W zeszłym tygodniu podłączyłeś swojego błyszczącego nowego agenta AI do Slacka, Lineara, GitHuba i maila. Pięć narzędzi, jeden autonomiczny asystent, zero tarcia. Twój poranny workflow w końcu wyglądał jak ta przyszłość, którą wszyscy obiecują od 2023 roku. Gratulacje — właśnie zbudowałeś powierzchnię ataku, przy której Windows XP z 2005 roku wygląda jak Fort Knox.
Problem, o którym nikt nie wspomniał podczas onboardingu: każda wiadomość, ticket, issue i dokument, który twój agent czyta, to tekst napisany przez kogoś innego. A twój agent — napędzany przez LLM (large language model, mózg stojący za ChatGPT, Claude, Gemini) — nie potrafi odróżnić twoich instrukcji od instrukcji, które ktoś ukrył w tym tekście. Ta luka ma nazwę: prompt injection — atakujący osadza ukryte polecenia w zwykłym tekście, a AI wykonuje je zamiast twoich.
Prompt injection przestał być teorią w lutym, kiedy atak Clinejection wyciągnął klucze SSH od około 4000 deweloperów za pomocą niewidocznych znaków Unicode ukrytych w tytułach issue na GitHubie. To był proof of concept. Kwiecień 2026 to wdrożenie produkcyjne.
4 kwietnia firma Wiz zajmująca się bezpieczeństwem chmurowym opublikowała analizę kampanii supply chain o nazwie prt-scan: jeden threat actor wysłał 475 złośliwych pull requestów w 26 godzin, używając payloadów generowanych przez AI, które dopasowywały się do stacka każdego repozytorium. Repo w Pythonie? Wstrzyknięcie przez conftest.py. Node.js? Zatrucie package.json. Rust? Wślizgnięcie się do build.rs. Narzędzia atakującego — w zasadzie agent atakujący inne agenty — działały w tempie, z którym żaden ludzki code reviewer nie miał szans. Potwierdzone kradzieże obejmowały klucze AWS, tokeny API Cloudflare i dane uwierzytelniające Netlify.
11 kwietnia ujawniono dwie krytyczne podatności (CVE-2026-5058 i CVE-2026-5059, obie z oceną 9.8/10) w serwerze AWS MCP — MCP (Model Context Protocol) to uniwersalny standard podłączania agentów AI do zewnętrznych narzędzi, coś jak USB, ale dla danych. Obie luki pozwalały na zdalne wykonanie kodu bez uwierzytelniania. Żadnego loginu. Wystarczyło wysłać odpowiedni tekst. Dziury w AWS nie były odosobnione: serwer MCP Microsoftu dla Azure został wydany w ogóle bez uwierzytelniania (CVE-2026-32211, ujawniony 3 kwietnia), a 7 kwietnia luka DNS rebinding (CVE-2026-35568) w MCP Java SDK pozwalała przejmować lokalnie działające serwery AI przez przeglądarkę ofiary.
9 kwietnia zespół Unit 42 z Palo Alto udokumentował 22 techniki, które atakujący stosują na żywo: tekst o zerowym rozmiarze, ukrywanie przez CSS, kodowanie Base64, nadpisywanie kierunkowości Unicode.
Ich wniosek zasługuje na osobną linijkę: "Cały web w praktyce staje się mechanizmem dostarczania promptów do LLM-ów."
Powierzchnia ataku skaluje się multiplikatywnie. Agent podłączony do pięciu narzędzi ma pięć kanałów wejściowych dla zatrutego tekstu. Połącz agenty w łańcuch — Slack triggeruje Lineara, Linear triggeruje agenta kodującego — i jedno wstrzyknięcie kaskaduje przez każde przekazanie. Badacz bezpieczeństwa Simon Willison ujął to precyzyjnie w swoim poście z 6 kwietnia: "Śmiertelna Trójca" — dostęp do prywatnych danych + ekspozycja na niezaufaną treść + jakikolwiek wektor eksfiltracji = gwarantowana kradzież danych. Jego ocena vendorów chwalących się 95% skutecznością obrony: "95% to zdecydowanie ocena niedostateczna."
Microsoft milcząco przyznał się do problemu 2 kwietnia, udostępniając jako open source Agent Governance Toolkit — wymuszanie polityk w runtime poniżej 0.1ms, siedem pakietów, 9500 testów, wsparcie dla Pythona, TypeScripta, Rusta, Go i .NET. Dobry początek. Ale też przyznanie, że żadna istniejąca platforma nie ma tego wbudowanego.
Zanim podłączysz narzędzie numer sześć, zrób audyt tego, jakie akcje twój agent może wykonywać autonomicznie. Zakładaj, że każdy tekst, który czyta — każda wiadomość na Slacku, każdy ticket w Jirze, każdy temat maila — to potencjalne niepodpisane polecenie uruchamiane z twoimi uprawnieniami.
Najgroźniejszy agent to nie ten najmądrzejszy. To ten z największą liczbą uprawnień, który nie ma pojęcia, że już jest skompromitowany.
