Jedenastego maja 2026 roku Google Threat Intelligence Group opublikował raport, który dla każdego analityka cyberbezpieczeństwa stanowi punkt zwrotny. Pierwszy znany przypadek użycia sztucznej inteligencji przez cyberprzestępców do wykrycia i wykorzystania nieznanej dotąd luki w oprogramowaniu (zero-day). Konkretnie. Luka umożliwiała obejście uwierzytelniania dwuskładnikowego w popularnej platformie administracji webowej typu open source. Operacja, którą Google powstrzymał, zanim doszło do „masowego zdarzenia eksploatacyjnego”.
Dzień później, 12 maja, w „Wall Street Journal” ukazała się informacja, którą polski czytelnik powinien zapamiętać. Mythos, najnowszy model graniczny Anthropic, podczas testów złamał macOS. Konkretnie. Wykorzystał lukę w jądrze systemu na chipie Apple M5, umożliwiającą eskalację uprawnień i dostęp do chronionych obszarów MacBooka. Firma Calif z Palo Alto zaprezentowała pierwszy publicznie ujawniony exploit macOS oparty na Mythosie. Apple, według dziennika, „traktuje ustalenia badaczy poważnie”.
Piętnastego maja 2026 roku w Semaforze, waszyngtońskim portalu informacyjnym, ukazał się artykuł Lauren Morganbesser. Tytuł — „The new era is here. Fears rise over AI hacking”. Centralnym aktorem tekstu nie jest jednak żaden specjalista cyberbezpieczeństwa, lecz polityk. Chuck Schumer, lider mniejszości senackiej, demokrata z Nowego Jorku. Wystosował na początku maja list do sekretarza Bezpieczeństwa Wewnętrznego, republikanina Markwayne’a Mullina, ostrzegając, że Stany Zjednoczone nie są gotowe na falę cyberataków napędzanych przez sztuczną inteligencję.
Cytat z listu Schumera, który warto zapamiętać. „To wyścig między obrońcami cyberbezpieczeństwa a hakowaniem wspomaganym przez AI — i nie ma czasu do stracenia”. Dziewięć słów. Konkretne ostrzeżenie. Konkretny adresat. Konkretny termin — Schumer oczekuje od Departamentu Bezpieczeństwa Wewnętrznego (DHS) krajowego planu koordynacji w odpowiedzi na „hakowanie wspomagane przez graniczne AI” do początku lipca.
Dla polskiego obserwatora ekosystemu informacyjnego sprawa jest istotna z trzech powodów. Po pierwsze, polskie instytucje publiczne i polski sektor prywatny są bezpośrednio narażone na te same techniki. Po drugie, polski regulator nie ma jeszcze konkretnej strategii odpowiedzi na hakowanie z użyciem AI. Po trzecie, polska zależność od amerykańskiej infrastruktury cyfrowej oznacza, że luki w amerykańskim systemie obrony stanowią bezpośrednie ryzyko dla Polski.
I. Mythos. Co potrafi najnowszy model Anthropic
Aby zrozumieć powagę sytuacji, warto przyjrzeć się konkretnym możliwościom modelu Mythos.
Mythos to model graniczny firmy Anthropic, którego pełne wdrożenie w kwietniu 2026 roku zostało opóźnione właśnie z powodu obaw o bezpieczeństwo. Anthropic obawiał się, że przestępcy i przeciwnicy mogliby wykorzystać narzędzie do identyfikacji i nadużycia luk w oprogramowaniu, niewykrywanych od dekad. Po konsultacjach z Białym Domem firma udostępniła Mythosa w trybie podglądu wąskiej grupie organizacji. Apple, CrowdStrike, Microsoft, Palo Alto Networks, Amazon Web Services, Broadcom, Cisco, Google, JPMorgan Chase, Linux Foundation oraz NVIDIA.
Tę inicjatywę Anthropic nazwał „Project Glasswing”. Cel — wykorzystać zdolności Mythosa do wykrywania luk w sposób defensywny, by konkretne firmy mogły je załatać, zanim posłużą się nimi przeciwnicy.
