Archiwa: AI - Strona 13 z 88 - Security Bez Tabu

Tag: AI

Sektor ochrony zdrowia odpiera wzrost ataków socjotechnicznych, ale ryzyko nadal rośnie

Cybersecurity news

Wprowadzenie do problemu / definicja

Organizacje ochrony zdrowia od lat należą do najbardziej atrakcyjnych celów dla cyberprzestępców. Wynika to z wysokiej wartości danych medycznych, presji na utrzymanie ciągłości świadczenia usług oraz rozbudowanego ekosystemu dostawców, partnerów i personelu klinicznego. Obok ransomware i incydentów związanych z podmiotami trzecimi coraz większe znaczenie mają dziś ataki socjotechniczne, w tym phishing i pretexting.

Pretexting to forma manipulacji oparta na wiarygodnie przygotowanym scenariuszu podszycia się pod zaufaną osobę, dział lub proces. Celem może być wyłudzenie danych, zatwierdzenie płatności, reset hasła, nadanie dostępu albo skłonienie ofiary do uruchomienia złośliwego dokumentu. W środowisku medycznym, gdzie liczą się czas, zaufanie i szybka reakcja, takie techniki okazują się szczególnie skuteczne.

W skrócie

Raport Verizon DBIR 2026 wskazuje, że w sektorze ochrony zdrowia trzy dominujące wzorce naruszeń to intruzje systemowe, błędy operacyjne oraz socjotechnika. Łącznie odpowiadają one za 81% incydentów w tej branży. Powrót socjotechniki do czołówki nie oznacza jedynie większej liczby kampanii, ale także wzrost ich skuteczności.

Eksperci zwracają uwagę, że generatywna AI znacząco ułatwia tworzenie spersonalizowanych wiadomości i scenariuszy oszustw dopasowanych do realnych procesów placówek medycznych. W efekcie granica między legalną komunikacją a próbą manipulacji staje się coraz trudniejsza do wychwycenia.

Kontekst / historia

Zagrożenia cybernetyczne w ochronie zdrowia nie są nowym zjawiskiem. Sektor od lat mierzy się z ransomware, przejęciami kont, wyciekami danych pacjentów oraz konsekwencjami utrzymywania starszych systemów i urządzeń. Dodatkowym problemem jest silna zależność od zewnętrznych dostawców usług IT, laboratoriów, partnerów rozliczeniowych i podmiotów przetwarzających dane.

Na tym tle socjotechnika ewoluowała z prostych kampanii phishingowych do bardziej zaawansowanych operacji opartych na podszywaniu się pod pracowników HR, działy finansowe, help desk, dostawców lub kadrę zarządzającą. Coraz częściej są to ataki wielokanałowe, łączące e-mail, komunikację mobilną i manipulację tożsamością. Oznacza to przejście od masowych wiadomości do precyzyjnie przygotowanych kampanii wykorzystujących zaufanie i presję czasu.

Analiza techniczna

Z technicznego punktu widzenia kluczowym trendem jest rosnąca jakość pretekstów wykorzystywanych w atakach socjotechnicznych. Atakujący przygotowują przekonujące historie i tożsamości, które mają nakłonić ofiarę do wykonania określonej czynności bez uruchamiania podejrzeń.

W środowisku ochrony zdrowia szczególnie często pojawiają się scenariusze podszywania się pod:

  • dostawców wystawiających faktury lub proszących o aktualizację danych,
  • personel HR przesyłający dokumenty kadrowe,
  • działy IT inicjujące procedury dostępu,
  • partnerów klinicznych wymagających pilnej reakcji,
  • kadrę kierowniczą zatwierdzającą wyjątki proceduralne.

Generatywna AI wzmacnia ten model działania na kilku poziomach. Pozwala tworzyć poprawne językowo i kontekstowe wiadomości na dużą skalę, analizować styl komunikacji oraz terminologię branżową, a także zwiększać wiarygodność złośliwych załączników i dokumentów. W rezultacie klasyczne oznaki podejrzanej wiadomości stają się mniej widoczne niż wcześniej.

Warto także zauważyć, że część wzrostu znaczenia socjotechniki może wynikać z lepszego raportowania i dokładniejszej klasyfikacji incydentów. Tam, gdzie wcześniej zdarzenia trafiały do kategorii ogólnych, obecnie częściej są rozpoznawane jako phishing, pretexting lub inne formy manipulacji użytkownikiem. Nie zmienia to jednak faktu, że realna skuteczność tych ataków rośnie, zwłaszcza tam, gdzie organizacja nie wdrożyła silnych mechanizmów ochrony tożsamości i procedur weryfikacyjnych.

Konsekwencje / ryzyko

Dla placówek medycznych skutki udanego ataku socjotechnicznego wykraczają daleko poza samo naruszenie poufności danych. Tego typu incydenty mogą prowadzić do przejęcia poświadczeń, eskalacji uprawnień, ruchu bocznego w sieci oraz kompromitacji skrzynek pocztowych.

  • przejęcie dostępu do systemów klinicznych,
  • nadużycia typu BEC i oszustwa płatnicze,
  • uruchomienie incydentu ransomware,
  • naruszenie danych pacjentów i danych finansowych,
  • zakłócenie ciągłości opieki i procesów administracyjnych,
  • straty prawne, regulacyjne i reputacyjne.

Szczególnie groźne jest połączenie socjotechniki z danymi pozyskanymi z wcześniejszych wycieków lub naruszeń u dostawców. Im więcej autentycznych dokumentów, wzorów komunikacji i szczegółów organizacyjnych trafia do przestępców, tym łatwiej zbudować przekonujące podszycie. W ten sposób wcześniejsze incydenty zwiększają skuteczność kolejnych kampanii wymierzonych w ludzi, a nie wyłącznie w technologię.

Rekomendacje

Podmioty ochrony zdrowia powinny traktować socjotechnikę jako ryzyko operacyjne i tożsamościowe, a nie jedynie problem związany z pocztą elektroniczną. Skuteczna strategia obrony powinna obejmować kilka warstw zabezpieczeń.

