22 czerwca szefowie cyberbezpieczeństwa pięciu państw sojuszu Five Eyes — USA, Wielkiej Brytanii, Kanady, Australii i Nowej Zelandii — wydali rzadki wspólny komunikat zatytułowany „The AI shift in cyber risk: why leaders must act now". Pod dokumentem podpisali się między innymi David Imbordino, dyrektor Dyrektoriatu Cyberbezpieczeństwa NSA, i Nick Andersen, p.o. dyrektora CISA. Teza: frontierowe modele AI przekształcą zdolności ofensywne i defensywne szybciej, niż branża zakłada. „Ten horyzont to nie lata, to miesiące."
Dla cyberflux to jest moment szczególny. Przez trzy miesiące opisywaliśmy ten wzorzec incydent po incydencie, a w Radarze postawiliśmy go jako tezę. Teraz pięć agencji wywiadowczych mówi to samo, własnymi słowami. To jest najwyższa rangą walidacja metody, jaką można sobie wyobrazić. Ale — i to jest najciekawsze — najważniejsze w tym komunikacie jest jedno zdanie, którego agencje nie powiedziały. I do niego dojdziemy.
Co dokładnie ostrzegają
Komunikat jest bezpośredni i konkretny. Agencje spodziewają się, że zaawansowane zdolności hakerskie oferowane przez modele takie jak Fable 5 Anthropic i Daybreak OpenAI staną się szeroko dostępne publicznie w ciągu roku — mimo wysiłków firm AI, by je wstrzymać lub ograniczyć dostęp.
Mechanizm zagrożenia, który opisują, czyta się jak spis treści tego, co publikowaliśmy. AI skraca czas między ujawnieniem podatności a jej eksploatacją — dokładnie to opisywaliśmy przy PAN-OS, HTTP/2 Bomb i FortiSandbox. AI automatyzuje rekonesans, znajdowanie luk i tworzenie exploitów. Zero-daye staną się częstsze, bo systemy AI wprowadzają nowe klasy błędów i błędów logicznych trudnych do wykrycia tradycyjnymi metodami — co zilustrowaliśmy wczoraj Squidbleedem, 29-letnim błędem parsera znalezionym przez model Mythos.
Agencje wskazują konkretne słabości, które AI będzie szczególnie skutecznie wykorzystywać: systemy legacy, powolne cykle łatania, niepotrzebną łączność z internetem, słabe kontrole tożsamości i dostępu oraz brak planowania na wypadek incydentu. To nie jest lista nowych zagrożeń — to jest lista starych zaniedbań, które AI czyni groźniejszymi. Sam komunikat to przyznaje: zalecenia są w dużej mierze te same od dekad. „Sukces przyjdzie z opanowania podstaw, szybkiego działania i wbudowania cyberbezpieczeństwa w rdzeń strategii biznesowej."
Zdanie, którego nie powiedzieli — i dlaczego jest najważniejsze
Tu jest niuans, który odróżnia odpowiedzialną analizę od powielania nagłówka. CyberScoop wyciąga go wprost, a większość omówień gubi.
Komunikat Five Eyes nie powołuje się na tajne ani niejawne źródła czy metody, by dojść do swoich wniosków. To nie jest raport oparty na sekretnym wywiadzie, do którego tylko agencje mają dostęp. Jest oparty w dużej mierze na tym samym jawnym materiale, który publiczni eksperci omawiają od miesięcy — i który my opisujemy na cyberflux.
To prowadzi do zdania, którego agencje nie powiedziały, a które jest sednem uczciwej oceny: zdolności, które rzekomo czynią Fable 5 tak groźnym, są już dziś osiągalne starszymi modelami. CyberScoop ujmuje to wprost — możliwości opisane w raporcie Amazona, który przekonał administrację do nałożenia kontroli eksportu na Fable 5, dało się już zrealizować starszymi modelami jak Claude Opus i Sonnet, a także otwartoźródłowymi modelami chińskimi.
