Tag: AI

Wprowadzenie do problemu / definicja

Autonomiczni agenci AI coraz częściej działają w środowisku webowym, analizując strony internetowe, korzystając z narzędzi i wykonując operacje w imieniu użytkowników. To sprawia, że sama treść publikowana w sieci może stać się nośnikiem ataku, wpływając nie tylko na odpowiedzi modelu, ale również na jego decyzje i działania.

Badacze Google DeepMind opisali ten problem jako nową klasę zagrożeń, w której odpowiednio spreparowane zasoby internetowe mogą manipulować agentami AI. W praktyce oznacza to, że złośliwa zawartość strony może skłonić system do ujawnienia danych, wykonania niepożądanych operacji lub przyjęcia fałszywych założeń.

W skrócie

Google DeepMind przeanalizował, jak treści webowe mogą zostać wykorzystane do atakowania autonomicznych agentów AI. W badaniu wyróżniono sześć głównych klas zagrożeń, obejmujących ukryte instrukcje, manipulację znaczeniem treści, zatruwanie pamięci, przejmowanie kontroli nad zachowaniem systemu, ataki na środowiska wieloagentowe oraz nadużycia związane z udziałem człowieka w procesie decyzyjnym.

• złośliwa treść może być ukryta w elementach niewidocznych dla użytkownika,
• atak nie musi łamać infrastruktury bezpieczeństwa, aby przynieść skutki,
• ryzyko obejmuje zarówno wyciek danych, jak i błędne działania operacyjne,
• szczególnie narażone są systemy z pamięcią trwałą i szerokim dostępem do narzędzi.

Kontekst / historia

Dotychczas dyskusja o bezpieczeństwie modeli językowych koncentrowała się głównie na prompt injection, jailbreakach, wyciekach danych i nadmiernych uprawnieniach. Wraz z rozwojem agentów AI problem przestał jednak dotyczyć wyłącznie samego modelu i objął także całe środowisko operacyjne, w którym agent działa.

Nowe podejście zakłada traktowanie internetu jako aktywnej powierzchni ataku. Nie chodzi już tylko o pojedyncze polecenia kierowane do modelu, ale o systematyczne przygotowywanie treści, które wykorzystują sposób parsowania danych, interpretacji kontekstu, priorytetyzacji celów oraz wykonywania instrukcji przez agentów.

Analiza techniczna

Badacze opisali sześć klas ataków, które mogą być realizowane za pośrednictwem zawartości webowej. Pierwszą z nich jest wstrzykiwanie treści, czyli ukrywanie instrukcji w komentarzach HTML, metadanych, elementach niewidocznych dla człowieka lub danych dostarczanych dynamicznie. Tego rodzaju rozbieżność między tym, co widzi użytkownik, a tym, co przetwarza agent, tworzy przestrzeń do niejawnego sterowania systemem.

Drugą kategorią jest manipulacja semantyczna. W tym przypadku atakujący nie musi ukrywać komend, lecz wykorzystuje odpowiednio sformułowany język, aby przesunąć interpretację kontekstu, osłabić walidację lub wpłynąć na priorytety agenta. Efektem może być błędna ocena sytuacji i podjęcie decyzji zgodnych z interesem napastnika.

Trzecia grupa obejmuje ataki na stan poznawczy agenta, w szczególności na pamięć długoterminową, logi, zewnętrzne bazy wiedzy i mechanizmy uczenia na podstawie wcześniejszych interakcji. Zatrucie takich zasobów może nie dawać natychmiastowego efektu, ale prowadzić do błędów ujawniających się dopiero w kolejnych zadaniach.

Czwarta klasa dotyczy sterowania zachowaniem. Obejmuje osadzone jailbreaki, próby wymuszenia ujawnienia danych uprzywilejowanych oraz skłanianie agenta do uruchamiania podagentów lub narzędzi z jego uprawnieniami. W złożonych procesach automatyzacji może to prowadzić do eskalacji skutków i rozszerzania zasięgu incydentu.

Piąta kategoria to ataki systemowe w środowiskach wieloagentowych. W takich architekturach jeden agent może przekazywać dane kolejnemu, a decyzje mogą opierać się na założeniu zaufania i podobnym sposobie działania modeli. To zwiększa ryzyko efektu domina, w którym pojedyncza manipulacja wpływa na całą sekwencję operacji.