  • wdrożenie MFA dla poczty, VPN i systemów zdalnego dostępu,
  • ograniczenie uprawnień zgodnie z zasadą najmniejszych uprawnień,
  • monitorowanie anomalii logowania, resetów haseł i zmian uprawnień,
  • stosowanie formalnej weryfikacji zmian danych dostawców i dyspozycji płatniczych,
  • potwierdzanie wrażliwych żądań innym kanałem komunikacji,
  • szkolenie help desku i personelu administracyjnego pod kątem odporności na podszywanie się,
  • korelację sygnałów z poczty, IAM, EDR i SIEM,
  • regularne ćwiczenie scenariuszy reagowania na phishing, vendor fraud i BEC.

Szkolenia powinny być bardziej realistyczne i uwzględniać nie tylko klasyczny phishing, ale również pretexting związany z finansami, HR, IT i opieką kliniczną. Kluczowe jest wzmacnianie kultury szybkiego zgłaszania podejrzanych żądań bez obawy o negatywne konsekwencje.

Podsumowanie

Wzrost znaczenia socjotechniki w ochronie zdrowia pokazuje, że cyberprzestępcy coraz częściej optymalizują swoje działania pod kątem ludzkiego zaufania, a nie tylko luk technicznych. Verizon DBIR 2026 wskazuje, że sektor musi jednocześnie radzić sobie z intruzjami systemowymi, błędami operacyjnymi i coraz bardziej dopracowanymi kampaniami manipulacyjnymi.

Szczególnie niebezpieczny jest rozwój pretextingu wspieranego przez AI, który zwiększa wiarygodność podszyć i utrudnia ich wykrywanie. Dla organizacji medycznych oznacza to konieczność łączenia ochrony tożsamości, rygorystycznych procedur weryfikacji, dojrzałego monitoringu operacyjnego oraz ciągłego szkolenia personelu.

Źródła

  • https://www.darkreading.com/cyber-risk/verizon-dbir-healthcare-fends-off-increased-social-engineering-attacks
  • https://www.verizon.com/business/resources/reports/dbir/
  • https://www.proofpoint.com/us/threat-reference/pretexting
  • https://www.aha.org/h-isac-white-reports/2024-06-25-h-isac-tlp-white-threat-social-engineering-tactics-targeting-healthcare-and-public-health

Nowe wytyczne regulatora z Nowego Jorku: sektor finansowy ma wzmocnić cyberbezpieczeństwo wobec zagrożeń AI i napięć geopolitycznych

Cybersecurity news

Wprowadzenie do problemu / definicja

Departament Usług Finansowych stanu Nowy Jork zaapelował do nadzorowanych podmiotów o wdrożenie dodatkowych działań ograniczających ryzyko cybernetyczne. Komunikat pojawił się w czasie, gdy krajobraz zagrożeń kształtują jednocześnie napięcia geopolityczne oraz szybki rozwój zaawansowanych modeli sztucznej inteligencji, które mogą przyspieszać rekonesans, automatyzować wykrywanie luk i skracać czas potrzebny do przygotowania skutecznego ataku.

Dla sektora finansowego to ważny sygnał ostrzegawczy. Regulator wskazuje, że organizacje powinny przejść od ogólnych deklaracji bezpieczeństwa do konkretnych, mierzalnych działań technicznych i operacyjnych.

W skrócie

Nowojorski regulator wezwał instytucje finansowe do podniesienia poziomu gotowości cybernetycznej. W centrum zaleceń znalazły się cztery obszary: szybkie usuwanie aktywnie wykorzystywanych podatności, ograniczanie powierzchni ataku, testowanie odporności organizacyjnej oraz weryfikacja integralności kopii zapasowych.

  • Priorytetem ma być identyfikacja i remediacja aktywnie wykorzystywanych luk.
  • Organizacje powinny wyłączać zbędne porty, protokoły i usługi.
  • Niezbędne są testy odporności, procedur kryzysowych oraz możliwości odtworzenia po incydencie.
  • Rosnące znaczenie AI i napięć geopolitycznych zwiększa presję na szybką reakcję.

Kontekst / historia

Nowy Jork od lat należy do najbardziej aktywnych ośrodków regulacyjnych w obszarze cyberbezpieczeństwa sektora finansowego. Każdy komunikat tamtejszego nadzoru jest uważnie obserwowany przez banki, ubezpieczycieli, unie kredytowe i inne instytucje objęte wymogami zgodności.

Obecne ostrzeżenie wpisuje się w szerszą debatę dotyczącą wpływu nowoczesnej AI na bezpieczeństwo systemów informatycznych. Branża od miesięcy podkreśla, że zaawansowane modele mogą wzmacniać zarówno możliwości obronne, jak i ofensywne. Szczególne obawy dotyczą automatyzacji wyszukiwania podatności, generowania przekonujących kampanii phishingowych oraz przyspieszenia przygotowania ataków ukierunkowanych.

Dodatkowym czynnikiem ryzyka pozostaje niestabilne otoczenie międzynarodowe. W takich warunkach rośnie zagrożenie operacjami sponsorowanymi przez państwa, kampaniami destrukcyjnymi i incydentami wymierzonymi w infrastrukturę krytyczną oraz sektor finansowy.

Analiza techniczna

Z technicznego punktu widzenia zalecenia regulatora koncentrują się na praktykach, które od lat są uznawane za podstawę skutecznej cyberobrony, ale nadal bywają realizowane zbyt wolno lub wybiórczo.

Pierwszym filarem jest zarządzanie podatnościami, zwłaszcza tymi, które są już aktywnie wykorzystywane przez atakujących. Tego typu luki stanowią najwyższy priorytet, ponieważ ich wykorzystanie nie wymaga od przeciwnika dużych nakładów badawczych. Wystarczy gotowy exploit, narzędzie publicznie dostępne lub technika opisana w obiegu przestępczym.

Drugim kluczowym obszarem jest redukcja powierzchni ataku. Wyłączanie niepotrzebnych usług, portów i protokołów bezpośrednio zmniejsza liczbę punktów wejścia do środowiska. W praktyce oznacza to konieczność regularnego przeglądu urządzeń brzegowych, usług zdalnego dostępu, paneli administracyjnych, reguł zapór oraz połączeń pomiędzy segmentami sieci.

Trzecim elementem są testy odporności. Nie chodzi wyłącznie o skanowanie podatności, lecz także o sprawdzenie, czy organizacja potrafi wykryć próbę naruszenia, ograniczyć ruch napastnika, utrzymać kluczowe procesy i skutecznie przeprowadzić odtworzenie. Szczególne znaczenie mają tu ćwiczenia tabletop, walidacja mechanizmów EDR lub XDR, segmentacji sieci, MFA oraz kontroli dostępu uprzywilejowanego.

Istotny nacisk położono również na integralność kopii zapasowych. W realnych incydentach ransomware sam backup nie wystarcza, jeśli repozytorium jest osiągalne z tych samych kont, domen lub ścieżek administracyjnych, które zostały już skompromitowane. Dlatego kluczowe stają się testy odtworzeniowe, separacja logiczna, kontrola uprawnień i monitorowanie dostępu do zasobów backupowych.

W tle tych zaleceń znajduje się rosnąca rola AI w łańcuchu ataku. Jeżeli nowoczesne modele przyspieszają analizę konfiguracji, identyfikację błędów i tworzenie wiarygodnych wiadomości spear phishingowych, to okno czasowe na reakcję po stronie obrońców staje się wyraźnie krótsze.

Konsekwencje / ryzyko

Dla instytucji finansowych komunikat oznacza większą presję na działania, które można udokumentować i obiektywnie ocenić. Ryzyko nie kończy się na samym naruszeniu bezpieczeństwa. W sektorze finansowym incydent zwykle pociąga za sobą zakłócenie usług, ekspozycję danych klientów, możliwość oszustw, szkody reputacyjne, obowiązki notyfikacyjne i konsekwencje regulacyjne.

Najbardziej narażone pozostają organizacje posiadające rozbudowane środowiska legacy, szeroki dostęp zdalny oraz złożoną architekturę łączącą systemy lokalne i chmurowe. W takich ekosystemach łatwo o luki w segmentacji, opóźnienia w łataniu i nadmiarowe uprawnienia. Dodatkowym wzmacniaczem ryzyka jest zależność od dostawców zewnętrznych i podmiotów trzecich.

W praktyce regulator sygnalizuje, że nawet dobrze znane słabości mogą być teraz wykorzystywane szybciej niż wcześniej. Większa automatyzacja po stronie przeciwnika oznacza mniej czasu na wykrycie, analizę i skuteczną remediację.

Rekomendacje

Organizacje z sektora finansowego oraz innych branż regulowanych powinny potraktować te wytyczne jako impuls do natychmiastowego programu hardeningu. Kluczowe jest ustalenie priorytetów na podstawie realnej ekspozycji i wpływu biznesowego.

  • Przeprowadzić pilny przegląd aktywnie wykorzystywanych podatności i powiązać go z systemami dostępnymi z internetu.
  • Skoncentrować działania na urządzeniach brzegowych, usługach VPN, zaporach, systemach tożsamości i narzędziach administracyjnych.
  • Wyłączyć nieużywane porty, usługi i zbędny dostęp administracyjny z sieci publicznej.
  • Wymusić MFA dla kont uprzywilejowanych oraz wszystkich kanałów zdalnego dostępu.
  • Zweryfikować relacje zaufania między segmentami sieci, środowiskami produkcyjnymi i testowymi.
  • Przetestować odtworzenie kluczowych systemów z backupu oraz potwierdzić integralność i kompletność kopii.
  • Ograniczyć możliwość usuwania lub modyfikacji backupów przez nieuprawnione konta.
  • Zwiększyć czułość monitoringu pod kątem skanowania, eskalacji uprawnień, nietypowych logowań i lateral movement.
  • Uaktualnić scenariusze detekcyjne o kampanie spear phishingowe wspierane przez AI.

Na poziomie zarządczym istotne jest, aby decyzje o kolejności działań wynikały z oceny ryzyka, a nie wyłącznie z potrzeby spełnienia formalnych wymogów. Obecne środowisko zagrożeń premiuje organizacje, które potrafią szybko przekładać ostrzeżenia strategiczne na konkretne działania operacyjne.

Podsumowanie

Nowe wytyczne regulatora z Nowego Jorku pokazują, że sektor finansowy wszedł w okres podwyższonej gotowości cybernetycznej. Połączenie napięć geopolitycznych i rosnących możliwości AI zwiększa prawdopodobieństwo szybszych, bardziej zautomatyzowanych i trudniejszych do zatrzymania ataków.

Zalecane środki nie są rewolucyjne, ale właśnie to nadaje im dużą wartość. Szybkie łatanie, redukcja ekspozycji, testowanie odporności i ochrona kopii zapasowych pozostają najskuteczniejszą linią obrony dla organizacji działających w środowisku wysokiego ryzyka.

Źródła

  1. https://www.cybersecuritydive.com/news/new-york-regulator-cyber-mitigation-threat-AI-Iran/820979/
  2. https://www.dfs.ny.gov/industry_guidance/industry_letters/il20260521_heightened_cybersecurity_risk
  3. https://www.governor.ny.gov/

CISA dodaje exploity Langflow i Trend Micro Apex One do katalogu KEV

Cybersecurity news

Wprowadzenie do problemu / definicja

Agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities o dwie podatności aktywnie wykorzystywane w rzeczywistych atakach: CVE-2025-34291 w Langflow oraz CVE-2026-34926 w Trend Micro Apex One. Samo umieszczenie luki w katalogu KEV oznacza, że zagrożenie zostało potwierdzone operacyjnie i powinno być traktowane jako priorytet w procesie zarządzania podatnościami.

Sprawa jest istotna, ponieważ dotyczy dwóch różnych klas technologii. Langflow funkcjonuje w szybko rosnącym obszarze narzędzi AI i automatyzacji workflow, natomiast Trend Micro Apex One należy do centralnych systemów ochrony endpointów, których kompromitacja może mieć konsekwencje dla całej organizacji.

W skrócie

  • CISA dodała do KEV podatności CVE-2025-34291 oraz CVE-2026-34926.
  • CVE-2025-34291 w Langflow może prowadzić do zdalnego wykonania kodu i przejęcia instancji.
  • CVE-2026-34926 w Trend Micro Apex One dotyczy obejścia ograniczeń z wykorzystaniem path traversal w środowiskach on-premise.
  • W przypadku Apex One skutkiem może być wstrzyknięcie złośliwego kodu dystrybuowanego następnie do agentów.
  • Dodanie obu luk do KEV oznacza konieczność pilnej remediacji i przeglądu ekspozycji środowiska.

