Archiwa: AI - Strona 13 z 51 - Security Bez Tabu

Tag: AI

Secrets sprawl w 2026 roku: AI, repozytoria wewnętrzne i narastający problem wycieków poświadczeń

Cybersecurity news

Wprowadzenie do problemu / definicja

Secrets sprawl to niekontrolowane rozprzestrzenianie się wrażliwych danych uwierzytelniających w środowisku organizacji. Chodzi przede wszystkim o klucze API, tokeny dostępu, hasła, poświadczenia chmurowe, sekrety CI/CD oraz dane używane przez aplikacje, automatyzację i usługi sztucznej inteligencji.

W 2026 roku problem ten pozostaje jednym z najpoważniejszych wyzwań bezpieczeństwa w nowoczesnym cyklu wytwarzania oprogramowania. Rosnąca liczba integracji, automatyzacji i tożsamości nieludzkich sprawia, że sekrety pojawiają się w coraz większej liczbie miejsc, często poza formalną kontrolą zespołów bezpieczeństwa.

W skrócie

Skala zjawiska wyraźnie wzrosła. W 2025 roku odnotowano 29 milionów nowych hardcodowanych sekretów w publicznych commitach, co oznacza wzrost o 34% rok do roku. Szczególnie dynamicznie rosły wycieki związane z usługami AI, których liczba zwiększyła się o 81% rok do roku.

Jednocześnie problem przestał dotyczyć wyłącznie publicznych repozytoriów. Sekrety coraz częściej trafiają do prywatnych repozytoriów, komunikatorów, systemów ticketowych, obrazów kontenerów, środowisk developerskich i runnerów CI/CD. Dodatkowym zagrożeniem jest niski poziom remediacji, przez co część ujawnionych poświadczeń pozostaje aktywna przez lata.

  • 29 mln nowych sekretów w publicznych commitach w 2025 roku
  • 34% wzrost rok do roku
  • 81% wzrost wycieków powiązanych z AI
  • Wysoka ekspozycja repozytoriów wewnętrznych i środowisk self-hosted
  • Utrzymujący się problem aktywnych, nieunieważnionych poświadczeń

Kontekst / historia

Wyciekające sekrety od lat stanowią istotny problem dla organizacji rozwijających oprogramowanie w modelu chmurowym i DevOps. W przeszłości największa uwaga koncentrowała się na publicznych repozytoriach, ponieważ były one najłatwiejsze do monitorowania i często prowadziły do głośnych incydentów.

Obecnie krajobraz zagrożeń jest jednak znacznie szerszy. Upowszechnienie konteneryzacji, automatyzacji pipeline’ów, infrastruktury jako kodu, usług SaaS oraz integracji z modelami AI doprowadziło do sytuacji, w której poświadczenia są rozproszone w całym środowisku technologicznym organizacji. Każda nowa integracja oznacza kolejne tokeny, klucze i konta usługowe, które muszą być zarządzane i chronione.

W praktyce wiele firm nadal zakłada, że repozytoria prywatne lub narzędzia współpracy są wystarczająco bezpieczne. To błędne założenie, ponieważ naruszenie konta, zła konfiguracja uprawnień, przejęcie endpointu lub incydent w łańcuchu dostaw mogą bardzo szybko doprowadzić do ujawnienia danych dostępowych.

Analiza techniczna

Najważniejszy wniosek techniczny jest prosty: liczba wycieków sekretów rośnie szybciej niż populacja programistów. Oznacza to, że źródłem problemu nie jest wyłącznie większa liczba osób tworzących kod, ale również charakter nowoczesnych procesów wytwórczych, w których automatyzacja i AI zwiększają wolumen kodu, konfiguracji i integracji.

Szczególnie widoczny jest wzrost liczby sekretów związanych z ekosystemem AI. Obejmuje to nie tylko klucze do modeli, ale także poświadczenia do usług wyszukiwania, backendów agentowych, narzędzi orkiestracyjnych i komponentów pomocniczych. W efekcie organizacje tworzą coraz więcej tożsamości maszynowych, często bez jednoznacznego właściciela, bez procesu rotacji i bez centralnej ewidencji.

Istotnym zjawiskiem jest też większa ekspozycja repozytoriów wewnętrznych niż publicznych. To właśnie tam częściej znajdują się prawdziwe dane produkcyjne, tokeny CI/CD, poświadczenia do baz danych i klucze chmurowe. Prywatny charakter repozytorium nie eliminuje ryzyka, ponieważ dostęp do niego może zostać uzyskany w wyniku przejęcia konta, błędnej konfiguracji lub kompromitacji systemu pośredniczącego.

Coraz więcej wycieków pochodzi również spoza kodu źródłowego. Sekrety pojawiają się w Slacku, Jira, Confluence i innych narzędziach współpracy, zwykle podczas troubleshootingu, onboardingu, ręcznej wymiany informacji operacyjnych lub działań związanych z incydentami. Tego typu dane bywają szczególnie niebezpieczne, ponieważ często dotyczą aktywnych systemów produkcyjnych.

Osobnym problemem są środowiska self-hosted oraz obrazy kontenerów. W praktyce sekrety mogą pozostać zapisane w warstwach builda, plikach konfiguracyjnych, zmiennych środowiskowych i artefaktach tymczasowych. Nawet jeśli aplikacja nie eksponuje ich bezpośrednio, analiza obrazu lub hosta może pozwolić na odzyskanie cennych poświadczeń.

Raport zwraca też uwagę na trwałość wycieków. Wiele sekretów zidentyfikowanych lata wcześniej nadal pozostaje aktywnych, co pokazuje, że sama detekcja nie rozwiązuje problemu. Jeśli organizacja nie ma sprawnego procesu unieważniania, rotacji i bezpiecznej wymiany poświadczeń, raz ujawniony sekret może stać się długoterminową ścieżką dostępu dla atakującego.

Duże znaczenie mają również endpointy deweloperskie i runnery CI/CD. Na pojedynczym systemie mogą znajdować się te same sekrety w plikach .env, historii poleceń, konfiguracjach IDE, cache narzędzi oraz pozostałościach po buildach. Kompromitacja takiej maszyny daje atakującemu szeroki zestaw gotowych danych dostępowych, a w przypadku runnerów CI/CD skala potencjalnego wpływu jest jeszcze większa.

Nowym obszarem ryzyka stały się także konfiguracje związane z agentami AI i Model Context Protocol. Sekrety trafiają tam do plików JSON, parametrów startowych i lokalnych konfiguracji integracyjnych, które nie zawsze są objęte klasycznym skanowaniem bezpieczeństwa.

Konsekwencje / ryzyko

Secrets sprawl przekłada się bezpośrednio na realne scenariusze ataku. Ujawnione poświadczenia mogą posłużyć do przejęcia kont chmurowych, naruszenia pipeline’ów CI/CD, uzyskania dostępu do danych klientów, eskalacji uprawnień i lateral movement wewnątrz środowiska.

Szczególnie niebezpieczne są aktywne sekrety produkcyjne, które pozostają ważne długo po wycieku. Pozwalają one napastnikom wrócić do środowiska nawet po zakończeniu początkowej fazy incydentu, a czasem również po pozornym zamknięciu sprawy przez organizację.

W środowiskach wykorzystujących AI ryzyko rośnie jeszcze szybciej, ponieważ firmy często nie mają pełnej wiedzy o wszystkich istniejących tożsamościach nieludzkich. Brak właściciela, brak inwentaryzacji i szerokie uprawnienia tworzą warunki do poważnych naruszeń bezpieczeństwa oraz problemów z zgodnością i audytem.

  • Przejęcie kont usługowych i środowisk chmurowych
  • Kompromitacja łańcucha dostaw oprogramowania
  • Dostęp do danych klientów i systemów produkcyjnych
  • Lateral movement i utrzymanie trwałej obecności w środowisku
  • Ryzyko reputacyjne, regulacyjne i operacyjne

Rekomendacje

Organizacje powinny traktować sekrety jako element zarządzania tożsamościami nieludzkimi, a nie wyłącznie jako problem jakości kodu. Punktem wyjścia musi być pełna inwentaryzacja kont usługowych, kluczy API, tokenów, poświadczeń pipeline’ów oraz danych używanych przez aplikacje i agentów AI.