Szósta klasa obejmuje scenariusze human-in-the-loop. Agent może zostać tak zmanipulowany, aby przekazać człowiekowi fałszywe rekomendacje lub wiarygodnie brzmiące instrukcje, które w rzeczywistości realizują cel atakującego. To szczególnie groźne tam, gdzie użytkownik nadmiernie ufa analizie przygotowanej przez system AI.

Konsekwencje / ryzyko

Z perspektywy przedsiębiorstw problem ma znaczenie praktyczne, ponieważ agenci AI coraz częściej uzyskują dostęp do poczty elektronicznej, systemów CRM, platform SaaS, repozytoriów dokumentów i narzędzi administracyjnych. Jeśli taki system przetwarza niezaufaną treść bez odpowiedniej izolacji, ryzyko obejmuje zarówno poufność informacji, jak i integralność procesów biznesowych.

Możliwe skutki to wyciek danych, wykonywanie nieautoryzowanych działań, generowanie błędnych decyzji operacyjnych, zatruwanie pamięci trwałej, propagacja dezinformacji oraz wykorzystanie agenta przeciwko jego operatorowi. W środowiskach wieloagentowych zagrożenie rozszerza się dodatkowo na kolejne komponenty automatyzacji.

Istotne jest również to, że wiele z opisanych technik nie wymaga klasycznego przełamania zabezpieczeń infrastrukturalnych. Wystarczy odpowiednio przygotowana treść wejściowa, co przesuwa ciężar obrony z blokowania exploitów na kontrolę zaufania do danych, ograniczanie uprawnień i monitorowanie działań agentów.

Rekomendacje

Organizacje wdrażające agentów AI powinny traktować treści internetowe jako potencjalnie wrogie dane wejściowe. Niezbędne staje się oddzielenie warstwy prezentowanej człowiekowi od warstwy interpretowanej przez model oraz filtrowanie zbędnych metadanych, ukrytych instrukcji i artefaktów, które nie są konieczne do realizacji zadania.

Kluczowe pozostaje stosowanie zasady najmniejszych uprawnień. Agent nie powinien mieć dostępu do narzędzi, danych i operacji, które nie są absolutnie niezbędne. Szczególną ostrożność należy zachować przy działaniach nieodwracalnych, takich jak wysyłanie wiadomości, modyfikacja rekordów, inicjowanie procesów czy przekazywanie danych do usług zewnętrznych.

• wdrożenie walidacji kontekstu i filtrowania treści wejściowych,
• monitorowanie sekwencji działań agenta pod kątem anomalii,
• wprowadzenie dodatkowych potwierdzeń dla operacji wysokiego ryzyka,
• wersjonowanie i audyt pamięci trwałej,
• segmentacja ról i ograniczanie współdzielonego kontekstu w architekturach wieloagentowych,
• regularne testy red-teamowe ukierunkowane na prompt injection i content injection.

Ważnym elementem powinny być także procedury governance, obejmujące polityki dopuszczalnych źródeł danych, klasyfikację działań wymagających nadzoru człowieka oraz ocenę odporności systemów agentowych przed wdrożeniem produkcyjnym.

Podsumowanie

Badania Google DeepMind pokazują, że bezpieczeństwo agentów AI należy analizować nie tylko na poziomie modelu, ale także środowiska, w którym działa. Złośliwe strony internetowe, ukryte instrukcje, zatrute źródła pamięci i manipulacja relacją człowiek–agent tworzą nową, praktyczną powierzchnię ataku.

Dla zespołów bezpieczeństwa to sygnał, że modele zagrożeń muszą objąć również warstwę agentową i operacyjną. Firmy planujące szerokie wdrożenia autonomicznych systemów AI powinny już teraz inwestować w izolację danych wejściowych, ograniczanie uprawnień, kontrolę pamięci oraz audyt decyzji podejmowanych przez agentów.

Źródła

• https://www.securityweek.com/google-deepmind-researchers-map-web-attacks-against-ai-agents/
• https://papers.ssrn.com/sol3/papers.cfm?abstract_id=6372438

Wprowadzenie do problemu / definicja

GPUBreach to nowa technika ataku wykorzystująca zjawisko Rowhammer w pamięci GDDR6 nowoczesnych kart graficznych. Jej znaczenie wykracza poza klasyczne scenariusze uszkadzania danych, ponieważ badacze pokazali możliwość przejścia od kontrolowanych przekłamań bitów w pamięci GPU do eskalacji uprawnień i pełnej kompromitacji systemu.