To jest dokładnie ta sama dyscyplina, którą staraliśmy się utrzymać przy analizie „histeria czy diagnoza" — gdzie Ben Harris z watchTowr argumentował, że zdolności Mythos są reprodukowalne przez orkiestrację starszych modeli. Wniosek jest niewygodny i ważny: jeśli zagrożenie jest realne, to nie jest specyficzne dla jednego modelu. Wyłączenie Fable 5 nie usuwa zdolności — przesuwa tylko, kto ma do niej wygodny dostęp. To jest argument, który Anthropic sam podniósł w sporze z rządem, i który Five Eyes mimowolnie potwierdza, opierając ostrzeżenie na jawnych, nie tajnych przesłankach.
Open-source jako prawdziwy zegar
Jest w komunikacie element, który nadaje tezie „miesiące, nie lata" konkretny mechanizm — i który jest najważniejszy dla zrozumienia, dlaczego ograniczenia dostępu mają ograniczoną wartość.
Od czasu pojawienia się dużych modeli językowych modele otwartoźródłowe pozostają około 6-8 miesięcy za największymi firmami frontierowymi. To jest stała, obserwowalna prawidłowość. Oznacza ona, że dzisiejsza zastrzeżona zdolność frontierowa jest jutrzejszą darmową, otwartoźródłową zdolnością — dostępną dla każdego, bez kontroli eksportu, bez weryfikacji, bez bramki.
To jest realny zegar odliczający, o którym mówi komunikat. Nie chodzi o to, że Fable 5 albo Mythos same w sobie trafią do złych rąk. Chodzi o to, że za 6-8 miesięcy porównywalne zdolności pojawią się w modelu otwartoźródłowym, którego nikt nie może wyłączyć dyrektywą. To jest ta sama logika okna, którą opisywaliśmy w Radarze i którą Anthropic nazwał uzasadnieniem Glasswing: jest ograniczony czas, by utwardzić infrastrukturę, zanim zdolności staną się powszechne i niekontrolowane.
Programy takie jak Project Glasswing Anthropic i Trusted Access for Cyber OpenAI są właśnie próbą wykorzystania tego okna — dania obrońcom przewagi w znajdowaniu i łataniu luk, zanim atakujący zaczną je rutynowo eksploatować. Squidbleed jest pierwszym konkretnym, nazwanym owocem tego podejścia, który opisaliśmy.
Wymiar geopolityczny
Komunikat ma też warstwę, która wykracza poza technikę — i którą warto odnotować, bo zmienia ramę całej dyskusji o kontroli dostępu.
Andrew Garbarino, przewodniczący komisji Homeland Security w Izbie Reprezentantów, skomentował ostrzeżenie słowami, że Chiny są „miesiące, jeśli nie tygodnie" od osiągnięcia frontierowych zdolności AI porównywalnych z amerykańskimi. To przesuwa logikę kontroli eksportu: jeśli przeciwnik i tak osiągnie te zdolności samodzielnie w ciągu tygodni, to ograniczanie dostępu do amerykańskich modeli chroni przed coraz węższym oknem.
To jest napięcie, które opisywaliśmy przy sporze Anthropic z rządem i reakcji europejskiej. Garbarino wyciąga z niego wniosek odwrotny do dyrektywy eksportowej: że trzeba zapewnić, by agencje federalne i operatorzy infrastruktury krytycznej mogli odpowiedzialnie korzystać z zaawansowanych modeli amerykańskich, by znajdować luki, zanim zrobią to przeciwnicy. Innymi słowy — w obliczu nieuchronności zdolności po obu stronach, blokowanie własnych obrońców jest strategicznie wątpliwe. To jest dokładnie ta sprzeczność, w której dyrektywa wyłączająca Fable 5 jednocześnie odcięła obrońców od narzędzia, które miało im dać przewagę.