Niezbędne jest wdrożenie wielowarstwowego skanowania obejmującego repozytoria publiczne i prywatne, komunikatory, systemy ticketowe, obrazy kontenerów, artefakty buildów, środowiska self-hosted oraz endpointy deweloperskie. Kontrole te powinny być zintegrowane z SDLC i pipeline’ami CI/CD.

Kluczowe znaczenie ma automatyzacja remediacji. Samo wykrycie sekretu nie wystarczy, jeśli organizacja nie jest w stanie szybko go unieważnić, zrotować lub zastąpić bezpiecznym mechanizmem dostępu. W praktyce warto ograniczać stosowanie statycznych poświadczeń na rzecz krótkotrwałych tokenów, federacji tożsamości, dynamicznych sekretów oraz centralnych sejfów sekretów.

Dobrą praktyką jest również ograniczanie ekspozycji na stacjach roboczych i runnerach CI/CD. Obejmuje to zasadę minimalnych uprawnień, segmentację, bezpieczne przechowywanie sekretów, wyłączanie ich z historii poleceń i regularne usuwanie artefaktów tymczasowych. W środowiskach kontenerowych należy dodatkowo monitorować warstwy obrazów i procesy buildów pod kątem przypadkowego zapisu danych uwierzytelniających.

W kontekście AI firmy powinny objąć konfiguracje agentów, integracje MCP i lokalne pliki konfiguracyjne tymi samymi zasadami, które stosują wobec systemów produkcyjnych. Każdy sekret powinien mieć właściciela, określony cykl życia, zakres uprawnień i procedurę rotacji.

Podsumowanie

Secrets sprawl pozostaje jednym z najszybciej narastających problemów bezpieczeństwa w nowoczesnych środowiskach IT. Najnowsze dane pokazują, że skala wycieków poświadczeń rośnie szybciej niż liczba deweloperów, a rozwój AI dodatkowo przyspiesza ten trend.

Największa zmiana polega jednak na przesunięciu źródeł ekspozycji poza publiczny kod. Dziś sekrety wyciekają również z repozytoriów wewnętrznych, narzędzi współpracy, obrazów kontenerów, runnerów CI/CD i konfiguracji agentów. Dlatego organizacje muszą przejść od pasywnego wykrywania do aktywnego zarządzania cyklem życia poświadczeń oraz pełnego nadzoru nad tożsamościami nieludzkimi.

Źródła

  1. The State of Secrets Sprawl 2026: 9 Takeaways for CISOs
  2. The State of Secrets Sprawl Report 2026

OpenAI łata luki w ChatGPT i Codex: ryzyko wycieku danych oraz przejęcia tokenów GitHub

Cybersecurity news

Wprowadzenie do problemu / definicja

OpenAI usunęło dwie istotne podatności bezpieczeństwa dotyczące swoich narzędzi opartych na sztucznej inteligencji. Pierwsza luka umożliwiała niejawny wyciek danych z rozmów prowadzonych w ChatGPT, w tym treści wiadomości i przesyłanych plików, z pominięciem standardowych mechanizmów ochronnych. Druga dotyczyła usługi Codex i mogła prowadzić do przejęcia tokenów GitHub na skutek błędu typu command injection.

Sprawa pokazuje, że nowoczesne platformy AI nie są już wyłącznie interfejsami do generowania odpowiedzi. Coraz częściej pełnią rolę środowisk wykonawczych dla kodu, analizy danych i automatyzacji, a to znacząco zwiększa powierzchnię ataku.

W skrócie

Według ujawnionych informacji badacze z Check Point odkryli w ChatGPT lukę zero-day pozwalającą na wynoszenie wrażliwych danych bez wiedzy użytkownika. Mechanizm miał wykorzystywać ukryty kanał komunikacji oparty na DNS w środowisku Linux używanym przez funkcje analizy danych i wykonywania kodu. OpenAI wdrożyło poprawkę 20 lutego 2026 roku i nie odnotowano dowodów na aktywne wykorzystanie błędu w rzeczywistych atakach.

Niezależnie od tego BeyondTrust ujawnił krytyczną podatność w Codex. Problem wynikał z niewystarczającej sanityzacji nazwy gałęzi GitHub podczas tworzenia zadań, co umożliwiało wstrzyknięcie poleceń do kontenera agenta i w konsekwencji kradzież tokenów dostępowych GitHub. Poprawka została wdrożona 5 lutego 2026 roku.

Kontekst / historia

Oba incydenty wpisują się w szerszy trend związany z bezpieczeństwem agentów AI i platform wykonujących działania w imieniu użytkownika. W praktyce oznacza to przesunięcie granicy zaufania: system nie tylko interpretuje polecenia, ale może również uruchamiać kod, przetwarzać pliki, korzystać z tokenów dostępowych i komunikować się z usługami zewnętrznymi.

W takim modelu tradycyjne zabezpieczenia, takie jak blokowanie klasycznych połączeń wychodzących czy filtrowanie odpowiedzi modelu, nie zawsze są wystarczające. Jeżeli w tle działają słabiej kontrolowane kanały komunikacji albo backendy przyjmują nieprawidłowo walidowane dane wejściowe, możliwe staje się obejście zabezpieczeń logicznych bez wyraźnych alertów po stronie użytkownika.

Analiza techniczna

W przypadku ChatGPT problem wynikał z możliwości wykorzystania bocznego kanału komunikacyjnego dostępnego w środowisku Linux, w którym uruchamiane są zadania związane z analizą danych i wykonywaniem kodu. Zamiast klasycznej transmisji danych atak mógł kodować informacje w zapytaniach DNS. Taki mechanizm pozwala dzielić dane na fragmenty i umieszczać je w nazwach domen lub subdomen, a następnie odczytywać po stronie kontrolowanej przez atakującego.

Z perspektywy architektury bezpieczeństwa to szczególnie niebezpieczny scenariusz, ponieważ część warstw kontrolnych mogła zakładać brak możliwości bezpośredniego transferu danych na zewnątrz. Jeśli jednak runtime nadal mógł generować zapytania DNS, ruch ten nie musiał być traktowany jak standardowa eksfiltracja wymagająca ostrzeżenia lub zgody użytkownika. W praktyce pojedynczy złośliwy prompt albo specjalnie przygotowany niestandardowy agent mógł inicjować proces wycieku danych niemal niewidoczny z poziomu interfejsu.

Opis techniczny wskazuje również, że ten sam kanał mógł potencjalnie służyć do uzyskania zdalnej interakcji z runtime’em Linux i wykonywania poleceń. Oznacza to, że zagrożenie nie ograniczało się wyłącznie do biernego wycieku treści konwersacji, ale obejmowało także możliwość aktywnego oddziaływania na środowisko uruchomieniowe.

Druga luka, dotycząca Codex, miała charakter command injection. Podatność była związana z parametrem nazwy gałęzi GitHub przekazywanym podczas tworzenia zadania przez backend API. Jeżeli wejście nie zostało odpowiednio oczyszczone, możliwe było przemycenie poleceń systemowych wykonywanych wewnątrz kontenera agenta. W takim scenariuszu atakujący mógł doprowadzić do ujawnienia tokenu GitHub użytkownika, którego Codex używał do autoryzacji, a następnie wykorzystać go do dalszego dostępu do repozytoriów.

Tego typu błąd jest szczególnie groźny w środowiskach współdzielonych i zautomatyzowanych przepływach pracy. Jeśli agent AI uczestniczy w code review, obsłudze pull requestów albo pracuje na wspólnym repozytorium, przejęcie tokenu może umożliwić ruch boczny, odczyt i modyfikację kodu, a nawet trwałe osadzenie złośliwych zmian w pipeline’ach deweloperskich.