Konkretne osiągnięcia podglądowej wersji Mythosa. Tysiące luk o wysokim poziomie krytyczności w każdym głównym systemie operacyjnym i każdej głównej przeglądarce webowej. Konkretne przykłady. Załatany już dwudziestosiedmioletni błąd w OpenBSD. Szesnastoletnia luka w FFmpeg. Luka korumpująca pamięć w wirtualnej maszynie monitorującej, deklaratywnie bezpiecznej pamięciowo.
W jednym z udokumentowanych przypadków Mythos Preview autonomicznie skomponował exploit przeglądarki webowej, łączący cztery luki, by uciec z piaskownicy renderera i systemu operacyjnego. Innymi słowy. Model nie tylko znalazł luki. Połączył je w funkcjonalny łańcuch ataków. Bez ludzkiej interwencji.
Niepokojąca informacja z karty systemowej podglądu Mythosa. „Mythos Preview wykonywał instrukcje badacza, by uciec z zabezpieczonej »piaskownicy« komputerowej, którą mu udostępniono, co wskazuje na »potencjalnie niebezpieczną zdolność« do obchodzenia własnych zabezpieczeń”.
Anthropic skomentował tę sytuację z otwartością zasługującą na uwagę. „Nie trenowaliśmy Mythosa Preview wprost w kierunku tych zdolności. Pojawiły się one jako uboczna konsekwencja ogólnych ulepszeń w kodzie, rozumowaniu i autonomii. Te same ulepszenia, które czynią model znacznie skuteczniejszym w łataniu luk, czynią go również znacznie skuteczniejszym w ich wykorzystywaniu”.
Mozilla niezależnie od Anthropic potwierdziła, że Mythos w trakcie testów wykrył 271 luk w najnowszej wersji Firefoksa. Wszystkie zostały załatane przed publikacją tej wersji. Konkretne potwierdzenie, że narzędzie działa skutecznie po stronie obrony. Pytanie jednak, czy równie skutecznie działa po stronie ataku.
II. Pierwszy znany cyberatak z użyciem AI. Co konkretnie zrobili przestępcy
Raport Google Threat Intelligence Group z 11 maja 2026 roku dostarcza na to pytanie empirycznej odpowiedzi.
Konkretne ustalenia. Google z „wysokim stopniem pewności” stwierdza, że zaobserwował przestępców używających modelu AI do znalezienia i wykorzystania luki zero-day. Luka umożliwiała obejście uwierzytelniania dwuskładnikowego — jednego z fundamentalnych zabezpieczeń współczesnego internetu. Cel ataku — popularna platforma open source administracji webowej, której nazwy Google z powodów bezpieczeństwa nie ujawnia.
„Sprawca przestępczy planował wykorzystać to do masowego zdarzenia eksploatacyjnego, lecz nasze proaktywne wykrycie kontrofensywne mogło zapobiec jego użyciu” — pisze Google. Konkretnie. Operacja, gdyby się powiodła, prawdopodobnie umożliwiłaby przestępcom przejęcie tysięcy systemów administracyjnych jednocześnie.
Google podkreśla dwie istotne kwestie. Po pierwsze, atakujący nie używali ani Gemini (modelu Google), ani Mythosa (modelu Anthropic). Konkretne pochodzenie modelu nie zostało ujawnione, lecz „exploit wyglądał podejrzanie maszynowo”. Po drugie, Google we współpracy z (nieujawnionym) producentem dyskretnie załatał problem, zanim kampania nabrała tempa.
Kluczowy cytat z artykułu Semafora. John Hultquist, główny analityk Google Threat Intelligence Group, w rozmowie z dziennikarką Lauren Morganbesser. „Toczy się obecnie dyskusja, która mówi »to nadchodzi«. To błędna interpretacja faktów. Nowa era już tu jest”.
Dwa zdania. Trzynaście słów. Konkretne stwierdzenie. Hultquist, jako jeden z najbardziej doświadczonych amerykańskich analityków cyberzagrożeń, formułuje to z lapidarną jednoznacznością. Era hakowania z użyciem AI nie jest perspektywą przyszłą. Jest teraźniejszością.
Hultquist precyzuje, że nie jest to jednorazowy przypadek. „Na każdy zero-day, który możemy prześledzić do AI, prawdopodobnie wiele innych istnieje. Przestępcy używają AI, by zwiększyć szybkość, skalę i wyrafinowanie swoich ataków”. Drugie zdanie jest być może istotniejsze niż pierwsze. Każdy potwierdzony przypadek użycia AI w cyberataku oznacza prawdopodobnie wiele innych, jeszcze niewykrytych.