Co to znaczy dla obrońcy
Komunikat jest adresowany do zarządów i liderów, nie do działów IT — i to jest jego główna teza praktyczna. Cyberbezpieczeństwo przestaje być kwestią techniczną delegowaną do zespołu IT, a staje się krytyczną kwestią biznesową. Ale konkretne zalecenia są dokładnie tymi, które powtarzaliśmy przez cały kwartał.
Ogranicz niepotrzebny dostęp do systemów. To jest ta sama zasada najmniejszych uprawnień, którą wskazywaliśmy przy Claude Code, Agentjacking i AutoJack — jedyną twardą granicą jest to, czego system nie może zrobić.
Przyspiesz łatanie. Five Eyes wskazuje powolne cykle łatania jako kluczową słabość, którą AI będzie eksploatować — bo skraca czas disclosure→exploit do dni. To jest „patch wave", przed którą NCSC ostrzegał wczoraj, i którą rekord 429 łatek Chrome zilustrował.
Wzmocnij kontrole tożsamości i dostępu, odetnij niepotrzebną łączność z internetem, przygotuj plan reagowania na incydent przed incydentem. Żadne z tych zaleceń nie jest nowe — i to jest, paradoksalnie, najważniejsze przesłanie. AI nie wymaga nowej kategorii obrony. Czyni groźniejszymi te same zaniedbania, które były groźne zawsze.
Integruj AI po stronie obrony. Agencje podkreślają, że sukces nie przyjdzie z wdrożenia większej liczby narzędzi, ale z wbudowania bezpieczeństwa w strategię — i z aktywnego używania AI do wykrywania anomalii, zarządzania podatnościami i przyspieszania reakcji. To jest ta sama dwoistość, którą opisujemy od maja: ta sama technologia jest zagrożeniem i obroną, a różnica leży w tym, kto użyje jej pierwszy i mądrzej.
Walidacja metody — i ostrożność, którą warto zachować
Warto na koniec nazwać, czym ten komunikat jest dla cyberflux, bez popadania w samozadowolenie.
Jest walidacją. Trajektoria, którą postawiliśmy w Radarze jako tezę — okno „miesiące nie lata", AI po obu stronach, kurczący się czas disclosure→exploit — jest teraz dokładnie tym, co pięć agencji wywiadowczych mówi we wspólnym komunikacie. Metoda, którą stosujemy — czytanie wzorca z pojedynczych incydentów — doprowadziła do tych samych wniosków, do których doszły służby, miesiące wcześniej.
Ale warto zachować tę samą ostrożność, którą zalecamy przy każdym alarmie. Komunikat Five Eyes, mimo rangi sygnatariuszy, mówi to, co publiczni eksperci powtarzają od roku, i nie wnosi tajnego dowodu. To go nie unieważnia — ale przypomina, że ranga nadawcy nie zastępuje dowodu. Najtrzeźwiejsze zdanie z całej sprawy jest tym, którego agencje nie powiedziały: jeśli zagrożenie jest realne i powszechne, to żadna pojedyncza blokada go nie usunie, a histeria wokół jednego modelu odwraca uwagę od podstaw, które trzeba opanować niezależnie od tego, który model jest akurat dostępny. To jest diagnoza, nie panika — i taka właśnie powinna zostać.
Źródła
CyberScoop — analiza z kluczowym niuansem o braku tajnych źródeł i reprodukowalności zdolności starszymi modelami: https://cyberscoop.com/five-eyes-alliance-say-advanced-ai-hacking-models-months-away/
heise online — omówienie komunikatu i akcentu na cyberbezpieczeństwo jako ryzyko biznesowe: https://www.heise.de/en/news/Five-Eyes-warn-AI-is-rapidly-changing-cyber-risks-11340692.html
Cyber Security News — szczegóły zaleceń secure-by-design i kontekst zero-day: https://cybersecuritynews.com/five-eye-agencies-call-stop-cyber-threats/
GBHackers — analiza akcentu na skracanie czasu disclosure→exploit i nowe klasy błędów: https://gbhackers.com/five-eyes-agencies-warn-ai/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł