
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Rosnąca autonomia modeli językowych zmienia sposób oceny ryzyka w cyberbezpieczeństwie. Problem nie ogranicza się już do generowania kodu, podpowiedzi do exploitów czy automatyzacji pojedynczych czynności. Coraz większe znaczenie ma zdolność systemów agentowych do samodzielnego planowania, adaptacji i realizacji całych sekwencji działań ofensywnych.
Najnowsze obserwacje badaczy pokazują, że pojedynczy, wysokopoziomowy prompt może wystarczyć do uruchomienia kompletnego łańcucha ataku w kontrolowanym środowisku korporacyjnym. To przesuwa debatę z pytania „czy AI pomoże napastnikowi?” na pytanie „jak szybko i jak daleko agent może działać bez ręcznego sterowania?”.
W skrócie
W eksperymencie przeprowadzonym w środowisku przypominającym firmową infrastrukturę Active Directory model klasy frontier miał zrealizować pełny cykl działań ofensywnych po otrzymaniu jednego ogólnego polecenia. Scenariusz obejmował rozpoznanie, eksploatację, rekonesans wewnętrzny, eskalację uprawnień, ruch boczny oraz działania przygotowujące eksfiltrację danych.
W jednym z testów uzyskanie uprawnień administracyjnych na poziomie domeny miało zająć około 40 minut. Najważniejszy wniosek nie dotyczy pojawienia się całkowicie nowych technik ataku, lecz wyraźnego przyspieszenia i zautomatyzowania znanych etapów operacji cybernetycznych.
Kontekst / historia
Przez ostatnie lata dyskusja o generatywnej AI w bezpieczeństwie skupiała się głównie na dwóch obszarach: wsparciu analityków oraz potencjalnym użyciu modeli przez napastników do tworzenia phishingu, malware lub skryptów pomocniczych. Obecnie punkt ciężkości przesuwa się w stronę systemów agentowych, które nie tylko odpowiadają na pytania, ale także korzystają z narzędzi, wykonują polecenia, analizują wyniki i modyfikują plan działania.
W opisie badania opublikowanego 15 lipca 2026 r. wskazano, że testy przeprowadzono w środowisku odzwierciedlającym typową infrastrukturę przedsiębiorstwa opartą na Active Directory. Celem było sprawdzenie, jak daleko może zajść ofensywny agent AI, gdy otrzyma jeden cel wysokiego poziomu i odpowiednią autonomię operacyjną. Badacze analizowali różne scenariusze i obserwowali, czy model potrafi dostosować się do zmiennych warunków oraz niepowodzeń na kolejnych etapach ataku.
Analiza techniczna
Z technicznego punktu widzenia przełomowe nie jest samo generowanie komend, lecz zdolność modelu do iteracyjnego prowadzenia operacji. Obejmuje to planowanie, wykonywanie akcji, interpretację rezultatów, korektę strategii i kontynuowanie kampanii bez konieczności ręcznego sterowania każdym krokiem.
W opisywanym eksperymencie agent przechodził przez klasyczne fazy łańcucha ataku. Najpierw identyfikował zasoby i prowadził rozpoznanie środowiska, następnie wykorzystywał wykryte możliwości dostępu, realizował rekonesans wewnętrzny, wyszukiwał ścieżki eskalacji uprawnień i wykonywał ruch boczny. W dalszej kolejności podejmował działania ukierunkowane na osiągnięcie celu końcowego, czyli uzyskanie wysokich uprawnień i przygotowanie transferu danych.
Szczególnie istotna była obserwowana adaptacyjność. Agent nie działał wyłącznie według sztywnego skryptu. Gdy oczekiwana ścieżka zawodziła albo warunki środowiska ulegały zmianie, model modyfikował podejście na podstawie nowych obserwacji. Oznacza to przejście od prostego automatu wykonującego znane komendy do systemu, który może optymalizować przebieg operacji w czasie rzeczywistym.
W jednym z przypadków agent opracował podejście tunelowania oparte na SMB, aby umożliwić przemieszczanie danych przez wcześniej uzyskany punkt dostępu. Odnotowano również generowanie własnych sond podatności, modyfikowanie workflow zbierania danych oraz projektowanie alternatywnych ścieżek komunikacji. Takie zachowanie nie musi oznaczać odkrywania nowych luk, ale znacząco zwiększa skuteczność i tempo wykorzystania znanych technik.
