Wielka Brytania wszczyna formalne postępowanie wobec X za obrazy „nudify” generowane przez Grok: co oznacza śledztwo Ofcom i jakie są ryzyka - Security Bez Tabu

Wielka Brytania wszczyna formalne postępowanie wobec X za obrazy „nudify” generowane przez Grok: co oznacza śledztwo Ofcom i jakie są ryzyka

Wprowadzenie do problemu / definicja luki

Na początku stycznia 2026 r. w X (dawniej Twitter) zaczęły krążyć doniesienia o generowaniu i rozpowszechnianiu niekonsensualnych, seksualizowanych obrazów (tzw. „nudify” – cyfrowe „rozbieranie” postaci na zdjęciach) z użyciem narzędzi powiązanych z Grok, asystentem AI zintegrowanym z platformą. W odpowiedzi brytyjski regulator rynku łączności i bezpieczeństwa online – Ofcom – uruchomił formalne postępowanie wobec X na podstawie brytyjskiej Online Safety Act.

W praktyce nie chodzi o „lukę” w sensie CVE, lecz o nadużycie funkcji generatywnej AI połączone z potencjalnymi brakami w moderacji, ocenie ryzyka i mechanizmach ochrony małoletnich. Ofcom wprost wskazuje, że bada zgodność działań X z obowiązkami dotyczącymi ochrony użytkowników w Wielkiej Brytanii przed treściami nielegalnymi.

W skrócie

  • Ofcom wszczął formalne dochodzenie wobec X w związku z „poważnymi doniesieniami” o generowaniu i udostępnianiu seksualizowanych obrazów (w tym dotyczących dzieci) przy użyciu Grok.
  • Równolegle ICO (brytyjski organ ochrony danych) poinformował, że kontaktował się z X i xAI, by wyjaśnić środki zgodności z prawem ochrony danych i ochrony praw osób.
  • Rząd (DSIT) publicznie wezwał do szybkich działań wobec narzędzi umożliwiających tworzenie intymnych deepfake’ów.
  • To sygnał, że generatywne AI w social media wchodzi w etap twardej egzekucji wymogów: governance, oceny ryzyka, ograniczeń funkcji i ochrony dzieci – nie tylko „deklaracji zasad”.

Kontekst / historia / powiązania

Ofcom działa w ramach Online Safety Act, która nakłada na platformy obowiązki dotyczące m.in. ograniczania ryzyk i reagowania na treści nielegalne (szczególnie w obszarze ochrony dzieci). W tle jest rosnąca presja regulacyjna na platformy, które integrują generatywne modele AI bez wystarczających barier nadużyć.

Warto też zauważyć „dwutorowość” reakcji w UK:

  • Ofcom patrzy na bezpieczeństwo online i zgodność z obowiązkami platformy (dystrybucja/ekspozycja treści, procesy ochrony).
  • ICO patrzy na zgodność z prawem ochrony danych (w tym, czy są odpowiednie środki i podstawy prawne przetwarzania danych oraz ochrona praw osób).

To ważne dla firm: nawet jeśli „problemem” jest treść, konsekwencje mogą rozlać się na compliance, audyt danych, DPIA/ocenę skutków, logowanie zdarzeń i raportowanie.

Analiza techniczna / szczegóły zjawiska (bez instruktażu nadużyć)

Mechanizm nadużyć w takich przypadkach zwykle ma trzy warstwy:

  1. Warstwa funkcji: generowanie/edycja obrazów (tekst→obraz lub obraz→obraz) z możliwością „stylizacji” czy modyfikacji sylwetki. Im bardziej „uniwersalne” narzędzie, tym większa powierzchnia nadużyć.
  2. Warstwa obejść: użytkownicy testują granice filtrów (prompt-abuse), wykorzystują eufemizmy, wieloetapowe polecenia lub łączą generowanie z zewnętrznymi narzędziami. To powoduje, że proste blacklisty słów są niewystarczające – potrzebne są detektory semantyczne i moderacja multimediów (po wejściu i po wyjściu).
  3. Warstwa dystrybucji: nawet jeśli model generuje „tylko” część treści, kluczowa jest skala i szybkość rozchodzenia się materiałów na platformie. Ofcom bada właśnie, czy X prawidłowo ogranicza ryzyko i reaguje na treści, które mogą być nielegalne w UK.

W komunikacie Ofcom istotne jest to, że mówimy o formalnym postępowaniu (nie „monitoringu”), co zwykle oznacza oczekiwanie twardych dowodów: polityk, ocen ryzyka, skuteczności kontroli, wskaźników egzekucji, czasu reakcji i zdolności do ochrony małoletnich.

Praktyczne konsekwencje / ryzyko

Dla platform i dostawców AI

  • Ryzyko regulacyjne i finansowe (kary, nakazy naprawcze, ograniczenia funkcji, presja na „safety by design”). W debacie publicznej w UK pada też temat najsurowszych środków wobec platform w skrajnych przypadkach.
  • Ryzyko reputacyjne: wątek „AI-nudify” jest społecznie wyjątkowo wrażliwy, bo dotyczy przemocy seksualnej o charakterze wizerunkowym i ochrony dzieci.

Dla organizacji (pracodawców, szkół, administracji)

  • Impersonation i szantaż (sextortion/blackmail): materiały mogą być używane do nacisku na pracowników lub osoby publiczne.
  • Incydenty HR i prawne: rozpowszechnianie takich treści w kanałach firmowych, grupach czy czatach może natychmiast eskalować do incydentu bezpieczeństwa + naruszenia dóbr osobistych.

Dla użytkowników

  • Krzywda osobista i wtórna wiktymizacja (zwłaszcza przy masowej dystrybucji).
  • Trwałość cyfrowa: kopie w sieci, mirrorowanie i re-upload utrudniają pełne usunięcie.

Rekomendacje operacyjne / co zrobić teraz

Jeśli zarządzasz platformą, aplikacją lub wdrażasz generatywne AI

  1. Dwuetapowa moderacja: kontrola wejścia (prompty, obrazy źródłowe) + kontrola wyjścia (detekcja nagości/CSAM-risk, detekcja niekonsensualnej seksualizacji).
  2. Twarde ograniczenia funkcji wysokiego ryzyka: ograniczanie/wyłączanie „image editing” w scenariuszach podatnych na „nudify”, zwłaszcza bez silnego age-gating.
  3. Ocena ryzyka i dowody zgodności: przygotuj artefakty pod regulatora (risk assessment, testy red-team, metryki skuteczności filtrów, czasy reakcji, proces eskalacji). Ofcom wprost bada zgodność z obowiązkami OSA.
  4. Privacy/compliance: skoordynuj z zespołem ochrony danych – ICO już komunikuje, że oczekuje wyjaśnień dot. środków zgodności i ochrony praw osób.

Jeśli odpowiadasz za bezpieczeństwo w firmie

  • Zaktualizuj polityki AUP i komunikację: zakaz generowania/udostępniania treści niekonsensualnych, jasne ścieżki zgłaszania.
  • Dodaj do ćwiczeń IR scenariusz: „deepfake/AI-nudify pracownika + dystrybucja w social media”.
  • Przygotuj gotowe wzory: notice-and-takedown, eskalacja do platformy, zabezpieczenie dowodów, kontakt z prawnikiem/PR.

Jeśli jesteś użytkownikiem lub administratorem społeczności

  • Zgłaszaj treści i konta, archiwizuj dowody (linki, daty, zrzuty) na wypadek dochodzenia.
  • Ogranicz ekspozycję zdjęć (zwłaszcza dzieci) w publicznych profilach; rozważ watermarking wizerunkowy dla materiałów publikowanych oficjalnie.

Różnice / porównania z innymi przypadkami

To postępowanie jest charakterystyczne, bo regulator platform (Ofcom) wchodzi w obszar, który wielu kojarzy wyłącznie z „AI safety” i politykami modeli. UK pokazuje podejście: nawet jeśli źródłem jest generatywne AI, odpowiedzialność dotyka też dystrybucji i governance platformy.

Równoległa aktywność ICO podbija jeszcze jeden trend: generatywna funkcja w social media może uruchomić jednocześnie reżim bezpieczeństwa online i reżim ochrony danych.

Podsumowanie / kluczowe wnioski

  • Ofcom formalnie bada X pod kątem obowiązków z Online Safety Act po doniesieniach o seksualizowanych obrazach generowanych z użyciem Grok.
  • To nie „jednorazowy skandal”, tylko sygnał wejścia w etap egzekwowania bezpieczeństwa generatywnego AI w platformach: ryzyko, dowody, metryki, ograniczenia funkcji.
  • Firmy wdrażające generatywne obrazy powinny traktować ten przypadek jako wzorzec: moderacja multimodalna, safety-by-design, audyt i gotowość regulacyjna.
  • Równoległe działania ICO sugerują, że konsekwencje mogą obejmować także obszar danych osobowych i praw osób, a nie tylko moderację treści.

Źródła / bibliografia

  1. Ofcom – komunikat o wszczęciu formalnego dochodzenia (12 stycznia 2026). (www.ofcom.org.uk)
  2. The Record – opis sprawy i tło skarg dot. „nudification”. (The Record from Recorded Future)
  3. ICO – oświadczenie ws. Grok AI na X i kontaktu z X/xAI (styczeń 2026). (ICO)
  4. GOV.UK / DSIT – stanowisko Technology Secretary ws. narzędzia Grok do generowania/edycji obrazów (9 stycznia 2026). (GOV.UK)
  5. Financial Times – kontekst dochodzenia Ofcom i presji regulacyjnej. (Financial Times)