Konsekwencje / ryzyko

Najważniejszym skutkiem pierwszej podatności jest utrata poufności danych przekazywanych do systemu AI. Mogą to być informacje biznesowe, fragmenty kodu źródłowego, dane klientów, dokumenty wewnętrzne, a także dane osobowe przesyłane do analizy. Szczególnie niebezpieczny jest scenariusz, w którym użytkownik nie otrzymuje żadnego jednoznacznego sygnału, że dane opuszczają zaufane środowisko.

W przypadku Codex ryzyko obejmuje nie tylko ujawnienie poświadczeń, ale również naruszenie procesu wytwarzania oprogramowania. Token GitHub z odpowiednimi uprawnieniami może otworzyć drogę do kradzieży własności intelektualnej, modyfikacji kodu, sabotażu buildów, kompromitacji sekretów przechowywanych w repozytorium oraz eskalacji do innych systemów zintegrowanych z platformą deweloperską.

Z punktu widzenia organizacji oba przypadki pokazują, że narzędzia AI należy traktować jak uprzywilejowane komponenty infrastruktury. Jeżeli mają dostęp do danych wrażliwych, repozytoriów, środowisk chmurowych i procesów CI/CD, ich kompromitacja może mieć skutki porównywalne z naruszeniem kluczowych systemów administracyjnych.

Rekomendacje

Organizacje powinny wdrożyć dodatkową warstwę kontroli bezpieczeństwa dla narzędzi AI, zamiast polegać wyłącznie na natywnych mechanizmach dostawcy. W praktyce oznacza to monitorowanie ruchu sieciowego związanego z runtime’ami AI, w tym nietypowych wzorców DNS, kontrolę dostępu do danych przesyłanych do modeli oraz inspekcję działań wykonywanych przez agentów.

Konieczne jest także ograniczanie uprawnień zgodnie z zasadą najmniejszych uprawnień. Tokeny używane przez agentów kodujących powinny mieć możliwie wąski zakres, krótki czas życia oraz separację między projektami. Warto wdrożyć mechanizmy rotacji poświadczeń, dodatkową autoryzację dla operacji wysokiego ryzyka oraz segmentację repozytoriów i środowisk wykonawczych.

  • blokowanie lub filtrowanie nieautoryzowanych niestandardowych agentów i rozszerzeń,
  • traktowanie prompt injection jako realnego wektora ataku,
  • walidacja i sanityzacja wszystkich danych wejściowych trafiających do backendów obsługujących agentów,
  • rejestrowanie działań wykonywanych przez AI w kontenerach i pipeline’ach,
  • regularne przeglądy uprawnień nadawanych integracjom z GitHub i innymi systemami deweloperskimi.

Z perspektywy użytkowników końcowych kluczowa pozostaje ostrożność wobec promptów obiecujących ukryte funkcje, odblokowanie dodatkowych możliwości lub nietypową optymalizację działania narzędzia. W środowisku firmowym warto również ograniczać możliwość przesyłania do chatbotów danych, które nie zostały wcześniej sklasyfikowane pod kątem poufności.

Podsumowanie

Załatane przez OpenAI podatności pokazują, że wraz z rozwojem agentów AI rośnie znaczenie klasycznych zagadnień bezpieczeństwa aplikacyjnego: izolacji środowisk, kontroli kanałów komunikacji, sanityzacji wejścia i ochrony poświadczeń. Przypadek ChatGPT ujawnia ryzyko ukrytej eksfiltracji danych przez kanały boczne, natomiast luka w Codex podkreśla, że agenci programistyczni stają się atrakcyjnym celem ze względu na dostęp do kodu i uprzywilejowanych tokenów.

Dla przedsiębiorstw najważniejszy wniosek jest prosty: AI nie może być traktowane jako zaufana czarna skrzynka. Narzędzia tego typu wymagają takiego samego poziomu nadzoru, twardych kontroli i modelowania zagrożeń jak każdy inny krytyczny element nowoczesnej infrastruktury IT.

Źródła

  1. https://thehackernews.com/2026/03/openai-patches-chatgpt-data.html
  2. https://openai.com/
  3. https://research.checkpoint.com/
  4. https://www.beyondtrust.com/

Ekspozycja sekretów w środowiskach deweloperskich rośnie. AI, repozytoria i narzędzia współpracy zwiększają ryzyko

Cybersecurity news

Wprowadzenie do problemu / definicja

Sekrety, czyli m.in. klucze API, tokeny dostępu, hasła, poświadczenia baz danych oraz klucze do usług chmurowych, od lat pozostają jednym z najczęściej ujawnianych zasobów w procesie tworzenia oprogramowania. Dziś problem nie dotyczy już wyłącznie publicznych repozytoriów kodu. Współczesne środowisko deweloperskie obejmuje wiele platform, narzędzi i usług pomocniczych, przez co poufne dane są rozproszone w całym łańcuchu wytwórczym.

W efekcie wyciek sekretu przestaje być pojedynczym błędem programistycznym, a staje się zdarzeniem o znaczeniu operacyjnym i bezpieczeństwa. Im więcej systemów bierze udział w rozwoju, testowaniu, wdrażaniu i utrzymaniu aplikacji, tym większa powierzchnia ataku związana z niekontrolowanym obiegiem poświadczeń.

W skrócie

Skala problemu stale rośnie, a ujawniane sekrety pojawiają się nie tylko w publicznych commitach, ale również w środowiskach prywatnych, narzędziach współpracy i komponentach infrastruktury dostępnych z internetu. Dodatkowym czynnikiem zwiększającym ryzyko jest szybka adopcja narzędzi AI, które generują nowe potrzeby uwierzytelniania i zwiększają liczbę miejsc przechowywania sekretów.

  • poświadczenia trafiają do kodu, konfiguracji i pipeline’ów CI/CD,
  • sekrety coraz częściej pojawiają się w Slacku, Jirze, Confluence i dokumentacji roboczej,
  • wewnętrzne repozytoria oraz samodzielnie utrzymywana infrastruktura mogą zawierać szczególnie wrażliwe dane,
  • narzędzia AI zwiększają liczbę tokenów, kluczy i kont serwisowych obecnych w organizacji.

Kontekst / historia

Przez długi czas wycieki sekretów analizowano głównie przez pryzmat publicznych repozytoriów i przypadkowo opublikowanych danych dostępowych w kodzie źródłowym. W odpowiedzi organizacje wdrażały skanowanie commitów, mechanizmy pre-commit, ochronę push oraz integracje z procesami CI/CD.

Wraz z dojrzewaniem DevOps i DevSecOps proces wytwarzania oprogramowania stał się jednak znacznie bardziej rozproszony. Programiści równolegle korzystają z systemów ticketowych, komunikatorów, wiki, narzędzi kontenerowych, platform do orkiestracji i usług wspieranych przez AI. Każda z tych warstw może przetwarzać lub przechowywać sekrety, co sprawia, że problem wychodzi daleko poza sam system kontroli wersji.

To przesunięcie jest istotne z perspektywy obrony. Tradycyjne zabezpieczenia repozytoriów nadal są potrzebne, ale nie obejmują już całej rzeczywistej powierzchni ataku. W praktyce organizacje muszą dziś monitorować cały ekosystem software delivery.

Analiza techniczna

Z technicznego punktu widzenia źródła ekspozycji sekretów można podzielić na kilka głównych kategorii. Pierwszą z nich są kod i konfiguracja. Poświadczenia trafiają do plików źródłowych, plików środowiskowych, manifestów kontenerowych, szablonów infrastruktury jako kodu, konfiguracji aplikacji i definicji pipeline’ów. Często dzieje się to tymczasowo na potrzeby testów, a następnie zostaje przypadkowo utrwalone w repozytorium.

Drugą kategorią są środowiska wewnętrzne. Prywatne repozytoria i zamknięte systemy developerskie bywają szczególnie niebezpieczne, ponieważ zawarte w nich sekrety są częściej powiązane z produkcją, kontami uprzywilejowanymi, zasobami chmurowymi lub usługami krytycznymi dla biznesu. Ich kompromitacja może prowadzić do szybkiego eskalowania dostępu.