Kontekst / historia

Katalog KEV pełni praktyczną rolę w priorytetyzacji podatności, które nie tylko istnieją, ale zostały już wykorzystane przez napastników. Dla zespołów bezpieczeństwa to ważny sygnał, że ryzyko nie jest hipotetyczne i może wymagać natychmiastowych działań naprawczych, nawet jeśli luka wcześniej była traktowana jako element standardowego backlogu patch managementu.

W przypadku Langflow problem był wcześniej opisywany jako połączenie błędów projektowych i konfiguracyjnych. Taki model zagrożenia jest szczególnie groźny w środowiskach AI, ponieważ platformy orkiestrujące przepływy pracy często przechowują tokeny API, dane integracyjne oraz konfiguracje łączące wiele usług w jednym miejscu.

Trend Micro Apex One reprezentuje inny scenariusz. Tu luka dotyczy wdrożeń lokalnych i wymaga wcześniejszego dostępu do serwera zarządzającego oraz odpowiednich uprawnień. Mimo wyższego progu wejścia skutki potencjalnej kompromitacji są bardzo poważne, ponieważ atak obejmuje system centralnie sterujący agentami bezpieczeństwa na stacjach końcowych.

Analiza techniczna

CVE-2025-34291 w Langflow nie sprowadza się do pojedynczego błędu, lecz do łańcucha podatności zwiększających wzajemnie swój wpływ. W opisywanym scenariuszu kluczową rolę odgrywa nadmiernie liberalna konfiguracja CORS, brak skutecznej ochrony CSRF oraz endpoint umożliwiający wykonanie kodu. Taka kombinacja pozwala doprowadzić do nieautoryzowanych żądań i wykorzystać logikę aplikacji do przejęcia instancji.

Z perspektywy technicznej szczególnie niebezpieczne jest to, że platformy AI często pełnią funkcję koncentratora integracji. Jeśli napastnik uzyska dostęp do środowiska Langflow, może potencjalnie przejąć nie tylko samą aplikację, ale również sekrety, konfiguracje workflow, poświadczenia do usług zewnętrznych i dostęp do kolejnych komponentów infrastruktury.

CVE-2026-34926 w Trend Micro Apex One została opisana jako podatność typu directory traversal w wersji on-premise. Według dostępnych informacji atak zakłada wcześniejsze uzyskanie dostępu do serwera oraz uprawnień administracyjnych. Następnie możliwa staje się modyfikacja kluczowych elementów wykorzystywanych przez serwer do dystrybucji komponentów i polityk, co może doprowadzić do rozesłania złośliwego kodu do agentów.

Ten model zagrożenia jest szczególnie groźny, ponieważ odwraca podstawową funkcję narzędzia bezpieczeństwa. Zamiast chronić stacje robocze i serwery, przejęta platforma zarządzająca może zostać wykorzystana jako zaufany kanał dostarczania ładunku do wielu hostów jednocześnie.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem exploitu w Langflow jest możliwość pełnego przejęcia instancji oraz kradzieży sekretów aplikacyjnych. W praktyce może to oznaczać nadużycie kluczy API, przejęcie kont usługowych, dostęp do danych użytkowników, a także dalszą penetrację środowisk chmurowych i systemów zintegrowanych z platformą AI.

W przypadku Apex One zagrożenie ma bardziej uprzywilejowany charakter, ale może objąć znacznie większy obszar infrastruktury. Naruszenie serwera zarządzającego agentami ochrony endpointów stwarza ryzyko szybkiej propagacji złośliwego kodu, utrzymania persystencji i ruchu bocznego z wykorzystaniem zaufanego komponentu działającego zwykle z wysokimi uprawnieniami.

Znaczenie operacyjne rośnie dodatkowo po dodaniu obu luk do KEV. To wyraźny sygnał, że organizacje powinny traktować je jako pilny priorytet remediacyjny, a nie element długoterminowego planu aktualizacji.

Rekomendacje

Organizacje korzystające z Langflow powinny zidentyfikować wszystkie wdrożone instancje, zweryfikować ich wersje oraz niezwłocznie zastosować dostępne poprawki. Równolegle warto przeanalizować konfigurację CORS, mechanizmy sesyjne i ochronę przed CSRF, a także ograniczyć ekspozycję interfejsów administracyjnych do sieci zaufanych.

W środowiskach, gdzie Langflow przechowuje tokeny i klucze dostępu do usług zewnętrznych, należy rozważyć natychmiastową rotację sekretów, jeśli istnieje choćby podejrzenie nieautoryzowanego dostępu. Dobrym krokiem jest również segmentacja sieci oraz ograniczenie możliwości wykonywania kodu wyłącznie do ściśle kontrolowanych scenariuszy.

W przypadku Trend Micro Apex One kluczowe znaczenie ma pilne wdrożenie poprawek producenta i ograniczenie dostępu do serwera zarządzającego. System nie powinien być wystawiony do internetu, a dostęp administracyjny powinien być chroniony dodatkowymi warstwami kontroli, takimi jak segmentacja, listy kontroli dostępu i silne uwierzytelnianie.

W obu przypadkach warto przeprowadzić działania huntingowe i przegląd logów pod kątem nietypowych żądań administracyjnych, zmian konfiguracji, nieautoryzowanego uruchamiania kodu oraz anomalii w komunikacji agentów i usług zależnych.

  • Zidentyfikować wszystkie podatne instancje i serwery.
  • Wdrożyć poprawki oraz środki kompensacyjne bez zbędnej zwłoki.
  • Ograniczyć ekspozycję interfejsów zarządzających.
  • Rotować sekrety i poświadczenia po potencjalnej kompromitacji.
  • Monitorować integralność konfiguracji oraz kanałów dystrybucji do agentów.

Podsumowanie

Dodanie CVE-2025-34291 i CVE-2026-34926 do katalogu KEV pokazuje, że aktywnie wykorzystywane podatności obejmują dziś zarówno nowoczesne platformy AI, jak i klasyczne systemy bezpieczeństwa zarządzane centralnie. W obu przypadkach skutki kompromitacji wykraczają poza pojedynczy host i mogą prowadzić do przejęcia sekretów, eskalacji dostępu oraz szerokiej dystrybucji złośliwego kodu.

Dla zespołów bezpieczeństwa to kolejny sygnał, że priorytetyzacja łatania musi obejmować nie tylko systemy brzegowe, lecz także aplikacje AI, narzędzia orkiestracji oraz platformy odpowiadające za ochronę endpointów w całej organizacji.

