O tym artykule
Ten wpis zbiera najważniejsze podatności i luki bezpieczeństwa związane z narzędziami AI, modelami językowymi i protokołami takimi jak MCP. Artykuł jest na bieżąco uzupełniany o nowe incydenty.
Ostatnia aktualizacja: marzec 2026.
Claude Code — zdalne wykonanie kodu przez konfigurację
| Zagrożenie | 🔴 9/10 |
| Dotknięte wersje | Claude Code < v2.0.65 |
| Okres istnienia | Od premiery Claude Code do marca 2026 (~kilka miesięcy) |
| Załatane | Marzec 2026, wersja v2.0.65 |
| CVE | CVE-2025-59536, CVE-2026-21852 |
Badacze z Check Point Research odkryli trzy krytyczne podatności:
1. Złośliwe hooki (CVE-2025-59536)
Plik .claude/settings.json w repozytorium mógł definiować hooki shell wykonywane automatycznie przy starcie sesji (SessionStart). Hooki omijały potwierdzenie użytkownika — uruchamiały się od razu po zaakceptowaniu ogólnego monitu bezpieczeństwa.
2. Autostart serwerów MCP
Plik .mcp.json w repozytorium mógł konfigurować serwery MCP wykonujące polecenia systemowe. Z flagą enableAllProjectMcpServers serwery startowały przed zatwierdzeniem przez użytkownika.
3. Kradzież klucza API (CVE-2026-21852)
Podmiana ANTHROPIC_BASE_URL w konfiguracji powodowała, że Claude Code wysyłał requesty z kluczem API na serwer atakującego zanim użytkownik zatwierdził cokolwiek. Klasyczny man-in-the-middle.
Wektor ataku: złośliwy PR, typosquatting, przejęte konto — atakujący dodaje pliki konfiguracyjne do repo, developer klonuje i odpala Claude Code.
Źródło: Sekurak — Jak złośliwa konfiguracja w Claude Code umożliwiała zdalne wykonanie kodu
IDEsaster — 24 CVE w narzędziach AI do kodowania
| Zagrożenie | 🔴 9/10 |
| Dotknięte narzędzia | Copilot, Cursor, Windsurf, Kiro, Zed, Roo Code, Junie, Cline |
| Okres istnienia | Od premiery poszczególnych narzędzi do grudnia 2025 (miesiące–lata) |
| Załatane | Grudzień 2025 – styczeń 2026 (stopniowo, per narzędzie) |
| CVE | 24 identyfikatory, m.in. CVE-2025-53773, CVE-2025-54135, CVE-2025-59944 |
Badacz Ari Marzouk odkrył podatności nazwane zbiorczo IDEsaster. 100% testowanych narzędzi AI do kodowania okazało się podatnych.
Typy podatności:
- RCE przez prompt injection — złośliwy kod w repozytorium przejmował kontrolę nad narzędziem AI i wykonywał polecenia na maszynie developera
- Kradzież kodu źródłowego i kluczy API — atakujący mógł wyciągnąć dane przez manipulację odpowiedzi modelu
- Autostart bez potwierdzenia — Cursor wykonywał kod natychmiast po otwarciu złośliwego repozytorium
Źródło: The Hacker News — 30+ Flaws in AI Coding Tools
Rules File Backdoor — ukryte instrukcje Unicode
| Zagrożenie | 🟠 7/10 |
| Dotknięte narzędzia | GitHub Copilot, Cursor |
| Okres istnienia | Od momentu wprowadzenia plików konfiguracyjnych w tych narzędziach (~rok+) |
| Załatane | Marzec–kwiecień 2025 (po ujawnieniu przez Pillar Security) |
Atak polegał na wstawianiu niewidocznych znaków Unicode do plików konfiguracyjnych (.github/copilot-instructions.md, .cursorrules). Znaki niewidoczne dla programisty w edytorze i na GitHubie, ale model AI je odczytywał i wykonywał ukryte instrukcje — np. generował kod z backdoorem.
Dlaczego 7/10: Wymaga, żeby ofiara używała konkretnego narzędzia i otworzyła repo z preparowanym plikiem. Trudny do wykrycia, ale zasięg ataku ograniczony.
Źródło: Pillar Security — Rules File Backdoor
MCP — Tool Poisoning, command injection, otwarte serwery
| Zagrożenie | 🔴 8/10 |
| Dotknięte | Cały ekosystem MCP — serwery, klienty, proxy |
| Okres istnienia | Od powstania protokołu MCP (2024) — częściowo nadal aktualne |
| Załatane | Częściowo — CVE-2025-6514 (mcp-remote) załatane w czerwcu 2025. Problemy architektoniczne MCP pozostają |
Tool Poisoning
Atakujący manipuluje opisem narzędzia zarejestrowanego w serwerze MCP. Opis zawiera ukryte instrukcje widoczne dla modelu, ale nie wyświetlane użytkownikowi. Model wykonuje złośliwe polecenia “myśląc” że to normalne narzędzie.
Command injection w mcp-remote (CVE-2025-6514)
JFrog odkrył krytyczny błąd w mcp-remote. Złośliwy serwer MCP wysyłał spreparowany authorization_endpoint, który mcp-remote przekazywał prosto do shella → zdalne wykonanie kodu.
Serwery MCP otwarte na świat
W czerwcu 2025 znaleziono setki serwerów MCP nasłuchujących na 0.0.0.0. Brak firewalla = pełna ekspozycja na internet.
Supabase + Cursor — wyciek tokenów
Agent Cursor z dostępem service-role przetwarzał tickety supportu. Atakujący wstawił polecenia SQL do treści ticketu — agent je wykonał i wyciekły tokeny integracyjne.
Źródło: AuthZed — Timeline of MCP Security Breaches
RAG Poisoning — manipulacja bazy wiedzy
| Zagrożenie | 🟠 7/10 |
| Dotknięte | Każdy system RAG bez walidacji dokumentów |
| Okres istnienia | Problem architektoniczny — istnieje od początku stosowania RAG |
| Załatane | Brak ogólnego rozwiązania — wymaga walidacji per wdrożenie |
5 starannie spreparowanych dokumentów w bazie wiedzy wystarczy, żeby manipulować odpowiedziami AI w 90% przypadków.
Atakujący dodaje do bazy dokumenty z ukrytymi instrukcjami. RAG pipeline wyciąga je jako kontekst → model podaje fałszywe informacje, przekierowuje na phishing lub ujawnia dane.
Dlaczego 7/10: Wymaga dostępu do bazy wiedzy (upload dokumentów, edycja artykułów). W systemach multi-tenant gdzie klienci sami dodają treści — ryzyko realne.
LLMjacking — kradzież dostępu do modeli AI
| Zagrożenie | 🟠 6/10 |
| Dotknięte | Klucze API do OpenAI, Anthropic, AWS Bedrock |
| Okres istnienia | Od 2024 — problem narasta |
| Załatane | Problem organizacyjny — wymaga polityki bezpieczeństwa kluczy |
Kradzież credentiali do API modeli AI. Skradzione klucze odsprzedawane na czarnym rynku lub używane do generowania treści z pominięciem zabezpieczeń etycznych. Microsoft wytoczył pozew cywilny przeciwko grupie specjalizującej się w tym procederze.
Przypadki: Samsung zakazał wewnętrznego użycia ChatGPT po wklejeniu poufnego kodu przez inżynierów. JPMorgan i Goldman Sachs podobnie ograniczyły dostęp.
Jakość kodu generowanego przez AI
| Zagrożenie | 🟡 5/10 |
| Dotknięte | Cały kod generowany przez LLM |
| Okres istnienia | Od początku generowania kodu przez LLM — problem systemowy |
| Załatane | Brak — wymaga code review i narzędzi SAST |
Analiza Veracode na ponad 100 modelach: luki bezpieczeństwa w 45% generowanego kodu. Badanie 576 000 próbek z 16 modeli potwierdziło systemowy problem.
Najczęstsze problemy: SQL injection, XSS, brak walidacji inputu, hardkodowane sekrety, niebezpieczna deserializacja.
Dlaczego 5/10: Luki w wygenerowanym kodzie wymagają wdrożenia żeby stały się groźne. Dobry code review eliminuje problem.
OWASP Top 10 dla LLM (2025)
| # | Ryzyko | Zagrożenie | Opis |
|---|---|---|---|
| 1 | Prompt Injection | 🔴 9/10 | Manipulacja instrukcji modelu przez dane wejściowe |
| 2 | Sensitive Information Disclosure | 🔴 8/10 | Wyciek danych treningowych lub kontekstu |
| 3 | Supply Chain Vulnerabilities | 🔴 8/10 | Złośliwe modele, pluginy, dane treningowe |
| 4 | Data and Model Poisoning | 🟠 7/10 | Zatrucie danych treningowych lub RAG |
| 5 | Improper Output Handling | 🟠 7/10 | Brak sanityzacji odpowiedzi modelu |
| 6 | Excessive Agency | 🔴 8/10 | Model z zbyt szerokim dostępem do narzędzi |
| 7 | System Prompt Leakage | 🟡 5/10 | Wyciek system promptu |
| 8 | Vector and Embedding Weaknesses | 🟠 6/10 | Manipulacja embeddingów i baz wektorowych |
| 9 | Misinformation | 🟡 5/10 | Halucynacje prezentowane jako fakty |
| 10 | Unbounded Consumption | 🟡 4/10 | Ataki DoS przez kosztowne zapytania |
Źródło: OWASP Top 10 for LLM Applications
Praktyczne wnioski
Dla developerów używających AI IDE
- Aktualizuj narzędzia — Claude Code, Copilot, Cursor regularnie łatają krytyczne błędy
-
Reviewuj pliki konfiguracyjne —
.claude/,.cursorrules,.github/copilot-instructions.md,.mcp.jsonw PR-ach traktuj jak kod - Nie ufaj obcym repozytoriom — klonowanie i otwarcie repo w AI IDE może oznaczać natychmiastowe wykonanie kodu
- Sprawdzaj wygenerowany kod — 45% kodu z AI zawiera luki bezpieczeństwa
Dla budujących systemy z AI (RAG, helpdesk)
- Waliduj dane w bazie wiedzy — RAG poisoning to realne zagrożenie
- Sanityzuj output modelu — nie wstawiaj odpowiedzi AI bezpośrednio do HTML/SQL
- Least privilege — serwery MCP i agenty nie powinny mieć dostępu do więcej niż potrzebują
- Monitoruj koszty — LLMjacking może generować rachunki w tysiącach dolarów
Dla organizacji
- Polityka kluczy API — rotacja, ograniczenie per-projekt, monitoring użycia
- Nie wklejaj poufnego kodu do chatbotów AI — lekcja Samsunga
- Audyt serwerów MCP — sprawdź na czym nasłuchują i kto ma dostęp
📌 Ten artykuł jest na bieżąco uzupełniany o nowe podatności i incydenty bezpieczeństwa związane z AI. Jeśli natrafisz na istotną lukę — daj znać, dodamy ją do zestawienia.