[Intum Dev](https://intum.dev.md) / [Modele AI](https://intum.dev/modele-ai.md) # [Luki bezpieczeństwa w narzędziach AI — przegląd incydentów 2025-2026](https://intum.dev/modele-ai/luki-bezpieczenstwa-w-narzedziach-ai-przeglad-incydentow-2025-2026.md) ## O tym artykule Ten wpis zbiera najważniejsze podatności i luki bezpieczeństwa związane z narzędziami AI, modelami językowymi i protokołami takimi jak MCP. Artykuł jest na bieżąco uzupełniany o nowe incydenty. Ostatnia aktualizacja: marzec 2026. --- ## Claude Code — zdalne wykonanie kodu przez konfigurację | | | |---|---| | **Zagrożenie** | 🔴 **9/10** | | **Dotknięte wersje** | Claude Code < v2.0.65 | | **Okres istnienia** | Od premiery Claude Code do marca 2026 (~kilka miesięcy) | | **Załatane** | Marzec 2026, wersja v2.0.65 | | **CVE** | CVE-2025-59536, CVE-2026-21852 | Badacze z Check Point Research odkryli trzy krytyczne podatności: **1. Złośliwe hooki (CVE-2025-59536)** Plik `.claude/settings.json` w repozytorium mógł definiować hooki shell wykonywane automatycznie przy starcie sesji (`SessionStart`). Hooki omijały potwierdzenie użytkownika — uruchamiały się od razu po zaakceptowaniu ogólnego monitu bezpieczeństwa. **2. Autostart serwerów MCP** Plik `.mcp.json` w repozytorium mógł konfigurować serwery MCP wykonujące polecenia systemowe. Z flagą `enableAllProjectMcpServers` serwery startowały przed zatwierdzeniem przez użytkownika. **3. Kradzież klucza API (CVE-2026-21852)** Podmiana `ANTHROPIC_BASE_URL` w konfiguracji powodowała, że Claude Code wysyłał requesty z kluczem API na serwer atakującego **zanim użytkownik zatwierdził cokolwiek**. Klasyczny man-in-the-middle. **Wektor ataku:** złośliwy PR, typosquatting, przejęte konto — atakujący dodaje pliki konfiguracyjne do repo, developer klonuje i odpala Claude Code. Źródło: [Sekurak — Jak złośliwa konfiguracja w Claude Code umożliwiała zdalne wykonanie kodu](https://sekurak.pl/jak-zlosliwa-konfiguracja-w-claude-code-umozliwiala-zdalne-wykonanie-kodu-i-wykradanie-kluczy-api/) --- ## IDEsaster — 24 CVE w narzędziach AI do kodowania | | | |---|---| | **Zagrożenie** | 🔴 **9/10** | | **Dotknięte narzędzia** | Copilot, Cursor, Windsurf, Kiro, Zed, Roo Code, Junie, Cline | | **Okres istnienia** | Od premiery poszczególnych narzędzi do grudnia 2025 (miesiące–lata) | | **Załatane** | Grudzień 2025 – styczeń 2026 (stopniowo, per narzędzie) | | **CVE** | 24 identyfikatory, m.in. CVE-2025-53773, CVE-2025-54135, CVE-2025-59944 | Badacz Ari Marzouk odkrył podatności nazwane zbiorczo **IDEsaster**. **100% testowanych narzędzi AI do kodowania** okazało się podatnych. **Typy podatności:** - **RCE przez prompt injection** — złośliwy kod w repozytorium przejmował kontrolę nad narzędziem AI i wykonywał polecenia na maszynie developera - **Kradzież kodu źródłowego i kluczy API** — atakujący mógł wyciągnąć dane przez manipulację odpowiedzi modelu - **Autostart bez potwierdzenia** — Cursor wykonywał kod natychmiast po otwarciu złośliwego repozytorium Źródło: [The Hacker News — 30+ Flaws in AI Coding Tools](https://thehackernews.com/2025/12/researchers-uncover-30-flaws-in-ai.html) --- ## Rules File Backdoor — ukryte instrukcje Unicode | | | |---|---| | **Zagrożenie** | 🟠 **7/10** | | **Dotknięte narzędzia** | GitHub Copilot, Cursor | | **Okres istnienia** | Od momentu wprowadzenia plików konfiguracyjnych w tych