Źródła

Usunięte klucze API Google działały jeszcze przez kilkanaście minut po skasowaniu

Cybersecurity news

Wprowadzenie do problemu / definicja

Klucze API od lat pozostają jednym z najczęściej wykorzystywanych mechanizmów dostępu do usług chmurowych i interfejsów programistycznych. W praktyce bezpieczeństwa zakłada się, że ich usunięcie lub unieważnienie powinno natychmiast odciąć możliwość dalszego wykonywania żądań. Najnowsze ustalenia dotyczące Google Cloud pokazują jednak, że rzeczywistość może być bardziej złożona.

Opisany problem dotyczy opóźnienia propagacji unieważnienia klucza API. Oznacza to, że po formalnym usunięciu sekretu z panelu administracyjnego część infrastruktury może przez pewien czas nadal akceptować żądania podpisane tym samym kluczem. Z punktu widzenia bezpieczeństwa to istotna rozbieżność między oczekiwanym a rzeczywistym zachowaniem systemu.

W skrócie

Badacz bezpieczeństwa wykazał, że wybrane klucze API Google mogły pozostawać skuteczne nawet do około 23 minut po usunięciu. Mediana zaobserwowanego czasu wygaszania wyniosła około 16 minut, a najkrótsze przypadki mieściły się w granicach około 8 minut.

To oznacza, że przejęty lub wyciekły klucz może być nadal nadużywany mimo jego skasowania w konsoli. Dla zespołów SOC, administratorów i specjalistów IR to ważny sygnał, że operacja usunięcia sekretu nie zawsze oznacza natychmiastowe zamknięcie ryzyka.

Kontekst / historia

Opóźnienia w unieważnianiu poświadczeń nie są zjawiskiem nowym i wcześniej pojawiały się także w kontekście innych dostawców usług chmurowych. W środowiskach rozproszonych część operacji działa w modelu spójności ostatecznej, przez co zmiany nie zawsze są natychmiast widoczne we wszystkich komponentach systemu.

W przypadku Google Cloud dodatkowego znaczenia nabiera sposób zarządzania kluczami API. Dokumentacja opisuje usunięcie jako operację oznaczającą klucz stanem DELETED, przy czym sam obiekt może jeszcze pozostawać w systemie w okresie retencji i potencjalnie zostać przywrócony. Jednocześnie użytkownicy mają uzasadnione oczekiwanie, że klucz oznaczony jako usunięty nie będzie już używalny operacyjnie.

To właśnie napięcie między dokumentowanym stanem administracyjnym a faktycznym zachowaniem infrastruktury sprawia, że sprawa ma znaczenie nie tylko techniczne, ale również proceduralne i audytowe.

Analiza techniczna

Według opisanych testów badawczych proces polegał na utworzeniu klucza API, jego usunięciu, a następnie wielokrotnym wysyłaniu uwierzytelnionych żądań w celu sprawdzenia, jak długo system nadal akceptuje ten sam sekret. Wyniki okazały się nieregularne, co sugeruje brak pełnej spójności w czasie wygaszania dostępu.

Najbardziej prawdopodobnym wyjaśnieniem jest rozproszona propagacja informacji o unieważnieniu. W praktyce różne węzły, warstwy routingu, mechanizmy cache lub komponenty odpowiedzialne za weryfikację poświadczeń mogą przez pewien czas operować na niespójnym stanie. W efekcie to samo żądanie może zostać odrzucone przez jeden element infrastruktury, a zaakceptowane przez inny.

W badaniu zwrócono również uwagę na różnice zależne od regionu inicjowania ruchu. To sugeruje, że lokalizacja geograficzna, ścieżka obsługi żądania lub architektura pośrednicząca mogą mieć wpływ na to, jak długo usunięty klucz pozostaje skuteczny. Dla obrońców oznacza to większą trudność w oszacowaniu rzeczywistego momentu pełnej neutralizacji zagrożenia.

Istotnym problemem pozostaje także widoczność takich zdarzeń w monitoringu. Jeżeli organizacja opiera się wyłącznie na statusie klucza widocznym w konsoli administracyjnej, może uznać incydent za zamknięty zbyt wcześnie, mimo że część żądań nadal przechodzi poprawnie.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest fałszywe poczucie bezpieczeństwa po wykryciu wycieku klucza API. W standardowym scenariuszu administrator usuwa sekret i zakłada, że nadużycia zostały zatrzymane. Jeśli jednak klucz pozostaje aktywny jeszcze przez kilka lub kilkanaście minut, atakujący zyskuje dodatkowe okno działania.

W tym czasie możliwe są dalsze zapytania do usług, eksfiltracja danych, generowanie kosztów, testowanie uprawnień oraz rozszerzanie wiedzy o środowisku ofiary. Nawet relatywnie krótki okres dalszej aktywności może być wystarczający, by pobrać cenne informacje albo zainicjować kosztowne operacje w usługach chmurowych.

Ryzyko rośnie szczególnie wtedy, gdy klucz API zapewnia dostęp do systemów o wysokiej wartości biznesowej, usług analitycznych, interfejsów AI, usług mapowych, backendów aplikacyjnych lub innych zasobów produkcyjnych. Problem uderza też w procesy reagowania na incydenty, ponieważ klasyczne założenie „usuń sekret i zamknij sprawę” przestaje być w pełni wiarygodne.

  • dodatkowe okno operacyjne dla atakującego po usunięciu klucza,
  • możliwość dalszej eksfiltracji danych lub wykonywania kosztownych żądań,
  • utrudniona analiza incydentu i ustalenie momentu pełnej neutralizacji,
  • ryzyko błędnego zamknięcia incydentu przez zespół bezpieczeństwa,
  • większa ekspozycja organizacji korzystających z szeroko uprzywilejowanych kluczy API.

Rekomendacje

Organizacje korzystające z Google Cloud powinny traktować usunięcie klucza API nie jako natychmiastowe odcięcie dostępu, lecz jako początek procesu wygaszania. W praktyce oznacza to konieczność utrzymania wzmożonego monitoringu jeszcze przez co najmniej kilkanaście lub kilkadziesiąt minut po usunięciu poświadczenia.

Kluczowe znaczenie ma ograniczanie uprawnień oraz zawężanie zakresu użycia kluczy API. Im mniejszy zestaw usług, aplikacji i źródeł ruchu dopuszcza dany klucz, tym mniejszy będzie wpływ jego ewentualnego dalszego działania po skasowaniu. Równolegle warto ograniczać stosowanie samych kluczy API wszędzie tam, gdzie możliwe jest użycie silniejszych mechanizmów uwierzytelniania.

Z perspektywy operacyjnej warto wdrożyć następujące działania:

  • monitorowanie użycia kluczy i anomalii również po ich usunięciu,
  • uwzględnienie bufora czasowego w procedurach reagowania na incydenty,
  • dokumentowanie rzeczywistego czasu wygaszania dostępu w środowisku organizacji,
  • segmentowanie projektów i usług, aby pojedynczy klucz nie dawał zbyt szerokiego dostępu,
  • regularną rotację sekretów oraz ograniczanie ich obecności w kodzie, logach i pipeline’ach CI/CD,
  • preferowanie krótkotrwałych tokenów, kont usługowych i innych bezpieczniejszych metod uwierzytelniania tam, gdzie to możliwe.

Podsumowanie

Przypadek Google API keys pokazuje, że w systemach rozproszonych samo usunięcie poświadczenia nie zawsze oznacza natychmiastowe odcięcie możliwości jego użycia. W badaniu odnotowano sytuacje, w których usunięty klucz pozostawał skuteczny nawet do około 23 minut, a zachowanie środowiska było nieregularne i zależne od infrastruktury.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest praktyczny: klucze API należy traktować jako poświadczenia wysokiego ryzyka, a proces ich wycofywania musi być wsparty monitoringiem, ograniczaniem uprawnień oraz dodatkowymi kontrolami obronnymi. W przeciwnym razie luka między stanem widocznym w konsoli a rzeczywistym egzekwowaniem polityki może zostać wykorzystana przez atakującego.

Źródła

Wzrost liczby luk w Chrome sugeruje rosnącą rolę AI w wykrywaniu podatności

Cybersecurity news

Wprowadzenie do problemu / definicja

Google w ostatnich tygodniach znacząco zwiększył liczbę podatności wykrywanych we własnym zakresie w przeglądarce Chrome. Skala tego zjawiska zwraca uwagę nie tylko ze względu na tempo publikacji poprawek, ale również z powodu prawdopodobnego udziału narzędzi opartych na sztucznej inteligencji w analizie kodu, identyfikacji błędów i przygotowywaniu aktualizacji.

Dla branży cyberbezpieczeństwa to ważny sygnał. Automatyzacja i AI coraz wyraźniej wchodzą do praktyki bezpiecznego wytwarzania oprogramowania, wspierając zarówno wykrywanie podatności, jak i ocenę ich wariantów w rozbudowanych bazach kodu.

W skrócie

W kolejnych wydaniach Chrome Google odnotował wyraźny wzrost liczby błędów bezpieczeństwa wykrywanych wewnętrznie. W kwietniu 2026 roku liczba takich zgłoszeń wzrosła z pojedynczych przypadków do kilkunastu i ponad 20, a w biuletynie z 5 maja 2026 roku osiągnęła poziom 100 podatności.

Choć firma nie potwierdziła wprost, że za wzrostem stoi AI, wcześniejsze komunikaty Google dotyczące automatyzacji, analizy wariantów błędów i szybszego ograniczania ryzyka silnie sugerują, że sztuczna inteligencja może już odgrywać istotną rolę w tym procesie.

Kontekst / historia

Przez lata wykrywanie luk w przeglądarkach internetowych opierało się głównie na ręcznych audytach, fuzzingu, zgłoszeniach od niezależnych badaczy oraz programach bug bounty. Ten model nadal funkcjonuje, jednak coraz częściej jest uzupełniany o narzędzia zdolne do automatycznej analizy przyczyn źródłowych i wyszukiwania podobnych błędów w innych częściach projektu.

W przypadku Chrome szczególnie istotne jest tempo zmian. Jeszcze pod koniec marca i na początku kwietnia 2026 roku biuletyny bezpieczeństwa wskazywały jedynie kilka podatności przypisanych wewnętrznym ustaleniom Google. Następnie liczba ta wzrosła do 16 w aktualizacji z 15 kwietnia 2026 roku i do 21 w wydaniu z 28 kwietnia 2026 roku. Kulminacja nastąpiła 5 maja 2026 roku, gdy opublikowano pakiet poprawek obejmujący 100 luk oznaczonych jako wykryte przez firmę.

Trend ten wpisuje się w szerszy ruch rynkowy, w którym najwięksi dostawcy oprogramowania wdrażają rozwiązania AI do wsparcia bezpieczeństwa aplikacji, triage zgłoszeń i szybszego przygotowywania poprawek.

Analiza techniczna

Najbardziej prawdopodobny scenariusz nie polega na tym, że pojedynczy model AI samodzielnie odkrywa zupełnie nowe klasy błędów. Znacznie bardziej realne jest połączenie klasycznych technik bezpieczeństwa z narzędziami automatyzującymi analizę zależności, wzorców i przyczyn źródłowych.

W praktyce może to oznaczać, że klasyczne mechanizmy, takie jak fuzzing, testy regresyjne czy analiza crashy, wskazują nietypowe zachowania, a system wspierany przez AI pomaga ocenić, czy podobny problem występuje także w innych komponentach Chromium. Takie podejście dobrze sprawdza się przy wyszukiwaniu wariantów błędów związanych z use-after-free, out-of-bounds access, walidacją danych wejściowych lub problemami logicznymi w zarządzaniu uprawnieniami.

AI może również przyspieszać przygotowanie propozycji patchy, generowanie testów regresyjnych oraz ocenę, czy zmiana nie wprowadza nowych ryzyk. W dużych projektach, gdzie kod rozwijany jest równolegle przez wiele zespołów, taka automatyzacja może znacząco skrócić czas między identyfikacją słabości a wdrożeniem poprawki.

Dodatkową przesłanką są wcześniejsze komunikaty Google dotyczące automatyzacji działań bezpieczeństwa oraz rozwijania własnych rozwiązań wspierających analizę kodu i rekomendowanie poprawek. W tym kontekście wzrost liczby wewnętrznie wykrywanych luk w Chrome wydaje się spójny z szerszą strategią wykorzystania AI w AppSec.

Konsekwencje / ryzyko

Dla użytkowników końcowych wzrost liczby wykrytych luk ma dwojakie znaczenie. Z jednej strony pokazuje, że producent aktywnie identyfikuje i usuwa problemy, zanim część z nich zostanie szerzej wykorzystana przez atakujących. Z drugiej strony tak duża liczba poprawek przypomina, jak rozległa pozostaje powierzchnia ataku nowoczesnej przeglądarki.

Z perspektywy producentów oprogramowania i zespołów bezpieczeństwa może to oznaczać zmianę modelu pracy. Jeśli AI rzeczywiście zwiększa skuteczność znajdowania wariantów podatności, organizacje niekorzystające z podobnych narzędzi mogą zacząć odstawać pod względem tempa napraw i zdolności do proaktywnego ograniczania ryzyka.

Nie można też wykluczyć, że podobne techniki będą coraz szerzej wykorzystywane po stronie ofensywnej. To oznacza, że przewaga czasowa między wykryciem podatności a jej załataniem stanie się jednym z kluczowych czynników bezpieczeństwa.

Rekomendacje

Organizacje powinny traktować przeglądarki jako krytyczny komponent środowiska pracy i bezwzględnie utrzymywać automatyczne aktualizacje Chrome oraz innych używanych aplikacji klienckich. Opóźnienia we wdrażaniu poprawek zwiększają ryzyko wykorzystania luk w kampaniach phishingowych, atakach drive-by download oraz przejęciach sesji użytkowników.

Dla zespołów AppSec i DevSecOps najrozsądniejsze podejście polega na wdrażaniu AI jako uzupełnienia, a nie zamiennika klasycznych praktyk bezpieczeństwa. Nadal niezbędne pozostają code review, fuzzing, SAST, DAST, analiza zależności i kontrola procesu wydawniczego.

  • monitorowanie biuletynów bezpieczeństwa dostawców przeglądarek i kluczowego oprogramowania,
  • skracanie okien wdrażania poprawek dla aplikacji wysokiego ryzyka,
  • stosowanie izolacji przeglądarki lub konteneryzacji dla kont uprzywilejowanych,
  • ograniczanie możliwości instalowania nieautoryzowanych rozszerzeń,
  • wykorzystywanie EDR i telemetrii do wykrywania nietypowych zachowań procesów przeglądarki.

Podsumowanie

Nagły wzrost liczby podatności wykrywanych wewnętrznie w Chrome może wskazywać, że sztuczna inteligencja już dziś realnie wpływa na praktykę badań nad bezpieczeństwem oprogramowania. Nawet bez jednoznacznego potwierdzenia ze strony Google dostępne przesłanki sugerują rosnącą rolę AI w identyfikacji błędów, analizie ich przyczyn i przygotowywaniu poprawek.

Dla całej branży to ważny sygnał strategiczny. W najbliższych latach skuteczność ochrony będzie zależeć nie tylko od jakości kodu, ale także od tego, jak szybko organizacja potrafi wykrywać własne słabości i eliminować je przed atakującymi.

Źródła

Microsoft udostępnia RAMPART i Clarity jako open source, wzmacniając bezpieczeństwo agentów AI

Cybersecurity news

Wprowadzenie do problemu / definicja

Bezpieczeństwo agentów AI staje się jednym z najważniejszych obszarów współczesnego cyberbezpieczeństwa. W przeciwieństwie do klasycznych modeli generatywnych, agenci nie tylko odpowiadają na pytania, ale też wykonują zadania, korzystają z narzędzi, pobierają dane z zewnętrznych źródeł i podejmują działania w środowiskach firmowych. To oznacza większą powierzchnię ataku oraz potrzebę stosowania bardziej zaawansowanych metod testowania i projektowania zabezpieczeń.

W tym kontekście Microsoft udostępnił jako projekty open source dwa rozwiązania: RAMPART oraz Clarity. Oba narzędzia mają wspierać zespoły inżynierskie w budowaniu bezpiecznych agentów AI na różnych etapach cyklu życia systemu — od projektowania architektury po testy odporności i red teaming.

W skrócie

  • Microsoft otworzył dwa narzędzia wspierające bezpieczeństwo agentów AI: RAMPART i Clarity.
  • RAMPART służy do automatyzacji testów bezpieczeństwa i odporności agentów AI, w tym scenariuszy prompt injection i eksfiltracji danych.
  • Clarity wspiera analizę projektową przed implementacją, pomagając porządkować założenia, ryzyka i scenariusze awarii.
  • Połączenie obu narzędzi wpisuje się w model ciągłego bezpieczeństwa AI obejmującego projektowanie, rozwój i walidację działania.

Kontekst / historia

W ostatnich latach organizacje zaczęły wdrażać agentów AI w procesach biznesowych, operacyjnych i deweloperskich. Takie systemy mogą integrować się z pocztą elektroniczną, dokumentami, API, repozytoriami danych czy aplikacjami firmowymi. Rosnąca autonomia agentów zwiększa jednak ryzyko nadużyć, błędów logicznych i niezamierzonych działań.

Jednym z najczęściej wskazywanych problemów jest pośredni prompt injection, w którym model lub agent interpretuje nieufne dane z zewnętrznego źródła jako instrukcje operacyjne. W praktyce może to prowadzić do obejścia polityk bezpieczeństwa, ujawnienia danych lub wykonania nieautoryzowanych działań. Im szerszy dostęp agenta do narzędzi i systemów, tym większe znaczenie mają testy bezpieczeństwa oraz wcześniejsze modelowanie ryzyka.

Microsoft rozwijał wcześniej rozwiązania związane z bezpieczeństwem AI, w tym PyRIT, czyli narzędzie ukierunkowane na identyfikację ryzyk. RAMPART i Clarity rozwijają ten kierunek, ale kładą większy nacisk na praktyczne wsparcie procesu wytwarzania oraz bezpieczeństwo agentów AI jako systemów wykonawczych.

Analiza techniczna

RAMPART został zaprojektowany jako framework testowy natywny dla Pytest. Jego zadaniem jest umożliwienie tworzenia, uruchamiania i powtarzania scenariuszy bezpieczeństwa oraz testów odporności dla agentów AI. Dzięki temu zespoły mogą formalizować przypadki testowe obejmujące zarówno złośliwe wejścia, jak i pozornie poprawne dane prowadzące do naruszenia polityk bezpieczeństwa.

