Bezpieczeństwo systemów AI coraz częściej dotyczy nie tylko samych modeli, lecz także sposobu ich wdrażania oraz narzędzi wykorzystywanych w środowisku organizacji. W marcu 2026 r. odnotowano m.in. przypadek uzyskania dostępu do hurtowni danych o wielkości ponad 131 terabajtów poprzez niechroniony interfejs API, a także incydenty obejmujące ujawnienie architektury mechanizmów bezpieczeństwa narzędzia developerskiego oraz kompromitację komponentu wykorzystywanego w komunikacji z modelami AI.

 

Opisane incydenty pokazują, że wraz z rozwojem AI punkty ryzyka pojawiają się w wielu warstwach architektury – od dostępu do danych, przez narzędzia developerskie, po komponenty integracyjne – komentuje Mariusz Sawczuk, Senior Solution Engineer, F5. – AI zmienia nie tyle charakter ryzyka, co tempo, w jakim podatności mogą być identyfikowane i wykorzystywane.

 

131 TB danych dostępnych bez uwierzytelnienia

W marcu 2026 r. firma badawcza CodeWall poinformowała o możliwości uzyskania dostępu do hurtowni danych BCG X Portal poprzez niechroniony interfejs API. Zasób obejmował ok. 3,17 bln rekordów o łącznej wielkości 131,2 terabajta, w tym m.in. dane dotyczące historii zatrudnienia, informacji o transakcjach oraz danych związanych z wynagrodzeniami partnerów biznesowych.

Zgodnie z opisem CodeWall autonomiczny agent badawczy sformułował hipotezę, że organizacje działające w tym samym sektorze mogą wykorzystywać podobne technologie oraz architektury systemów. Następnie przeprowadził proces rozpoznania infrastruktury, identyfikując publicznie dostępne endpointy API oraz interfejs umożliwiający wykonywanie zapytań SQL bez uwierzytelnienia.

 

Przypadek ten pokazuje, że modele AI mogą wykorzystywać zdolność do formułowania hipotez oraz analizowania zależności branżowych do identyfikowania potencjalnych podatności w środowiskach technologicznych o podobnej architekturze – wyjaśnia Sawczuk. – Pojedyncza podatność może więc wskazywać podobne ryzyko także w innych organizacjach korzystających z porównywalnych rozwiązań.

 

Pół miliona linii kodu i architektura bezpieczeństwa wystawiona na widok publiczny

Kolejny incydent dotyczył ujawnienia kodu źródłowego narzędzia Claude Code w wyniku błędu w procesie budowania pakietu. Do publicznego repozytorium trafiły tzw. source maps obejmujące ponad 500 tys. linii kodu TypeScript w 1 884 plikach, zawierające informacje o mechanizmach kontroli bezpieczeństwa, konfiguracji uprawnień oraz sposobie działania systemów odpowiedzialnych za ocenę ryzyka operacji wykonywanych przez model.

Ujawniony kod obejmował m.in. zmienne środowiskowe umożliwiające wyłączanie wybranych mechanizmów bezpieczeństwa, logikę klasyfikatora automatycznych uprawnień oraz elementy odpowiedzialne za weryfikację autentyczności zapytań. Publiczna dostępność tych informacji może ułatwiać analizę sposobu działania zabezpieczeń oraz identyfikowanie potencjalnych scenariuszy ich obejścia.

 

Bezpieczeństwo modeli AI zależy nie tylko od ich architektury, lecz także od sposobu implementacji i konfiguracji mechanizmów kontrolnych. Ujawnienie informacji o logice działania tych zabezpieczeń może wpływać na sposób projektowania prób ich obejścia – komentuje Sawczuk.

 

Znaczenie bezpieczeństwa warstwy integracyjnej

Trzeci incydent dotyczył narzędzia LiteLLM wykorzystywanego jako warstwa integracyjna pomiędzy organizacją a modelami AI różnych dostawców. W wyniku ataku na łańcuch dostaw oprogramowania złośliwy kod został wprowadzony do procesu publikacji pakietu, co umożliwiło pozyskiwanie danych uwierzytelniających oraz informacji o konfiguracji środowiska.

Zmodyfikowane wersje pakietu umożliwiały m.in. pozyskiwanie kluczy API, danych dostępowych do usług chmurowych oraz informacji o środowisku wykorzystywanym do uruchamiania aplikacji. Ekspert F5 zwraca uwagę, że komponenty pośredniczące w komunikacji pomiędzy organizacją a modelami AI mogą mieć dostęp do szerokiego zakresu informacji wykorzystywanych w procesie generowania odpowiedzi, co zwiększa znaczenie kontroli bezpieczeństwa również w tej warstwie środowiska technologicznego.

 

Warstwa integracyjna jako nowy punkt ryzyka

 

Opisane incydenty pokazują, że ocena bezpieczeństwa systemów opartych na AI obejmuje obecnie różne elementy środowiska technologicznego.
W praktyce oznacza to, że ocena systemów coraz częściej obejmuje ona nie pojedyncze podatności, lecz sposób współdziałania modeli, danych oraz narzędzi wykorzystywanych w procesie ich wdrażania – podsumowuje Sawczuk.

Źródło:
Zdjęcie - unsplash