Trzeci obszar to narzędzia współpracy. W praktyce poświadczenia są regularnie wklejane do zgłoszeń serwisowych, wiadomości, dokumentów technicznych i wpisów na wiki podczas debugowania, rozwiązywania incydentów lub integracji usług. Problem polega na tym, że takie miejsca często nie są objęte standardowym skanowaniem bezpieczeństwa, mimo że przechowywane tam dane mogą zachować pełną wartość operacyjną.

Czwartą warstwę stanowi infrastruktura wystawiona do internetu. Samodzielnie utrzymywane instancje GitLab, rejestry Docker oraz inne elementy łańcucha CI/CD mogą zawierać sekrety obecne w obrazach, artefaktach, logach i metadanych. Jeśli konfiguracja jest błędna lub dostępność zewnętrzna zbyt szeroka, atakujący może pozyskać poświadczenia bez konieczności klasycznego włamania do kodu.

Coraz ważniejszą rolę odgrywają także narzędzia AI. Integracje z modelami, agentami, usługami inference oraz warstwami orkiestracji wymagają odrębnych kluczy, tokenów i kont serwisowych. To zwiększa zarówno liczbę sekretów generowanych przez zespoły, jak i liczbę miejsc, w których mogą się one znaleźć. Dodatkowo automatyzacja rozwoju może przyspieszać utrwalanie nieprawidłowych praktyk, jeśli kod lub konfiguracje są kopiowane bez odpowiedniej walidacji bezpieczeństwa.

Kluczowym problemem pozostaje również długi czas życia ujawnionych poświadczeń. Nawet po wykryciu incydentu rotacja sekretu bywa trudna, ponieważ wymaga zmian w wielu systemach jednocześnie. To sprawia, że raz ujawniony sekret może pozostać aktywny jeszcze długo po samym wycieku.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem ujawnienia sekretu jest nieautoryzowany dostęp do systemu, interfejsu API, bazy danych, repozytorium lub zasobu chmurowego. W praktyce zagrożenie rzadko kończy się jednak na pojedynczym komponencie. Jeden aktywny token może umożliwić ruch boczny, pobranie kolejnych danych uwierzytelniających, modyfikację pipeline’u lub wdrożenie złośliwego kodu.

Szczególnie niebezpieczne są sekrety związane z produkcją, automatyzacją wdrożeń i tożsamościami maszynowymi. Takie poświadczenia często działają bez udziału człowieka, mają szerokie uprawnienia i pozostają aktywne przez długi czas. W środowiskach o wysokim stopniu automatyzacji mogą więc stać się punktem wejścia do ataku na łańcuch dostaw oprogramowania.

Wraz ze wzrostem wykorzystania AI pojawia się również ryzyko trudniejsze do wykrycia klasycznymi metodami. Sekrety mogą występować w konfiguracjach agentów, promptach, artefaktach sesji, lokalnych środowiskach pracy oraz integracjach z usługami zewnętrznymi. To powoduje zacieranie granicy między wyciekiem kodowym, operacyjnym i infrastrukturalnym.

Rekomendacje

Organizacje powinny traktować zarządzanie sekretami jako proces ciągły, a nie jednorazową kontrolę bezpieczeństwa. Skuteczna strategia wymaga podejścia wielowarstwowego i pełnej widoczności nad miejscami, w których poświadczenia są generowane, przechowywane oraz używane.

  • rozszerzyć skanowanie poza repozytoria na komunikatory, systemy ticketowe, wiki, artefakty CI/CD, rejestry kontenerów i zasoby infrastrukturalne,
  • ograniczyć stosowanie twardo zakodowanych poświadczeń i przenieść je do dedykowanych menedżerów sekretów,
  • stosować krótkotrwałe tokeny, federację tożsamości oraz dostęp just-in-time tam, gdzie to możliwe,
  • prowadzić inwentaryzację tożsamości maszynowych oraz mapować zależności między sekretami a systemami,
  • rozszerzyć polityki AppSec i DevSecOps o kontrolę narzędzi AI, w tym skanowanie kodu generowanego automatycznie,
  • usprawnić procedury reakcji tak, aby obejmowały nie tylko usunięcie wpisu, ale też unieważnienie, rotację, analizę użycia i ocenę zakresu kompromitacji.

Szczególne znaczenie ma szybkość reakcji. Samo usunięcie sekretu z pliku, zgłoszenia lub wiadomości nie rozwiązuje problemu, jeśli poświadczenie nadal pozostaje ważne. Dopiero pełna rotacja oraz weryfikacja wszystkich miejsc kopiowania pozwalają realnie ograniczyć skutki incydentu.

Podsumowanie

Ekspozycja sekretów stała się jednym z kluczowych problemów bezpieczeństwa nowoczesnych środowisk deweloperskich. Poświadczenia wyciekają dziś nie tylko z kodu, ale także z narzędzi współpracy, środowisk prywatnych, infrastruktury i ekosystemu AI.

Rosnąca liczba sekretów, ich rozproszenie oraz długi okres ważności sprawiają, że ryzyko ma charakter systemowy. Skuteczna obrona wymaga pełnej widoczności, automatycznego wykrywania, szybkiej rotacji oraz traktowania sekretów jako krytycznego elementu kontroli dostępu w całym procesie tworzenia oprogramowania.

Źródła

  1. Help Net Security — GitGuardian Exposed Credentials Risk Report
  2. GitGuardian Resources
  3. TechRadar — Over 29 million secrets were leaked on GitHub in 2025, and AI really isn’t helping

Krytyczne luki w LangChain i LangGraph narażają sekrety, pliki i historię konwersacji

Cybersecurity news

Wprowadzenie do problemu

W popularnych frameworkach AI LangChain i LangGraph ujawniono trzy poważne podatności, które mogą prowadzić do odczytu plików z systemu, wycieku sekretów środowiskowych oraz nieautoryzowanego dostępu do danych przechowywanych w bazach SQLite. Problem dotyczy warstwy orkiestracji aplikacji opartych na dużych modelach językowych, czyli komponentów odpowiedzialnych za obsługę promptów, zarządzanie stanem agentów, serializację danych i utrwalanie historii interakcji.

To istotne ostrzeżenie dla organizacji rozwijających agentów AI, systemy RAG i aplikacje korzystające z pamięci konwersacyjnej. Zagrożenie nie wynika z błędów samego modelu językowego, lecz z klasycznych problemów bezpieczeństwa aplikacyjnego obecnych w otaczającej go infrastrukturze.

W skrócie

  • Ujawniono trzy luki obejmujące path traversal, niebezpieczną deserializację oraz SQL injection.
  • Podatności dotyczą pakietów langchain-core i langgraph-checkpoint-sqlite.
  • Możliwy jest odczyt wrażliwych plików, pozyskanie sekretów środowiskowych oraz manipulacja danymi checkpointów i historią konwersacji.
  • Dostępne są poprawki, dlatego aktualizacja powinna być traktowana jako działanie pilne.

Kontekst i historia

LangChain i LangGraph stały się jednymi z najczęściej wykorzystywanych frameworków do budowy aplikacji LLM, agentów AI oraz rozwiązań opartych na wyszukiwaniu i generowaniu odpowiedzi. Korzystają z nich zarówno zespoły tworzące własne produkty, jak i inne biblioteki, które włączają te komponenty jako zależności pośrednie.

To oznacza, że skala ryzyka może być znacznie większa niż w przypadku pojedynczych wdrożeń. Jeśli podatny komponent znajduje się głęboko w łańcuchu zależności, organizacja może nawet nie być świadoma jego obecności w środowisku produkcyjnym lub deweloperskim.

Opisane błędy potwierdzają, że ekosystem AI pozostaje podatny na dobrze znane klasy podatności. Z perspektywy atakującego łatwiejsze może być wykorzystanie słabo zabezpieczonej logiki frameworka niż bezpośredni atak na model językowy.

Analiza techniczna

Pierwsza podatność, oznaczona jako CVE-2026-34070, dotyczy langchain-core i mechanizmu ładowania promptów. Problem wynika z niewystarczającej walidacji ścieżek przekazywanych do funkcji odczytujących pliki konfiguracyjne oraz szablony. Jeśli aplikacja pozwala użytkownikowi wpływać na strukturę konfiguracji, możliwe staje się wykorzystanie sekwencji traversal do odczytu plików spełniających określone ograniczenia rozszerzeń, takich jak JSON, YAML czy TXT.

W praktyce może to oznaczać dostęp do lokalnych plików konfiguracyjnych, manifestów infrastruktury, definicji workflow albo ustawień aplikacji zapisanych na serwerze. Taki scenariusz może prowadzić do dalszej kompromitacji środowiska, jeśli w odczytanych plikach znajdują się dane dostępowe lub informacje pomocne w eskalacji uprawnień.

Druga luka, CVE-2025-68664, również dotyczy langchain-core, ale tym razem obszaru serializacji i deserializacji. Istota problemu polega na tym, że określona struktura danych wejściowych może zostać błędnie uznana za prawidłowo zserializowany obiekt frameworka. W efekcie dane kontrolowane przez użytkownika mogą zostać zinterpretowane nie jako zwykły słownik, lecz jako obiekt wewnętrzny LangChain.

Taki mechanizm tworzy ryzyko ekstrakcji wrażliwych informacji, w tym kluczy API, sekretów zapisanych w zmiennych środowiskowych oraz innych danych dostępnych dla procesu aplikacji. Szczególnie niebezpieczne jest to tam, gdzie aplikacja zapisuje i ponownie odczytuje stan obiektów pochodzący z niezaufanego źródła.

Trzecia podatność, CVE-2025-67644, została zidentyfikowana w langgraph-checkpoint-sqlite i dotyczy implementacji checkpointów opartych na SQLite. Problem wynika z niewłaściwego budowania predykatów SQL na podstawie kluczy filtrów metadanych. Jeżeli atakujący może kontrolować nie tylko wartości, ale również nazwy kluczy użytych w filtrach, może wpłynąć na finalną postać zapytania SQL.

To otwiera drogę do wykonywania nieautoryzowanych operacji na bazie checkpointów, a w konsekwencji do odczytu lub modyfikacji historii konwersacji, stanu workflow i innych artefaktów zapisywanych przez agentów AI.

Producent opublikował już poprawki dla podatnych komponentów. Dla CVE-2026-34070 zalecana jest aktualizacja do langchain-core w wersji co najmniej 1.2.22. Dla CVE-2025-68664 poprawione wydania to 0.3.81 oraz 1.2.5, zależnie od używanej gałęzi. W przypadku CVE-2025-67644 należy przejść na langgraph-checkpoint-sqlite 3.0.1 lub nowszy.

Konsekwencje i ryzyko

Wpływ opisanych luk może być bardzo poważny zarówno z perspektywy technicznej, jak i biznesowej. Odczyt plików lokalnych może doprowadzić do przejęcia tokenów, konfiguracji chmurowych, poświadczeń CI/CD oraz danych integracyjnych. Wyciek sekretów środowiskowych zwiększa ryzyko ruchu bocznego, przejęcia kont usługowych i eskalacji ataku na inne elementy infrastruktury.

Z kolei SQL injection w warstwie checkpointów może naruszyć poufność historii konwersacji, danych użytkowników i pamięci agentów. W środowiskach enterprise może to oznaczać ekspozycję danych klientów, promptów systemowych oraz logiki działania automatyzacji AI.

Ryzyko jest szczególnie wysokie w organizacjach, które:

  • budują własnych agentów AI z pamięcią konwersacyjną,
  • korzystają z LangChain jako zależności pośredniej,
  • przechowują sekrety w zmiennych środowiskowych procesu,
  • używają SQLite do trwałego przechowywania checkpointów,
  • dopuszczają wpływ danych użytkownika na konfigurację promptów, serializację lub filtry metadanych.

W praktyce atak może przebiegać cicho i bez konieczności naruszania samego modelu AI. To ważna lekcja dla zespołów bezpieczeństwa: ochrona aplikacji LLM musi obejmować nie tylko warstwę modeli, ale także frameworki, integracje i mechanizmy utrwalania danych.

Rekomendacje

Najważniejszym krokiem powinno być szybkie ustalenie, czy LangChain i LangGraph występują w środowiskach produkcyjnych, testowych lub deweloperskich, również jako zależności transytywne. Następnie należy przeprowadzić aktualizację do wersji zawierających poprawki.

  • Zaktualizować langchain-core i langgraph-checkpoint-sqlite do wersji naprawionych.
  • Przeprowadzić pełny audyt zależności bezpośrednich i pośrednich w projektach AI.
  • Zablokować wpływ użytkownika na ścieżki plików, konfiguracje promptów i dane podlegające serializacji.
  • Traktować wszystkie dane wejściowe przekazywane do mechanizmów load, loads, dumps i dumpd jako niezaufane.
  • Ograniczyć przechowywanie sekretów w zmiennych środowiskowych i przenieść je do dedykowanych menedżerów tajemnic.
  • Odseparować środowiska uruchomieniowe agentów AI od wrażliwych plików lokalnych.
  • Monitorować dostęp do baz checkpointów oraz wykrywać anomalie w zapytaniach SQL.
  • Wdrożyć zasadę najmniejszych uprawnień dla procesów obsługujących aplikacje LLM.
  • Przeanalizować logi pod kątem nietypowych odczytów plików, błędów serializacji i podejrzanych operacji na SQLite.

W środowiskach o podwyższonym ryzyku warto dodatkowo wdrożyć sandboxing agentów, kontrolę egressu sieciowego oraz ograniczenia systemowe na poziomie kontenerów. Takie środki mogą utrudnić eksfiltrację danych nawet wtedy, gdy podatność zostanie wykorzystana.

Podsumowanie

Luki w LangChain i LangGraph pokazują, że nowoczesne aplikacje AI pozostają narażone na tradycyjne klasy błędów bezpieczeństwa. Path traversal, niebezpieczna deserializacja i SQL injection w warstwie orkiestracji mogą umożliwić przejęcie plików, sekretów oraz historii konwersacji bez potrzeby bezpośredniego ataku na model językowy.

Dla organizacji korzystających z tych frameworków oznacza to konieczność pilnej inwentaryzacji komponentów, wdrożenia poprawek oraz objęcia ekosystemu AI takim samym reżimem bezpieczeństwa jak baz danych, middleware i systemów integracyjnych krytycznych dla biznesu.

Źródła

  1. https://thehackernews.com/2026/03/langchain-langgraph-flaws-expose-files.html
  2. https://www.cyera.com/research/langdrained-3-paths-to-your-data-through-the-worlds-most-popular-ai-framework
  3. https://github.com/langchain-ai/langchain/security/advisories/GHSA-qh6h-p6c9-ff54
  4. https://github.com/langchain-ai/langchain/security/advisories/GHSA-c67j-w6g6-q2cm
  5. https://github.com/langchain-ai/langgraph/security/advisories/GHSA-9rwj-6rc7-p77c

OpenAI uruchamia bug bounty dla nadużyć AI i ryzyk bezpieczeństwa modeli

Cybersecurity news

Wprowadzenie do problemu / definicja

OpenAI uruchomiło nowy program bug bounty skoncentrowany na zagrożeniach charakterystycznych dla systemów sztucznej inteligencji. To odejście od klasycznego podejścia, w którym nagradzano głównie wykrycie luk takich jak XSS, SQLi czy zdalne wykonanie kodu, na rzecz scenariuszy obejmujących nadużycia modeli, bezpieczeństwo agentów AI oraz wycieki informacji wynikające z zachowania systemu.

Nowy model zgłoszeń odpowiada na rosnącą potrzebę oceny ryzyka w środowiskach, gdzie model nie tylko generuje treść, ale również korzysta z narzędzi, przeglądarki, konektorów i danych zewnętrznych. W takich przypadkach źródłem incydentu może być nie tylko błąd techniczny, lecz także podatność na manipulację kontekstem lub niewłaściwa kontrola działań wykonywanych przez agenta.

W skrócie

  • Program obejmuje ryzyka bezpieczeństwa i nadużyć specyficzne dla AI, a nie wyłącznie klasyczne podatności aplikacyjne.
  • Zakres uwzględnia m.in. prompt injection, nieautoryzowane działania agentów, ekspozycję informacji zastrzeżonych oraz obchodzenie mechanizmów integralności kont i platformy.
  • Nagrody mogą sięgać do 7 500 dolarów za dobrze udokumentowane, powtarzalne przypadki o wysokiej wadze.
  • Nie każdy jailbreak kwalifikuje się do nagrody — kluczowe znaczenie ma realny wpływ oraz możliwość wdrożenia remediacji.

Kontekst / historia

Przez lata programy bug bounty były kojarzone przede wszystkim z bezpieczeństwem infrastruktury, aplikacji webowych, API i komponentów systemowych. Rozwój generatywnej AI sprawił jednak, że do katalogu zagrożeń dołączyły problemy wynikające z zachowania modelu, sposobu interpretacji instrukcji oraz zależności między modelem a warstwą wykonawczą.

W nowoczesnych produktach agentowych model może działać w imieniu użytkownika, przetwarzać dane z wielu źródeł i wykonywać akcje w zintegrowanych systemach. To znacząco poszerza powierzchnię ataku. Z tego powodu branża coraz częściej traktuje nadużycia AI jako odrębną kategorię ryzyka operacyjnego, wymagającą osobnych zasad testowania, oceny wpływu i mechanizmów raportowania.

Analiza techniczna

Jednym z najważniejszych obszarów objętych programem są ataki typu prompt injection, zwłaszcza te pochodzące z treści zewnętrznych. W praktyce oznacza to sytuację, w której złośliwa zawartość strony internetowej, dokumentu lub innego źródła danych wpływa na decyzje agenta i skłania go do ujawnienia informacji lub wykonania niedozwolonej operacji.

Jest to szczególnie groźne wtedy, gdy agent działa z uprawnieniami użytkownika i ma dostęp do przeglądarki, repozytoriów, narzędzi lub konektorów. Skuteczna manipulacja kontekstem może wtedy prowadzić do efektów zbliżonych do przejęcia procesu biznesowego, nawet jeśli nie dochodzi do klasycznego exploitowania błędu w kodzie.

Drugą kategorią są zabronione działania wykonywane przez systemy agentowe na większą skalę. Problem może wynikać z niewystarczających guardrails, słabej walidacji intencji, błędów w segmentacji narzędzi albo zbyt luźnej kontroli nad komunikacją między modelem a warstwą wykonawczą. W efekcie system może wykonywać operacje, które powinny zostać zablokowane przez polityki bezpieczeństwa.

Program obejmuje również przypadki ekspozycji informacji zastrzeżonych, w tym danych własnościowych i informacji, które nie powinny być ujawniane w odpowiedziach systemu. To pokazuje, że bezpieczeństwo AI należy analizować nie tylko na poziomie infrastruktury, lecz także pod kątem tego, co model może nieintencjonalnie odsłonić użytkownikowi.

Istotnym elementem zakresu są także luki dotyczące integralności kont i platformy, takie jak obchodzenie zabezpieczeń antyautomatyzacyjnych, manipulacja sygnałami zaufania czy omijanie restrykcji i blokad. Jednocześnie samo obejście polityki treści, bez wykazania materialnej szkody lub praktycznej ścieżki naprawy, nie musi zostać uznane za kwalifikujące się zgłoszenie.

Konsekwencje / ryzyko

Z punktu widzenia organizacji korzystających z AI decyzja OpenAI potwierdza, że tradycyjny threat modeling przestaje być wystarczający. Oprócz ryzyka przejęcia systemu trzeba dziś brać pod uwagę także wymuszenie błędnych decyzji przez model, wyciek danych przez generowaną odpowiedź oraz wykonanie nieautoryzowanych działań pozornie zgodnych z procesem.

Najpoważniejsze konsekwencje obejmują ujawnienie danych poufnych, naruszenie polityk dostępu, automatyzację niedozwolonych operacji oraz obchodzenie mechanizmów kontrolnych przez złośliwy kontekst wejściowy. W środowiskach produkcyjnych może to prowadzić do incydentów compliance, strat operacyjnych, nadużyć związanych z kontami uprzywilejowanymi i trudnych do wykrycia naruszeń ścieżek decyzyjnych.

Ryzyko rośnie wraz z liczbą integracji i zakresem uprawnień przyznanych agentowi. Im słabsza separacja pomiędzy interpretacją polecenia a wykonaniem operacji, tym większa szansa, że pojedynczy prompt injection lub błąd logiki doprowadzi do realnego wpływu na działalność firmy.

Rekomendacje

Organizacje wdrażające agentów AI powinny stosować zasadę minimalnych uprawnień. System nie powinien mieć dostępu do danych, narzędzi i funkcji, które nie są bezwzględnie niezbędne do realizacji konkretnego zadania.

Warto również oddzielić warstwę interpretacji treści od warstwy wykonawczej. Operacje o wysokim znaczeniu biznesowym lub bezpieczeństwa powinny być objęte dodatkowymi kontrolami, takimi jak autoryzacja kontekstowa, limity działań, mechanizmy potwierdzania oraz polityki blokujące nietypowe sekwencje poleceń.

Kluczowe znaczenie ma ochrona przed prompt injection. Obejmuje to filtrowanie danych zewnętrznych, klasyfikację poziomu zaufania do treści, izolowanie instrukcji systemowych od danych nieufnych oraz prowadzenie testów red-teamowych dla scenariuszy wieloetapowych z użyciem przeglądarki, dokumentów i konektorów.

Zespoły bezpieczeństwa powinny również rozszerzyć bug bounty, secure SDLC i testy penetracyjne o scenariusze związane z AI abuse. Tradycyjne narzędzia do wykrywania podatności nie są wystarczające do identyfikowania problemów wynikających z zachowania modelu, orkiestracji i relacji między LLM a narzędziami wykonawczymi.

  • Ograniczaj uprawnienia agentów do minimum.
  • Wdrażaj separację między analizą treści a wykonaniem akcji.
  • Monitoruj telemetrię agentów i anomalie użycia kont.
  • Rejestruj decyzje wykonawcze modelu dla potrzeb audytu.
  • Testuj scenariusze prompt injection i nadużyć wieloetapowych.

Podsumowanie

Uruchomienie przez OpenAI programu bug bounty dla nadużyć i ryzyk bezpieczeństwa AI pokazuje, że dojrzałość cyberbezpieczeństwa w obszarze generatywnej AI szybko rośnie. Najważniejsze zagrożenia dotyczą dziś nie tylko błędów technicznych, ale również manipulacji zachowaniem modeli, odporności agentów na złośliwy kontekst oraz ochrony danych i integralności kont.

Dla rynku to wyraźny sygnał, że bezpieczeństwo systemów AI wymaga odrębnych procesów, nowych metod testowania i bardziej precyzyjnych mechanizmów kontroli. Firmy rozwijające lub wdrażające agentów AI powinny traktować te ryzyka jako element podstawowego modelu bezpieczeństwa, a nie jedynie eksperymentalny dodatek do klasycznych praktyk AppSec.

Źródła

  1. OpenAI Safety Bug Bounty program
  2. SecurityWeek: OpenAI Launches Bug Bounty Program for Abuse and Safety Risks
  3. Bugcrowd: OpenAI Safety Bug Bounty

CISA ostrzega przed aktywnie wykorzystywanymi zagrożeniami: krytyczne RCE w Langflow i kompromitacja łańcucha dostaw Trivy

Cybersecurity news

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities o dwa nowe zagrożenia, które bardzo szybko przeszły od publicznego ujawnienia do realnych ataków. Sprawa dotyczy podatności CVE-2026-33017 w projekcie Langflow oraz incydentu oznaczonego jako CVE-2026-33634, związanego z kompromitacją łańcucha dostaw narzędzia Trivy.

Oba przypadki dobrze pokazują zmianę charakteru współczesnych zagrożeń. Organizacje muszą dziś bronić się nie tylko przed klasycznymi błędami w kodzie aplikacji, ale również przed naruszeniem integralności procesu dystrybucji oprogramowania, repozytoriów, obrazów kontenerowych i komponentów używanych w CI/CD.

W skrócie

CVE-2026-33017 to krytyczna luka umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia w Langflow, otwartoźródłowym frameworku wykorzystywanym do budowy agentów AI i przepływów pracy. Problem dotyczy wersji 1.8.2 i starszych i może być wykorzystywany przez publiczny endpoint odpowiedzialny za budowanie flow.

CVE-2026-33634 nie opisuje typowej podatności programistycznej, lecz skutki kompromitacji łańcucha dostaw Trivy. W ramach incydentu opublikowano złośliwe wydanie Trivy v0.69.4, podmieniono tagi w repozytoriach GitHub Actions oraz rozprowadzono złośliwe obrazy kontenerowe.

  • Langflow: krytyczne RCE bez uwierzytelnienia
  • Trivy: zaufane artefakty i tagi wykorzystane do dystrybucji złośliwego kodu
  • CISA uznała oba przypadki za aktywnie wykorzystywane zagrożenia
  • Ryzyko obejmuje zarówno serwery aplikacyjne, jak i środowiska CI/CD

Kontekst / historia

Langflow już wcześniej pojawiał się w analizach bezpieczeństwa z powodu podobnych klas problemów. Poprzednie incydenty wskazywały na ryzyko związane z niebezpiecznym przetwarzaniem danych wejściowych w komponentach obsługujących publiczne przepływy. Najnowszy przypadek sugeruje, że mimo wcześniejszych działań naprawczych podobna słabość mogła przetrwać w innym obszarze aplikacji.

W przypadku Trivy skala problemu jest jeszcze większa. To jedno z najpopularniejszych narzędzi wykorzystywanych do skanowania podatności, konfiguracji i artefaktów kontenerowych. Kompromitacja nie objęła jednego pliku czy pojedynczego pakietu, ale wiele elementów ekosystemu dystrybucji, w tym wydania binarne, obrazy kontenerowe i akcje GitHub używane w zautomatyzowanych pipeline’ach.

Taki model ataku jest szczególnie groźny dla organizacji opierających się na automatyzacji. Złośliwy komponent może zostać uruchomiony w pełni legalnie w ramach standardowego procesu budowania, testowania lub wdrażania, jeśli zespół ufa tagom, domyślnym odwołaniom do wersji i automatycznie pobieranym artefaktom.

Analiza techniczna

W Langflow problem dotyczył publicznego endpointu build, który miał umożliwiać wykonywanie operacji bez logowania. Odpowiednio przygotowany ładunek pozwalał atakującemu doprowadzić do wykonania arbitralnego kodu po stronie serwera. Szczególnie niepokojące jest tempo operacjonalizacji zagrożenia, ponieważ pierwsze próby wykorzystania pojawiły się bardzo szybko po ujawnieniu szczegółów technicznych.

Skutki takiego dostępu mogą być szerokie. Po przejęciu hosta z Langflow napastnik może pozyskać klucze API, poświadczenia do baz danych, sekrety środowiskowe oraz dane integracyjne wykorzystywane przez workflow AI. Jeśli instancja łączy się z usługami chmurowymi, modelami, repozytoriami danych lub brokerami wiadomości, incydent może szybko wyjść poza pojedynczy serwer.

W Trivy mowa o kompromitacji procesu dostarczania zaufanego oprogramowania. Atakujący opublikowali złośliwe wydanie Trivy v0.69.4, przepięli znaczniki wersji w repozytoriach aquasecurity/trivy-action oraz aquasecurity/setup-trivy do złośliwych commitów, a także rozprowadzili złośliwe obrazy kontenerowe. Z perspektywy technicznej jest to wyjątkowo niebezpieczny wariant ataku na łańcuch dostaw, ponieważ użytkownik uruchamia złośliwy kod, korzystając z pozornie prawidłowych i zaufanych odwołań.

Zagrożenie nie ogranicza się wyłącznie do bezpośrednich użytkowników Trivy. Jeśli skażone komponenty były pobierane przez workflow CI/CD, złośliwy kod mógł uzyskać dostęp do sekretów pipeline’ów, tokenów repozytoriów, danych wdrożeniowych i poświadczeń chmurowych. To tworzy ryzyko wtórnych kompromitacji w innych projektach, środowiskach i organizacjach.

Konsekwencje / ryzyko

Najważniejszy wniosek płynący z CVE-2026-33017 to dalsze skrócenie czasu między ujawnieniem luki a jej aktywnym wykorzystaniem. W praktyce oznacza to, że dla krytycznych podatności w usługach wystawionych do internetu okno bezpieczeństwa może być liczone w godzinach, a nie w dniach czy tygodniach.

Dla środowisk korzystających z Langflow ryzyko obejmuje przejęcie serwera, kradzież sekretów, ruch boczny w infrastrukturze, manipulację workflow AI oraz kompromitację systemów połączonych z aplikacją. Publicznie dostępne instancje należy traktować jako szczególnie narażone na automatyczne skanowanie i szybkie próby wykorzystania.

W przypadku Trivy zagrożenie ma charakter systemowy. Kompromitacja zaufanego narzędzia bezpieczeństwa podważa integralność procesów DevSecOps, ponieważ komponent używany do poprawy bezpieczeństwa sam staje się nośnikiem złośliwego kodu.

  • kradzież sekretów i tokenów z pipeline’ów CI/CD
  • kompromitacja repozytoriów oraz procesów build i deploy
  • ryzyko naruszenia środowisk chmurowych i produkcyjnych
  • wtórna infekcja innych projektów przez zależności i automatyzację
  • utrata zaufania do integralności artefaktów i procesów release management

Rekomendacje

W przypadku Langflow organizacje powinny jak najszybciej zaktualizować środowisko do wersji usuwającej podatność oraz ograniczyć ekspozycję publicznych endpointów. Jeśli wdrożenie poprawki nie jest możliwe natychmiast, warto tymczasowo odciąć dostęp z internetu, ograniczyć ruch do zaufanych adresów i zwiększyć monitoring działań wykonywanych przez aplikację.

Równolegle należy przeprowadzić rotację kluczy API, tokenów i poświadczeń przechowywanych w instancjach Langflow. Wskazany jest również przegląd logów HTTP i systemowych pod kątem nietypowych żądań do endpointów build, a także kontrola zmiennych środowiskowych, połączeń do baz danych i ostatnich zmian konfiguracyjnych.

W odniesieniu do Trivy działania powinny objąć analizę używanych wersji, tagów i obrazów w okresie incydentu. Organizacje muszą sprawdzić historię uruchomień workflow, zweryfikować integralność pobranych artefaktów oraz zrotować wszystkie sekrety, które mogły zostać ujawnione podczas wykonania złośliwych komponentów.

  • pinowanie GitHub Actions do pełnych hashy commitów zamiast tagów
  • weryfikacja pochodzenia buildów i podpisywania artefaktów
  • minimalizacja uprawnień tokenów CI/CD
  • segmentacja i izolacja sekretów według środowisk oraz projektów
  • pełna inwentaryzacja zależności bezpośrednich i pośrednich
  • monitorowanie zmian w tagach, release’ach i obrazach kontenerowych
  • przygotowanie procedur reagowania na incydenty łańcucha dostaw

Podsumowanie

CVE-2026-33017 i CVE-2026-33634 reprezentują dwa różne, ale równie niebezpieczne modele współczesnych zagrożeń. Pierwszy pokazuje, jak szybko krytyczna luka w aplikacji internetowej może zostać wykorzystana po ujawnieniu. Drugi dowodzi, że atak na łańcuch dostaw może zamienić zaufane narzędzie bezpieczeństwa w mechanizm dystrybucji złośliwego kodu.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest prosty: samo patchowanie nie wystarcza. Skuteczna obrona wymaga szybkiego wykrywania, izolowania i analizowania incydentów, a także stałej kontroli integralności dostaw oprogramowania i ścisłego monitorowania środowisk produkcyjnych oraz CI/CD.

Źródła

  1. Help Net Security — https://www.helpnetsecurity.com/2026/03/27/cve-2026-33017-cve-2026-33634-exploited/
  2. GitHub Advisory Database — Langflow Unauth RCE CVE-2025-3248 — https://github.com/advisories/GHSA-rvqx-wpfh-mfx7

OpenAI rozszerza bug bounty o nadużycia AI i luki w mechanizmach bezpieczeństwa modeli

Cybersecurity news

Wprowadzenie do problemu / definicja

Programy bug bounty przez lata koncentrowały się głównie na klasycznych podatnościach, takich jak błędy aplikacyjne, niewłaściwa autoryzacja, problemy z API czy luki infrastrukturalne. W przypadku systemów generatywnej AI pojawiła się jednak nowa kategoria zagrożeń: obejście zabezpieczeń modelu, wywoływanie niepożądanych odpowiedzi oraz wykorzystywanie narzędzi AI w sposób sprzeczny z politykami bezpieczeństwa.

Rozszerzenie programu zgłoszeń o obszar nadużyć AI oznacza istotną zmianę podejścia. Bezpieczeństwo nie dotyczy już wyłącznie ochrony systemu przed włamaniem, ale także kontroli zachowania modeli, skuteczności guardrails oraz odporności na próby manipulacji.

W skrócie

  • OpenAI rozszerza działania bug bounty o zgłoszenia związane z nadużyciami AI i obchodzeniem mechanizmów bezpieczeństwa modeli.
  • Nowe podejście obejmuje m.in. jailbreaki, prompt injection oraz scenariusze wymuszające nieautoryzowane zachowanie agentów.
  • To sygnał, że bezpieczeństwo AI jest dziś oceniane nie tylko przez pryzmat kodu i infrastruktury, ale również przez zachowanie modeli w praktyce.

Kontekst / historia

OpenAI uruchomiło publiczny program bug bounty w 2023 roku we współpracy z platformą Bugcrowd. Początkowo nacisk położono przede wszystkim na tradycyjne błędy bezpieczeństwa dotyczące aplikacji i usług. W miarę rozwoju modeli generatywnych oraz funkcji agentowych rosła jednak świadomość, że klasyczne kategorie podatności nie obejmują pełnego spektrum ryzyka.

Wraz z integracją modeli z narzędziami zewnętrznymi, dokumentami, pamięcią kontekstową i procesami automatyzacji zwiększyła się również powierzchnia ataku. Badacze bezpieczeństwa zaczęli traktować jako osobną klasę problemów zjawiska takie jak jailbreaki, prompt injection, obchodzenie filtrów bezpieczeństwa czy manipulowanie agentem poprzez pośrednie instrukcje.

Naturalnym krokiem stało się więc formalne uznanie, że skuteczne obejście polityk bezpieczeństwa modelu może mieć podobne znaczenie operacyjne jak klasyczna luka techniczna. To podejście wpisuje się w szerszy trend profesjonalizacji testów bezpieczeństwa AI.

Analiza techniczna

Z technicznego punktu widzenia rozszerzenie bug bounty o nadużycia AI zmienia samą definicję podatności. W tradycyjnym modelu bezpieczeństwa luka prowadzi do naruszenia poufności, integralności lub dostępności. W systemach generatywnych podatnością może być także powtarzalna metoda skłonienia modelu do złamania własnych zasad bezpieczeństwa.

Do najważniejszych klas problemów należą jailbreaki, czyli techniki pozwalające ominąć ograniczenia odpowiedzi modelu, oraz prompt injection, szczególnie niebezpieczne w środowiskach agentowych. W takich scenariuszach model może zostać zmanipulowany przez treść pochodzącą z dokumentu, strony internetowej, wiadomości lub innego źródła wejściowego.

Istotnym wyzwaniem pozostaje probabilistyczny charakter takich podatności. Obejście zabezpieczeń nie zawsze działa w każdej próbie, ale jeśli jest wystarczająco skuteczne i powtarzalne, może zostać zautomatyzowane i wykorzystane na większą skalę. To odróżnia luki behawioralne modeli od klasycznych exploitów, ale nie zmniejsza ich znaczenia.

W architekturach agentowych problem jest jeszcze szerszy. Ryzyko może wynikać nie tylko z samego modelu, ale z relacji między modelem, pamięcią kontekstową, konektorami, politykami wykonania oraz uprawnieniami przypisanymi narzędziom. W efekcie analiza bezpieczeństwa musi obejmować cały łańcuch działania systemu AI, a nie wyłącznie warstwę generowania tekstu.

Konsekwencje / ryzyko

Dla organizacji korzystających z AI oznacza to, że zagrożenia nie kończą się na błędnych odpowiedziach czy halucynacjach. Jeśli mechanizmy bezpieczeństwa modelu można obejść, skutki mogą obejmować generowanie niebezpiecznych treści, wspieranie działań przestępczych, obchodzenie polityk zgodności, a nawet wykonywanie niepożądanych operacji przez agenta.

Ryzyko rośnie szczególnie wtedy, gdy systemy AI mają dostęp do zasobów firmowych, poczty, dokumentów wewnętrznych, repozytoriów kodu lub narzędzi administracyjnych. W takich warunkach prompt injection albo błąd walidacji kontekstu może prowadzić do eskalacji z pozornie niewinnej interakcji do pełnoprawnego incydentu bezpieczeństwa.

Problemem jest także detekcja. Ominięcie guardrails nie musi wyglądać jak klasyczny atak sieciowy czy exploit aplikacyjny. Często przypomina nietypowe, ale nadal pozornie poprawne użycie systemu, co utrudnia monitorowanie i klasyfikację incydentów.

Rekomendacje

Organizacje wdrażające generatywną AI powinny przyjąć podejście defense-in-depth, obejmujące zarówno bezpieczeństwo aplikacji, jak i zachowanie modeli. Sam audyt API lub infrastruktury nie wystarczy, jeśli agent może zostać zmanipulowany przez dane wejściowe.

  • Oddzielnie testować bezpieczeństwo aplikacji i bezpieczeństwo behawioralne modeli.
  • Prowadzić regularny red teaming obejmujący jailbreaki, prompt injection, eksfiltrację danych i nadużycia konektorów.
  • Ograniczać uprawnienia agentów zgodnie z zasadą najmniejszych uprawnień.
  • Wdrożyć monitoring specyficzny dla AI, w tym logowanie promptów, akcji narzędzi i prób obejścia polityk.
  • Rozważyć własne kanały zgłoszeń oraz programy nagród dla badaczy bezpieczeństwa AI.

Takie działania pozwalają szybciej identyfikować problemy, które nie zawsze mieszczą się w klasycznych kategoriach CVE, ale mają realny wpływ na profil ryzyka przedsiębiorstwa.

Podsumowanie

Rozszerzenie inicjatyw bug bounty o nadużycia AI i luki w mechanizmach bezpieczeństwa modeli pokazuje, że branża wchodzi w nowy etap dojrzałości. W nowoczesnych systemach generatywnych podatność nie musi oznaczać wyłącznie błędu kodu — może oznaczać również przewidywalne i powtarzalne obejście zabezpieczeń modelu.

Wraz z rozwojem agentów AI oraz coraz głębszą integracją z zasobami organizacji takie scenariusze będą miały coraz większe znaczenie operacyjne. Dla zespołów bezpieczeństwa to wyraźny sygnał, że zachowanie modeli należy traktować jako pełnoprawną powierzchnię ataku.

Źródła