To ważny sygnał dla zespołów bezpieczeństwa, ponieważ podważa założenie, że izolacja urządzeń oraz mechanizmy takie jak IOMMU są wystarczające do zatrzymania zagrożeń wynikających z błędów sprzętowych i manipulacji pamięcią akceleratorów.

W skrócie

GPUBreach został opracowany przez badaczy z University of Toronto i dotyczy pamięci GDDR6 wykorzystywanej w nowoczesnych układach GPU. Atak opiera się na wywoływaniu błędów bitowych typu Rowhammer, które mogą uszkodzić wpisy tablic stron GPU i zapewnić nieuprzywilejowanemu jądru CUDA arbitralny odczyt oraz zapis w pamięci urządzenia.

Następnie uzyskany dostęp może zostać połączony z błędami bezpieczeństwa w sterowniku NVIDIA, co otwiera drogę do eskalacji po stronie CPU i przejęcia całego hosta. Szczególnie narażone pozostają konsumenckie układy GPU bez mechanizmów ECC.

• atak wykorzystuje Rowhammer w pamięci GDDR6,
• celem są wpisy tablic stron GPU,
• skutkiem może być arbitralny dostęp do pamięci GPU,
• kolejnym etapem jest eskalacja do systemu hosta,
• IOMMU nie zapewnia pełnej ochrony w tym scenariuszu.

Kontekst / historia

Rowhammer od lat pozostaje jednym z najważniejszych tematów w obszarze bezpieczeństwa sprzętowego. Klasyczny model ataku polega na wielokrotnym aktywowaniu określonych rzędów pamięci DRAM, co może prowadzić do zakłóceń elektrycznych i niezamierzonych zmian bitów w sąsiednich komórkach.

W ostatnich latach badacze zaczęli przenosić ten model również na pamięć stosowaną przez procesory graficzne. GPUBreach stanowi kolejny etap tej ewolucji, ponieważ nie kończy się na naruszeniu integralności danych, lecz pokazuje realną ścieżkę do przejęcia kontroli nad systemem operacyjnym.

Zmienia to ocenę ryzyka w środowiskach AI, HPC, chmurowych i na stacjach roboczych. GPU przestaje być wyłącznie akceleratorem obliczeń, a staje się pełnoprawnym elementem powierzchni ataku, którego naruszenie może wpłynąć na bezpieczeństwo całej infrastruktury.

Analiza techniczna

Techniczny fundament GPUBreach opiera się na wymuszeniu błędów bitowych w pamięci GDDR6. Celem atakującego jest takie oddziaływanie na komórki pamięci, aby doprowadzić do uszkodzenia wpisów PTE, czyli elementów tablic stron odpowiedzialnych za translację adresów w pamięci GPU.

Jeżeli manipulacja powiedzie się, nieuprzywilejowany kod wykonywany na GPU może uzyskać znacznie szerszy dostęp do pamięci urządzenia, niż przewiduje model bezpieczeństwa. Oznacza to możliwość arbitralnego odczytu i zapisu w przestrzeni pamięci GPU, a więc naruszenie podstawowych mechanizmów izolacji.

Kolejny etap polega na wykorzystaniu takiej pozycji do ataku na zaufane komponenty po stronie hosta. Zgodnie z opisem scenariusza badawczego, dostęp do pamięci GPU może zostać połączony z błędami bezpieczeństwa pamięci w sterowniku NVIDIA. W rezultacie atak przekracza granicę między urządzeniem a systemem operacyjnym i prowadzi do eskalacji uprawnień na poziomie CPU.

Szczególnie istotny jest fakt, że aktywny IOMMU nie eliminuje zagrożenia. Mechanizm ten ogranicza wiele tradycyjnych ataków DMA, ale nie rozwiązuje problemu, gdy korupcja pamięci po stronie GPU wpływa na stan zaufanych struktur oraz logikę współpracy między akceleratorem a hostem.

ECC może częściowo ograniczać skuteczność podobnych technik, ponieważ pozwala korygować część błędów i wykrywać niektóre anomalie. Nie stanowi jednak kompletnego zabezpieczenia, zwłaszcza w bardziej złożonych scenariuszach obejmujących wielobitowe przekłamania lub łańcuch kilku podatności.

Konsekwencje / ryzyko

Z perspektywy przedsiębiorstw i operatorów infrastruktury GPUBreach ma znaczenie praktyczne. Nowoczesne GPU są dziś szeroko wykorzystywane w trenowaniu modeli AI, przetwarzaniu danych, analityce, renderingu i zadaniach HPC, a więc w środowiskach, gdzie często współistnieją obciążenia o różnym poziomie zaufania.

