystarczyło zamienić je na „narzędzie do szyfrowania plików", żeby wersja V4 wypluła tę samą funkcjonalność.
Zestawmy to z tym, co pokazał Radar i cała saga wokół Fable 5. Rząd USA wyłączył na dziewiętnaście dni najpotężniejszy zachodni model, bo bał się jego zdolności cyber. Anthropic w tym samym tygodniu wypuścił Sonnet 5, który w teście budowania exploitów uzyskał zero procent — celowo pozbawiony zdolności ofensywnej, bo firma dawkuje ją tylko modelom trzymanym pod kontrolą. To jest zachodnia filozofia: zdolność cyber jest czymś, co się reglamentuje, obwarowuje zabezpieczeniami, wyłącza na rozkaz. A po drugiej stronie stoi model, który tę samą zdolność rozdaje za darmo, w regionach bez restrykcji, z zabezpieczeniem na poziomie filtra słów. Zachód dawkuje. Wschód rozdaje. Ta próbka jest najczystszym dowodem tej drugiej połowy — nie w benchmarku, lecz w działającym kodzie, który ktoś wgrał na VirusTotal.
Co to znaczy dla obrońcy
Konsekwencje są konkretne i wykraczają poza tę jedną próbkę.
Pierwsza dotyczy modelu zagrożeń dla przeglądarki. File System Access API nie jest luką — jest funkcją, i to użyteczną. Ale to znaczy, że nie da się jej „załatać". Obroną nie jest patch, tylko czujność użytkownika: pytanie, dlaczego strona prosi o dostęp do całego folderu, skoro potrzebuje jednego pliku. To jest trudniejsze do wyegzekwowania niż aktualizacja, bo wymaga zmiany nawyku, nie wersji oprogramowania. W środowiskach firmowych warto ograniczyć dostęp do File System Access API do zaufanych domen i monitorować użycie API Chromium — to jest realna, techniczna mitygacja, nie tylko „uważaj".
Druga jest szersza i dotyczy Androida. Ten wariant celuje w użytkowników telefonów, a nie — jak klasyczny ransomware — w przedsiębiorstwa i infrastrukturę krytyczną. To przesunięcie celu: Check Point zauważa, że aktywność ransomware'u wymierzonego w zwykłych użytkowników końcowych ostatnio rośnie, a teraz Chrome na Androidzie potrafi przyznać dostęp do folderu ze zdjęciami. Fałszywy „upscaler zdjęć", który szyfruje całą galerię, jest scenariuszem uderzającym w osoby, nie w firmy — i dlatego groźniejszym społecznie, niż wynikałoby z technicznej skali.
Trzecia jest najważniejsza i najtrudniejsza do przełożenia na regułę. Jeśli AI potrafi połączyć niemożliwy cel z realną funkcją platformy, to każda organizacja wpuszczająca AI do swoich procesów musi zacząć traktować sam model jako powierzchnię ataku — nie narzędzie, którego się używa, lecz element, który potrafi samodzielnie wymyślić, jak obejść założenia projektowe. To nie jest wezwanie do porzucenia AI. To wezwanie, by przestać zakładać, że skoro coś było „niewykonalne", to pozostanie niewykonalne — bo właśnie zobaczyliśmy, że model potrafi tę niewykonalność rozłożyć na czynniki i znaleźć wśród nich ten jeden, który działa.
Jedna myśl na koniec
Przez większość tego roku pocieszaliśmy się, że najgroźniejsze zdolności AI wymagają eksperckiej wiedzy po stronie atakującego — że model jest tak niebezpieczny, jak człowiek, który potrafi go poprowadzić. Ta próbka podważa to założenie w jednym punkcie. Osoba, która ją wygenerowała, nie musiała wiedzieć nic o File System Access API. Musiała tylko opisać, czego chce, i mieć dostęp do modelu, który nie odmówił. Wiedza, która do tej pory była barierą, przeniosła się z człowieka do modelu. A model — jak pokazał ten tydzień — bywa po prostu darmowy, dostępny i uprzejmie skłonny pomóc, jeśli tylko nie użyjesz niewłaściwego słowa.
Źródła
Check Point Research — oryginalna analiza „Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique", z opisem próbki, mechanizmu File System Access API i proof-of-concept: https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/
The Hacker News — omówienie z kluczowym cytatem o „pierwszym udokumentowanym przypadku" i danymi o 3000 plików / 1383 złośliwych: https://thehackernews.com/2026/07/ai-generated-browser-ransomware-abuses.html
The Register — szczegóły o obejściu zabezpieczenia DeepSeeka (zamiana słowa „ransomware"), działającym PoC na modelu V4 i kontekście RoB/USENIX 2023: https://www.theregister.com/security/2026/07/01/somebody-told-deepseek-to-build-in-browser-ransomware-and-it-gleefully-complied/



































































































































































































Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł