Ataki na łańcuch dostaw z wykorzystaniem sztucznej inteligencji.

Ataki na łańcuch dostaw z wykorzystaniem sztucznej inteligencji.

Ataki na łańcuch dostaw z wykorzystaniem AI gwałtownie rosną — liczba złośliwych pakietów przesyłanych do repozytoriów open source wzrosła o 156% w ciągu ostatniego roku.
Złośliwe oprogramowanie generowane przez AI ma przełomowe cechy — jest polimorficzne z natury, świadome kontekstu, semantycznie ukryte i czasowo trudne do wykrycia.
Ataki już się dzieją — od włamania do 3CX (dotknęło 600 000 firm) po kampanie NullBulge, które wykorzystują platformy Hugging Face i GitHub.
Czas wykrywania zagrożeń drastycznie się wydłużył — raport IBM z 2025 roku wskazuje, że średni czas identyfikacji naruszenia to 276 dni, a ataki wspomagane przez AI mogą ten okres jeszcze wydłużać.
Tradycyjne narzędzia bezpieczeństwa sobie nie radzą — analiza statyczna i wykrywanie oparte na sygnaturach zawodzą wobec zagrożeń, które aktywnie się adaptują.
Pojawiają się nowe strategie obronne — organizacje wdrażają zabezpieczenia świadome działania AI, aby poprawić wykrywalność zagrożeń.
Regulacje stają się obowiązkowe — unijna ustawa o AI (EU AI Act) przewiduje kary do 35 milionów euro lub 7% globalnych przychodów za poważne naruszenia.
Natychmiastowe działanie jest kluczowe — nie chodzi o zabezpieczenie przyszłości, ale o ochronę teraźniejszości.

Co sprawia, że złośliwe oprogramowanie generowane przez AI jest tak wyjątkowe?

Polimorficzne z natury – podobnie jak wirus, który przepisuje własne DNA, każda jego instancja ma unikalną strukturę, ale zachowuje ten sam złośliwy cel.

Świadome kontekstu – nowoczesne złośliwe oprogramowanie oparte na AI potrafi wykrywać środowiska testowe (sandboxy) z precyzją, której pozazdrościłby najbardziej paranoiczny programista.
Jeden z niedawnych przykładów uruchamiał się dopiero po wykryciu wywołań API Slacka i commitów Git, czyli oznak rzeczywistego środowiska deweloperskiego.

Semantycznie zamaskowane – złośliwy kod nie tylko się ukrywa, ale udaje legalną funkcjonalność.
Odnotowano przypadki, w których backdoory podszywały się pod moduły telemetryczne, miały fałszywą dokumentację i nawet testy jednostkowe, by wyglądać wiarygodnie.

Czasowo wymijające (temporally evasive) – cierpliwość to cnota, zwłaszcza dla złośliwego kodu.
Niektóre jego warianty pozostają uśpione przez tygodnie lub miesiące, czekając na określony wyzwalacz lub po prostu przetrzymując okres audytu bezpieczeństwa.

Dlaczego tradycyjne podejścia do bezpieczeństwa zawodzą

Według raportu IBM Cost of a Data Breach 2025, organizacjom zajmuje średnio 276 dni, by wykryć naruszenie, oraz kolejne 73 dni, by je powstrzymać.
To razem dziewięć miesięcy, podczas których napastnicy mogą swobodnie działać w Twoim środowisku.
W przypadku złośliwego oprogramowania generowanego przez AI, które mutuje codziennie, Twój antywirus oparty na sygnaturach jest jak gracz w „whack-a-mole” (gra w zbijanie kretów) — tylko że z zawiązanymi oczami.

Ale AI nie tylko tworzy lepsze złośliwe oprogramowanie — rewolucjonizuje cały cykl życia ataku:

Fałszywe tożsamości deweloperów

Badacze opisali ataki typu „SockPuppet”, w których profile deweloperów generowane przez AI przez wiele miesięcy wprowadzały prawdziwy, wartościowy kod do projektów open source, zanim dodały tylne furtki (backdoory).
Takie persony miały historie na GitHubie, aktywność na Stack Overflow, a nawet blogi osobiste — wszystkie stworzono przez AI.

Typosquatting na masową skalę

W 2024 roku zespoły bezpieczeństwa zidentyfikowały tysiące złośliwych pakietów wymierzonych w biblioteki AI.
Używano nazw takich jak openai-official, chatgpt-api czy tensorfllow (z dodatkową literą „l”), które wprowadzały w błąd tysiące deweloperów.

Zatrucie danych (Data Poisoning)

Najnowsze badania Anthropic pokazały, że atakujący mogą skompromitować modele uczenia maszynowego już na etapie treningu, wprowadzając ukryte backdoory, które aktywują się przy określonych danych wejściowych.
Wyobraź sobie, że Twój system wykrywania oszustw przestaje reagować na transakcje z określonych kont — bo model został potajemnie „zatruty”.

Zautomatyzowany social engineering

Phishing to już nie tylko e-maile.
Systemy AI potrafią generować kontekstowo dopasowane pull requesty, komentarze i dokumentację, które wyglądają bardziej autentycznie niż prawdziwe wkłady od deweloperów.
To oznacza, że manipulacja społeczna przeniosła się na zupełnie nowy poziom — zautomatyzowany, skalowalny i niemal niewykrywalny.

Nowe ramy obrony
Organizacje myślące przyszłościowo już dostosowują swoje strategie, a pierwsze rezultaty są obiecujące.
Nowy „podręcznik obrony” (defensive playbook) obejmuje następujące elementy:

Wykrywanie specyficzne dla AI

Projekt OSS-Fuzz firmy Google został rozszerzony o analizę statystyczną kodu, która potrafi identyfikować wzorce typowe dla kodu generowanego przez sztuczną inteligencję.
Wczesne wyniki są zachęcające — system potrafi odróżniać kod pisany przez człowieka od generowanego przez AI. Nie jest to rozwiązanie doskonałe, ale stanowi solidną pierwszą linię obrony.

Analiza pochodzenia behawioralnego (Behavioral Provenance Analysis)

Można to porównać do wariografu dla kodu.
Poprzez śledzenie wzorców commitów, analizę czasową oraz lingwistyczną analizę komentarzy i dokumentacji, systemy bezpieczeństwa mogą wykrywać podejrzane kontrybucje w projektach open source i repozytoriach firmowych.

Walka ogniem z ogniem

Projekty takie jak Microsoft Counterfit oraz Google AI Red Team wykorzystują defensywne systemy oparte na AI do wykrywania zagrożeń.
Potrafią one identyfikować warianty złośliwego oprogramowania generowanego przez AI, które unikają tradycyjnych narzędzi zabezpieczających.

Obrona w czasie rzeczywistym w modelu Zero Trust

Zakładaj, że zostałeś już zaatakowany.
Firmy takie jak Netflix wprowadziły mechanizm RASP (Runtime Application Self-Protection), który pozwala izolować i ograniczać zagrożenia nawet po ich uruchomieniu.
To tak, jakby w każdej aplikacji znajdował się własny ochroniarz, gotowy do działania w momencie wykrycia nieprawidłowości.

listopad 2025
źródło: TheHackerNews