Z perspektywy architektury bezpieczeństwa ważne jest też to, że ryzyko agentowe nie ogranicza się do jednego wektora. W analizach branżowych regularnie wskazuje się na zagrożenia związane z pośrednim prompt injection, nadużyciem narzędzi, manipulacją pamięcią kontekstu, obchodzeniem guardrails oraz wykorzystywaniem autoryzowanych operacji agenta do realizacji szkodliwego celu.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją nie jest pełna autonomizacja ataków w sensie futurystycznym, lecz kompresja czasu operacyjnego. Jeśli model potrafi połączyć rekonesans, eksploatację i eskalację uprawnień w jeden spójny proces, obrońcy mają mniej czasu na wykrycie anomalii i przerwanie incydentu. To zwiększa presję na telemetrykę, detekcję behawioralną i segmentację środowiska.
Ryzyko dotyczy kilku grup jednocześnie. Organizacje wykorzystujące agentową AI wewnętrznie muszą liczyć się z tym, że narzędzia z szerokimi uprawnieniami staną się nową powierzchnią ataku. Jednocześnie firmy broniące się przed zewnętrznymi przeciwnikami muszą zakładać, że modele będą używane do przyspieszania dobrze znanych TTP. Szczególnie narażone są środowiska, w których narzędzia AI mają dostęp do systemów katalogowych, stacji roboczych, repozytoriów kodu, systemów ticketowych lub danych wrażliwych.
Kluczowe jest także odróżnienie nowości technik od nowości skali. Większość opisywanych działań odpowiada znanym etapom post-exploitation. Zmienia się jednak tempo, konsekwencja i elastyczność ich wykonywania, co może obniżyć próg wejścia dla mniej zaawansowanych napastników i podnieść wydajność grup już doświadczonych.
Rekomendacje
Organizacje powinny traktować agentową AI jak uprzywilejowany komponent wykonawczy, a nie zwykły interfejs konwersacyjny. Oznacza to konieczność wdrożenia ścisłej kontroli uprawnień, separacji ról oraz ograniczania dostępu do narzędzi i danych zgodnie z zasadą najmniejszych uprawnień.
- Ograniczyć możliwość wykonywania poleceń systemowych i wywołań narzędzi wyłącznie do niezbędnych przypadków użycia.
- Segmentować środowiska testowe, produkcyjne i administracyjne, aby agent nie miał niekontrolowanej ścieżki do zasobów krytycznych.
- Monitorować pełny łańcuch działań agenta, w tym prompty, odpowiedzi modelu, wywołania narzędzi, rezultaty i kontekst decyzyjny.
- Wykrywać anomalie behawioralne, takie jak nietypowa sekwencja rekonesansu, enumeracji, ruchu bocznego i prób eskalacji uprawnień.
- Stosować walidację oraz filtrowanie danych wejściowych z nieufnych źródeł, aby ograniczyć ryzyko pośredniego prompt injection.
- Wdrożyć mechanizmy human-in-the-loop dla operacji wysokiego ryzyka, zwłaszcza związanych z dostępem do infrastruktury, poświadczeń i danych wrażliwych.
- Prowadzić red teaming agentów AI z naciskiem na nadużycie narzędzi, obejście guardrails oraz manipulację kontekstem.
Z perspektywy SOC i zespołów IR potrzebna jest również aktualizacja modeli zagrożeń. Telemetria powinna obejmować nie tylko aktywność endpointów i sieci, ale także warstwę orkiestracji AI. W przeciwnym razie część działań może wyglądać jak legalne użycie autoryzowanych integracji, mimo że faktycznie stanowi etap skoordynowanego ataku.
Podsumowanie
Opisywany eksperyment pokazuje, że agentowa sztuczna inteligencja staje się istotnym czynnikiem zmieniającym krajobraz cyberzagrożeń. Najważniejszy wniosek nie dotyczy odkrycia nowej klasy exploitów, lecz zdolności modeli do szybkiego i adaptacyjnego łączenia istniejących technik w kompletny łańcuch operacyjny.
Dla obrońców oznacza to konieczność przesunięcia uwagi z samej treści generowanej przez model na jego realne możliwości wykonawcze, dostęp do narzędzi oraz obserwowalność podejmowanych działań. Wraz ze wzrostem autonomii agentów rośnie znaczenie kontroli runtime, ograniczania uprawnień i projektowania architektury odpornej na nadużycia.
Źródła
- https://www.infosecurity-magazine.com/news/chatgpt55-to-execute-full/
- https://www.catonetworks.com/resources/practical-framework-for-securing-agentic-ai/
- https://carnegieendowment.org/research/2026/07/when-ai-agents-attack-autonomous-cyber-operations-and-europes-governance-gap
- https://arxiv.org/abs/2606.10525
- https://arxiv.org/abs/2603.09134