Ryzyko jest szczególnie wysokie tam, gdzie użytkownicy mogą uruchamiać własne kernele CUDA, kontenery lub zadania obliczeniowe z dostępem do współdzielonych akceleratorów. W takim modelu potencjalna kompromitacja GPU może przestać być incydentem lokalnym i przerodzić się w przejęcie hosta lub naruszenie izolacji między tenantami.

• eskalacja uprawnień z poziomu nieuprzywilejowanego kodu GPU,
• naruszenie izolacji między zadaniami korzystającymi z tego samego akceleratora,
• przejście od kompromitacji GPU do przejęcia systemu operacyjnego,
• wyższe ryzyko w środowiskach chmurowych i wielodostępnych,
• ograniczona skuteczność ochrony opartej wyłącznie na IOMMU.

Rekomendacje

Organizacje powinny przyjąć podejście warstwowe i traktować GPU jako krytyczny komponent bezpieczeństwa. W praktyce oznacza to konieczność śledzenia komunikatów producentów, aktualizowania sterowników i firmware oraz szybkiego wdrażania zaleceń konfiguracyjnych, gdy tylko staną się dostępne.

W środowiskach o podwyższonym ryzyku warto ograniczyć możliwość uruchamiania niezweryfikowanego kodu na GPU oraz segmentować akceleratory według poziomu zaufania użytkowników i obciążeń. Szczególnie ważne jest unikanie współdzielenia tych samych urządzeń między nieufnymi tenantami, jeśli model operacyjny na to pozwala.

• preferowanie akceleratorów z ECC tam, gdzie to możliwe,
• kontrola i ograniczanie uruchamiania niezweryfikowanego kodu CUDA,
• segmentacja środowisk GPU według poziomu zaufania,
• ścisłe zarządzanie wersjami sterowników,
• rozszerzenie monitoringu bezpieczeństwa o telemetrię GPU,
• przegląd ryzyka dla klastrów AI, stacji roboczych i instancji chmurowych z GDDR6.

Ważnym elementem powinno być także uwzględnienie GPU w procesach hardeningu, modelowania zagrożeń i testów bezpieczeństwa. Akceleratory nie mogą być już traktowane jako neutralny dodatek do infrastruktury obliczeniowej.

Podsumowanie

GPUBreach pokazuje, że ataki Rowhammer na pamięć GPU mogą prowadzić nie tylko do uszkodzenia danych, ale również do pełnej eskalacji uprawnień i przejęcia systemu. To istotna zmiana w sposobie postrzegania bezpieczeństwa akceleratorów graficznych, zwłaszcza w środowiskach AI, HPC i chmurowych.

Dla zespołów bezpieczeństwa oznacza to potrzebę objęcia GPU tym samym poziomem kontroli, monitoringu i zarządzania ryzykiem, jaki od lat stosuje się wobec CPU, pamięci RAM czy hiperwizorów. Szczególnie narażone pozostają platformy korzystające z konsumenckich układów bez ECC.

Źródła

1. https://www.bleepingcomputer.com/news/security/new-gpubreach-attack-enables-system-takeover-via-gpu-rowhammer/
2. https://gpubreach.ca/
3. https://nvidia.custhelp.com/app/answers/detail/a_id/5650
4. https://gururaj-s.github.io/
5. https://github.com/

Wprowadzenie do problemu / definicja

Bezpieczeństwo łańcucha dostaw oprogramowania stało się jednym z kluczowych wyzwań współczesnego cyberbezpieczeństwa. Ryzyko nie dotyczy już wyłącznie błędów w samym kodzie aplikacji, lecz także procesów publikacji pakietów, kont maintainerów, pipeline’ów CI/CD, sekretów wykorzystywanych przez narzędzia deweloperskie oraz błędów operacyjnych po stronie dostawców.

Najnowsze incydenty związane z wyciekiem kodu Claude Code, kompromitacją biblioteki Axios oraz naruszeniami w ekosystemie GitHub Actions pokazują, że organizacje nadal zbyt często koncentrują ochronę na etapie developmentu, pomijając krytyczne punkty kontroli w dystrybucji i automatyzacji dostarczania oprogramowania.

W skrócie

• Do publicznego obiegu trafił pakiet Claude Code zawierający mapę źródeł umożliwiającą odtworzenie nieobfuskowanego kodu.
• Skala ekspozycji objęła około 512 tys. linii kodu i blisko 1900 plików.
• W przypadku Axios napastnik przejął konto maintainera i opublikował złośliwe wersje pakietu.
• Incydenty wokół GitHub Actions pokazały ryzyko wynikające ze zbyt szerokich uprawnień, błędnej konfiguracji workflow i braku pinowania do commit SHA.
• Wspólnym problemem pozostaje brak wielowarstwowego nadzoru nad zaufanymi ścieżkami publikacji i aktualizacji.

Kontekst / historia

Seria zdarzeń opisana na początku kwietnia 2026 r. pokazała, że zagrożenia software supply chain mogą przybierać różne formy, ale prowadzą do podobnych skutków operacyjnych. W krótkim odstępie czasu ujawniono przypadkową publikację kodu źródłowego Claude Code, kompromitację pakietu Axios oraz incydenty dotyczące narzędzi bezpieczeństwa wykorzystujących GitHub Actions.

Wyciek Claude Code nie był klasycznym skutkiem włamania, lecz efektem błędu w procesie publikacji. Do publicznego rejestru npm trafił artefakt zawierający source map, która pozwoliła odtworzyć pełny kod TypeScript. Tego typu zdarzenie jest szczególnie istotne, ponieważ pokazuje, że nawet bez aktywnego ataku zewnętrznego organizacja może sama doprowadzić do ujawnienia wrażliwych elementów architektury produktu.

Na drugim biegunie znalazł się incydent z Axios, gdzie wektor był bardziej typowy dla supply-chain attack. Przejęcie konta maintainera umożliwiło opublikowanie złośliwych wersji biblioteki JavaScript używanej masowo w projektach webowych i backendowych. Tego rodzaju kompromitacja jest groźna nie tylko z powodu popularności pakietu, ale także dlatego, że skutki propagują się przez zależności pośrednie, często bez wiedzy końcowych użytkowników.

Analiza techniczna

Technicznie przypadek Claude Code pokazuje ryzyko związane z nieprawidłowym packagingiem artefaktów. Problemem nie była podatność typu RCE ani błąd logiczny w aplikacji, lecz opublikowanie pliku debugowego, który odsłonił strukturę programu. Source map może zawierać nazwy modułów, przepływy wykonania, logikę walidacji, elementy mechanizmów uprawnień i szczegóły dotyczące wewnętrznych granic bezpieczeństwa.

W praktyce oznacza to, że atakujący otrzymuje precyzyjny wgląd w architekturę narzędzia bez potrzeby czasochłonnej analizy binarnej czy reverse engineeringu. W przypadku agentów AI i narzędzi działających lokalnie w środowisku deweloperskim taka wiedza może ułatwić przygotowanie skuteczniejszych łańcuchów ataku, obejść ograniczenia produktu i zwiększyć skuteczność złośliwych instrukcji.

Incydent z Axios miał inną charakterystykę, ale porównywalny ciężar operacyjny. Złośliwe wersje pakietu zostały opublikowane jako pozornie legalne wydania oficjalnej biblioteki. Analizy wskazywały, że szkodliwe działanie było związane z dodatkową zależnością uruchamiającą skrypt po instalacji. To dobrze znany mechanizm w ekosystemie npm, gdzie kompromitacja nie musi oznaczać modyfikacji głównego kodu projektu — wystarczy wprowadzenie zależności z funkcją postinstall, która uruchomi nieautoryzowane działania na stacji roboczej lub w pipeline CI.

Równie niepokojący jest wątek dotyczący GitHub Actions. Wiele zespołów nadal korzysta z workflow opartych na zbyt szerokich tokenach, nieprawidłowo zarządzanych sekretach i odwołaniach do tagów zamiast niezmiennych identyfikatorów commitów. W takiej konfiguracji przejęcie pojedynczego elementu może otworzyć drogę do publikacji skażonych artefaktów, przejęcia poświadczeń lub rozszerzenia ataku na kolejne rejestry i usługi.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem incydentów software supply chain jest ich skala. Jeden błąd publikacji, przejęcie jednego konta maintainera albo wyciek pojedynczego tokena może wpłynąć na tysiące organizacji zależnych od danego komponentu. W przeciwieństwie do klasycznych podatności problem nie kończy się na wdrożeniu poprawki — konieczna staje się analiza, które buildy były skażone, gdzie wdrożono podejrzane zależności i czy nie doszło już do eksfiltracji danych lub sekretów.

Wyciek kodu źródłowego zwiększa prawdopodobieństwo przyszłych ataków, nawet jeśli nie prowadzi natychmiast do kompromitacji klientów. Ujawnienie szczegółów implementacyjnych może obniżyć koszt przygotowania exploit chainów, obejść mechanizmy kontroli oraz pomóc w tworzeniu bardziej precyzyjnych technik ataku wymierzonych w narzędzia AI i ich środowiska wykonawcze.

Z kolei kompromitacja popularnego pakietu open source może mieć natychmiastowy wpływ operacyjny. Jeśli złośliwa wersja została pobrana podczas budowania aplikacji, testów lub lokalnego developmentu, zagrożone stają się klucze API, tokeny chmurowe, sekrety CI/CD, dane dostępowe do repozytoriów oraz integralność całych procesów dostarczania oprogramowania.

Rekomendacje

Organizacje powinny traktować łańcuch dostaw oprogramowania jako infrastrukturę krytyczną. W praktyce oznacza to wdrożenie kontroli bezpieczeństwa na każdym etapie: od stacji roboczej dewelopera, przez CI/CD, po publikację artefaktów i monitoring zachowania zależności już po wdrożeniu.

• Pinować zależności i GitHub Actions do niezmiennych commit SHA zamiast polegać wyłącznie na tagach.
• Ograniczać zakres sekretów używanych przez CI/CD i stosować krótkotrwałe poświadczenia.
• Skanować artefakty przed publikacją pod kątem source map, plików debugowych, sekretów i zbędnych zasobów.
• Blokować lub silnie ograniczać skrypty instalacyjne typu postinstall w środowiskach build i na stacjach deweloperskich.
• Monitorować anomalie w pakietach, takie jak nowe zależności, zmiany maintainerów, nietypowe skrypty czy nagły wzrost rozmiaru artefaktu.
• Budować SBOM i powiązać go z telemetrią wdrożeń, aby szybciej identyfikować skażone komponenty.
• Segmentować środowiska deweloperskie oraz ograniczać uprawnienia agentów AI do absolutnego minimum.
• Przygotować procedury incident response dla zdarzeń supply chain, obejmujące analizę buildów, rotację poświadczeń i przegląd obrazów kontenerowych.

W przypadku narzędzi AI działających lokalnie szczególnego znaczenia nabiera zasada minimalnych uprawnień. Agenty mające dostęp do plików, poleceń systemowych i sieci powinny działać w środowisku objętym dodatkowymi barierami, rejestrowaniem aktywności oraz izolacją od najbardziej wrażliwych sekretów i systemów.

Podsumowanie

Incydenty z przełomu marca i kwietnia 2026 r. potwierdzają, że zagrożenia software supply chain nie wynikają wyłącznie z luk w kodzie. Równie groźne są błędy publikacji, przejęcia kont maintainerów, złośliwe skrypty instalacyjne oraz niewłaściwie zabezpieczone pipeline’y CI/CD. Wyciek kodu Claude Code unaocznił ryzyko związane z artefaktami debugowymi i narzędziami AI działającymi w środowiskach deweloperskich, natomiast kompromitacja Axios pokazała, jak szybko jeden skażony pakiet może zagrozić szerokiemu ekosystemowi zależności.

Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia modelu ochrony poza sam kod aplikacji. Kluczowe staje się objęcie nadzorem całego procesu budowy, publikacji, aktualizacji i dystrybucji oprogramowania, bo właśnie tam coraz częściej dochodzi dziś do najpoważniejszych naruszeń.

Źródła

1. Dark Reading — Claude Source Code Leak Highlights Big Supply Chain Missteps — https://www.darkreading.com/application-security/source-code-leaks-highlight-lack-supply-chain-oversight
2. Tom’s Hardware — One of JavaScript’s most popular libraries compromised by hackers – Axios npm package hit in supply chain attack that deployed a cross-platform RAT — https://www.tomshardware.com/tech-industry/cyber-security/axios-npm-package-compromised-in-supply-chain-attack-that-deployed-a-cross-platform-rat
3. Snyk — Trivy GitHub Actions Supply Chain Compromise — https://snyk.io/articles/trivy-github-actions-supply-chain-compromise/
4. VentureBeat — Claude Code’s source code appears to have leaked: here’s what we know — https://venturebeat.com/technology/claude-codes-source-code-appears-to-have-leaked-heres-what-we-know
5. Axios — Anthropic leaked 500,000 lines of its own source code — https://www.axios.com/2026/03/31/anthropic-leaked-source-code-ai