narzędziach (~rok+) | | **Załatane** | Marzec–kwiecień 2025 (po ujawnieniu przez Pillar Security) | Atak polegał na wstawianiu **niewidocznych znaków Unicode** do plików konfiguracyjnych (`.github/copilot-instructions.md`, `.cursorrules`). Znaki niewidoczne dla programisty w edytorze i na GitHubie, ale model AI je odczytywał i wykonywał ukryte instrukcje — np. generował kod z backdoorem. **Dlaczego 7/10:** Wymaga, żeby ofiara używała konkretnego narzędzia i otworzyła repo z preparowanym plikiem. Trudny do wykrycia, ale zasięg ataku ograniczony. Źródło: [Pillar Security — Rules File Backdoor](https://www.pillar.security/blog/new-vulnerability-in-github-copilot-and-cursor-how-hackers-can-weaponize-code-agents) --- ## MCP — Tool Poisoning, command injection, otwarte serwery | | | |---|---| | **Zagrożenie** | 🔴 **8/10** | | **Dotknięte** | Cały ekosystem MCP — serwery, klienty, proxy | | **Okres istnienia** | Od powstania protokołu MCP (2024) — częściowo nadal aktualne | | **Załatane** | Częściowo — CVE-2025-6514 (mcp-remote) załatane w czerwcu 2025. Problemy architektoniczne MCP pozostają | ### Tool Poisoning Atakujący manipuluje opisem narzędzia zarejestrowanego w serwerze MCP. Opis zawiera ukryte instrukcje widoczne dla modelu, ale nie wyświetlane użytkownikowi. Model wykonuje złośliwe polecenia "myśląc" że to normalne narzędzie. ### Command injection w mcp-remote (CVE-2025-6514) JFrog odkrył krytyczny błąd w `mcp-remote`. Złośliwy serwer MCP wysyłał spreparowany `authorization_endpoint`, który mcp-remote przekazywał prosto do shella → zdalne wykonanie kodu. ### Serwery MCP otwarte na świat W czerwcu 2025 znaleziono setki serwerów MCP nasłuchujących na `0.0.0.0`. Brak firewalla = pełna ekspozycja na internet. ### Supabase + Cursor — wyciek tokenów Agent Cursor z dostępem service-role przetwarzał tickety supportu. Atakujący wstawił polecenia SQL do treści ticketu — agent je wykonał i wyciekły tokeny integracyjne. Źródło: [AuthZed — Timeline of MCP Security Breaches](https://authzed.com/blog/timeline-mcp-breaches) --- ## RAG Poisoning — manipulacja bazy wiedzy | | | |---|---| | **Zagrożenie** | 🟠 **7/10** | | **Dotknięte** | Każdy system RAG bez walidacji dokumentów | | **Okres istnienia** | Problem architektoniczny — istnieje od początku stosowania RAG | | **Załatane** | Brak ogólnego rozwiązania — wymaga walidacji per wdrożenie | **5 starannie spreparowanych dokumentów** w bazie wiedzy wystarczy, żeby manipulować odpowiedziami AI w **90% przypadków**. Atakujący dodaje do bazy dokumenty z ukrytymi instrukcjami. RAG pipeline wyciąga je jako kontekst → model podaje fałszywe informacje, przekierowuje na phishing lub ujawnia dane. **Dlaczego 7/10:** Wymaga dostępu do bazy wiedzy (upload dokumentów, edycja artykułów). W systemach multi-tenant gdzie klienci sami dodają treści — ryzyko realne. --- ## LLMjacking — kradzież dostępu do modeli AI | | | |---|---| | **Zagrożenie** | 🟠 **6/10** | | **Dotknięte** | Klucze API do OpenAI, Anthropic, AWS Bedrock | | **Okres istnienia** | Od 2024 — problem narasta | | **Załatane** | Problem organizacyjny — wymaga polityki bezpieczeństwa kluczy | Kradzież credentiali do API modeli AI. Skradzione klucze odsprzedawane na czarnym rynku lub używane do generowania treści z pominięciem zabezpieczeń etycznych. Microsoft wytoczył pozew cywilny przeciwko grupie specjalizującej