Zakres zastosowań RAMPART obejmuje między innymi:

  • cross-prompt injection i indirect prompt injection,
  • regresje zachowania modelu lub agenta po zmianach w konfiguracji i logice,
  • eksfiltrację danych podczas wykonywania zadań,
  • naruszenia wynikające z integracji z narzędziami, konektorami i źródłami danych,
  • testowanie klas zagrożeń związanych zarówno z bezpieczeństwem, jak i szerzej rozumianymi szkodami operacyjnymi.

Architektura RAMPART opiera się na adapterze łączącym badanego agenta z zestawem testów. To pozwala uruchamiać scenariusze w pipeline’ach inżynierskich i automatycznie oceniać odchylenia od oczekiwanego zachowania. W praktyce oznacza to możliwość zamiany jednorazowych ćwiczeń red teamingu na powtarzalne testy uruchamiane przy każdej zmianie systemu.

Clarity pełni inną, ale komplementarną funkcję. Narzędzie wspiera analizę projektową jeszcze przed etapem implementacji. Pomaga zespołom precyzować założenia, dokumentować decyzje architektoniczne, identyfikować scenariusze awarii i określać granice działania systemu. Takie podejście wpisuje się w strategię przesuwania bezpieczeństwa w lewo, czyli uwzględniania ryzyka na etapie planowania, a nie dopiero po wdrożeniu.

Z punktu widzenia secure development jest to szczególnie ważne w środowiskach, gdzie agent ma dostęp do danych wrażliwych, narzędzi wykonawczych lub systemów produkcyjnych. Wczesne określenie dopuszczalnych uprawnień, granic autonomii i punktów wymagających zatwierdzenia przez człowieka znacząco ogranicza ryzyko kosztownych błędów projektowych.

Konsekwencje / ryzyko

Udostępnienie RAMPART i Clarity pokazuje, że bezpieczeństwo agentów AI staje się odrębną i dojrzewającą specjalizacją. Organizacje budujące systemy agentowe potrzebują narzędzi, które łączą projektowanie, testowanie i walidację zachowania w jednym procesie. Bez tego trudno utrzymać spójność między założeniami architektonicznymi a realnym sposobem działania systemu.

Brak odpowiednich mechanizmów może prowadzić do wielu problemów operacyjnych i bezpieczeństwa:

  • niekontrolowanego wykonywania poleceń pochodzących z niezaufanych źródeł,
  • wycieku danych przez odpowiedzi modelu lub działania narzędziowe agenta,
  • błędów wynikających z nadmiernych uprawnień i niewłaściwej orkiestracji,
  • trudności w odtworzeniu incydentu i sprawdzeniu skuteczności poprawek,
  • regresji bezpieczeństwa po zmianach w modelu, promptach, integracjach lub logice biznesowej.

Szczególne ryzyko pojawia się tam, gdzie agent może wykonywać operacje w systemach produkcyjnych, modyfikować dane lub działać z użyciem kont uprzywilejowanych. W takich scenariuszach bezpieczeństwo nie może ograniczać się do testowania modelu językowego, lecz musi obejmować cały stos technologiczny: integracje, narzędzia, polityki dostępu i procesy nadzoru.

Rekomendacje

Organizacje wdrażające agentów AI powinny traktować bezpieczeństwo jako element architektury i procesu inżynierskiego, a nie końcową warstwę kontroli. W praktyce warto wdrożyć kilka podstawowych zasad.

  • Włączać testy bezpieczeństwa agentów do CI/CD, obejmując nimi prompt injection, eksfiltrację danych i nadużycia narzędzi.
  • Stosować zasadę najmniejszych uprawnień oraz separować dostęp do danych, funkcji wykonawczych i środowisk.
  • Dokumentować założenia projektowe, ścieżki decyzyjne i granice zachowania systemu jeszcze przed implementacją.
  • Traktować dane zewnętrzne jako niezaufane, nawet jeśli pochodzą z legalnych kanałów, takich jak e-mail, pliki czy strony WWW.
  • Zapewniać możliwość reprodukcji incydentów poprzez utrwalanie scenariuszy testowych i automatyczne ponowne sprawdzanie zabezpieczeń.
  • Ocenić bezpieczeństwo nie tylko modelu, ale również orkiestracji, pluginów, konektorów i narzędzi wywoływanych przez agenta.
  • Wprowadzać nadzór człowieka dla operacji wysokiego ryzyka i działań mogących wpływać na systemy produkcyjne.

Podsumowanie

Open source’owe udostępnienie RAMPART i Clarity to ważny sygnał dla rynku: bezpieczeństwo agentów AI wymaga systemowego podejścia obejmującego projektowanie, testowanie i ciągłą walidację. RAMPART pomaga automatyzować testy odporności i bezpieczeństwa, natomiast Clarity wspiera zespoły w porządkowaniu decyzji architektonicznych oraz modelowaniu ryzyka na wczesnym etapie.

Dla branży cyberbezpieczeństwa oznacza to dalsze przesuwanie praktyk AI security w stronę dojrzałych procesów inżynierskich. W środowisku, w którym agenci stają się coraz bardziej autonomiczni i zintegrowani z krytycznymi systemami, takie narzędzia mogą odegrać istotną rolę w ograniczaniu ryzyka operacyjnego i bezpieczeństwa.

Źródła

  1. Microsoft Open-Sources RAMPART and Clarity to Secure AI Agents During Development
  2. RAMPART — GitHub
  3. Clarity — GitHub
  4. PyRIT — Python Risk Identification Tool
  5. Microsoft Security Blog

Mythos Nie Wystarczy. Lekcja Z Cloudflare.

Mythos jednak nie taki wspaniały?

Mythos Preview to jeden z tych tematów, przy których łatwo popaść w skrajności. Jedni widzą początek końca klasycznego pentestingu. Drudzy widzą głównie marketing, PR i kolejną falę zachwytu nad AI. Prawda jest mniej wygodna: Mythos jest wystarczająco mocny, żeby potraktować go bardzo poważnie, ale nie jest magicznym inżynierem bezpieczeństwa, którego można podpiąć do repozytorium i powiedzieć: „znajdź wszystko, co groźne”.

Czytaj dalej „Mythos Nie Wystarczy. Lekcja Z Cloudflare.”