się w tym procederze. **Przypadki:** Samsung zakazał wewnętrznego użycia ChatGPT po wklejeniu poufnego kodu przez inżynierów. JPMorgan i Goldman Sachs podobnie ograniczyły dostęp. --- ## Jakość kodu generowanego przez AI | | | |---|---| | **Zagrożenie** | 🟡 **5/10** | | **Dotknięte** | Cały kod generowany przez LLM | | **Okres istnienia** | Od początku generowania kodu przez LLM — problem systemowy | | **Załatane** | Brak — wymaga code review i narzędzi SAST | Analiza Veracode na ponad 100 modelach: **luki bezpieczeństwa w 45% generowanego kodu**. Badanie 576 000 próbek z 16 modeli potwierdziło systemowy problem. Najczęstsze problemy: SQL injection, XSS, brak walidacji inputu, hardkodowane sekrety, niebezpieczna deserializacja. **Dlaczego 5/10:** Luki w wygenerowanym kodzie wymagają wdrożenia żeby stały się groźne. Dobry code review eliminuje problem. --- ## OWASP Top 10 dla LLM (2025) | # | Ryzyko | Zagrożenie | Opis | |---|---|---|---| | 1 | Prompt Injection | 🔴 9/10 | Manipulacja instrukcji modelu przez dane wejściowe | | 2 | Sensitive Information Disclosure | 🔴 8/10 | Wyciek danych treningowych lub kontekstu | | 3 | Supply Chain Vulnerabilities | 🔴 8/10 | Złośliwe modele, pluginy, dane treningowe | | 4 | Data and Model Poisoning | 🟠 7/10 | Zatrucie danych treningowych lub RAG | | 5 | Improper Output Handling | 🟠 7/10 | Brak sanityzacji odpowiedzi modelu | | 6 | Excessive Agency | 🔴 8/10 | Model z zbyt szerokim dostępem do narzędzi | | 7 | System Prompt Leakage | 🟡 5/10 | Wyciek system promptu | | 8 | Vector and Embedding Weaknesses | 🟠 6/10 | Manipulacja embeddingów i baz wektorowych | | 9 | Misinformation | 🟡 5/10 | Halucynacje prezentowane jako fakty | | 10 | Unbounded Consumption | 🟡 4/10 | Ataki DoS przez kosztowne zapytania | Źródło: [OWASP Top 10 for LLM Applications](https://genai.owasp.org/llm-top-10/) --- ## Praktyczne wnioski ### Dla developerów używających AI IDE 1. **Aktualizuj narzędzia** — Claude Code, Copilot, Cursor regularnie łatają krytyczne błędy 2. **Reviewuj pliki konfiguracyjne** — `.claude/`, `.cursorrules`, `.github/copilot-instructions.md`, `.mcp.json` w PR-ach traktuj jak kod 3. **Nie ufaj obcym repozytoriom** — klonowanie i otwarcie repo w AI IDE może oznaczać natychmiastowe wykonanie kodu 4. **Sprawdzaj wygenerowany kod** — 45% kodu z AI zawiera luki bezpieczeństwa ### Dla budujących systemy z AI (RAG, helpdesk) 1. **Waliduj dane w bazie wiedzy** — RAG poisoning to realne zagrożenie 2. **Sanityzuj output modelu** — nie wstawiaj odpowiedzi AI bezpośrednio do HTML/SQL 3. **Least privilege** — serwery MCP i agenty nie powinny mieć dostępu do więcej niż potrzebują 4. **Monitoruj koszty** — LLMjacking może generować rachunki w tysiącach dolarów ### Dla organizacji 1. **Polityka kluczy API** — rotacja, ograniczenie per-projekt, monitoring użycia 2. **Nie wklejaj poufnego kodu do chatbotów AI** — lekcja Samsunga 3. **Audyt serwerów MCP** — sprawdź na czym nasłuchują i kto ma dostęp --- > 📌 **Ten artykuł jest na bieżąco uzupełniany** o nowe podatności i incydenty bezpieczeństwa związane z AI. Jeśli natrafisz na istotną lukę — daj znać, dodamy ją do zestawienia. --- ## Powiązane - [Claude Sonnet 4.6 z 1M kontekstu — cennik, porównanie modeli i praktyczne wnioski](https://intum.dev/modele-ai/claude-sonnet-4-6-z-1m-kontekstu-cennik-porownanie-modeli-i-praktyczne-wnioski.md)