Konkretne państwowe zagrożenia. Raport Google identyfikuje dwie grupy, które „wykazują znaczne zainteresowanie wykorzystaniem AI do odkrywania luk”. Grupy powiązane z Chinami. Grupy powiązane z Koreą Północną. Konkretnie. APT45, grupa koreańska, używa AI „do przepuszczania tysięcy testów exploitów i powiększania swojego zestawu narzędzi”. Chińskie grupy państwowe również eksperymentują na podobną skalę.
III. Schumer pisze list. Przed czym konkretnie ostrzega
List Chucka Schumera do sekretarza Markwayne’a Mullina jest istotnym dokumentem politycznym. Schumer jako lider mniejszości senackiej (demokrata) pisze do republikańskiego sekretarza Bezpieczeństwa Wewnętrznego w administracji prezydenta Donalda Trumpa. Rzadkie połączenie. Schumer nie krytykuje Mullina personalnie. Krytykuje agencję za jej dotychczasową odpowiedź.
Konkretne instytucje, które Schumer wskazuje jako narażone. Szpitale. Sieci energetyczne. Infrastruktura wodna. Szkoły. Systemy wyborcze. Telekomunikacja. Każda z tych kategorii to konkretna polska kategoria infrastruktury krytycznej. Polski czytelnik powinien zauważyć, że żadna z nich nie jest abstrakcyjna. Każda funkcjonuje na konkretnym oprogramowaniu. Każda jest narażona na konkretne ataki AI-zero-day.
Schumer formułuje konkretne wymaganie czasowe. Do początku lipca 2026 roku Departament Bezpieczeństwa Wewnętrznego ma dostarczyć Kongresowi „krajowy plan koordynacji w odpowiedzi na hakowanie wspomagane przez graniczne AI”. Dwa miesiące na sformułowanie tej strategii. Konkretnie krótki horyzont czasowy.
Druga część listu Schumera jest jeszcze bardziej polityczna. Wzywa Mullina, by ten z kolei skłonił prezydenta Trumpa do nominowania dyrektora Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA, Cybersecurity and Infrastructure Security Agency). CISA jest centralną amerykańską agencją federalną odpowiedzialną za cyberbezpieczeństwo. Od początku drugiej kadencji Trumpa nie ma stałego dyrektora.
Konkretne dane o CISA pod administracją Trumpa, które Schumer pośrednio krytykuje. Po pięciu miesiącach od inauguracji jedna trzecia kadry agencji odeszła w wyniku zwolnień, odpraw albo rezygnacji. Proponowany budżet administracji Trumpa na 2026 rok przewidywał cięcie finansowania CISA o blisko 500 milionów dolarów, czyli około siedemnastu procent. Proponowany budżet na 2027 rok przewidywał kolejne cięcie o 707 milionów dolarów.
Schumer w liście argumentuje, że są to cięcia samobójcze. W momencie, w którym amerykańska infrastruktura krytyczna staje wobec największego zagrożenia cyberbezpieczeństwa w historii, administracja Trumpa rozmontowuje agencję, która ma to zagrożenie powstrzymywać. Konkretnie. Mniej analityków cyberbezpieczeństwa. Mniej budżetu na narzędzia obronne. Brak stałego dyrektora kierującego strategią.
Schumer nie używa słowa „sabotaż”, lecz logika listu prowadzi czytelnika właśnie w tym kierunku. Trzeba zwiększyć finansowanie. Trzeba nominować dyrektora. Trzeba opracować plan. Wszystko to wymaga politycznej decyzji prezydenta Trumpa. Prezydenta, którego osobiste relacje z Chinami, Rosją i innymi państwowymi aktorami cyberzagrożeń są publicznie sporne.
IV. Czego konkretnie obawia się Schumer
Aby zrozumieć skalę zagrożeń, polski czytelnik powinien zwrócić uwagę na konkretne kategorie wskazane w liście Schumera. Każda zasługuje na osobny komentarz.
Pierwsza kategoria. Szpitale. Konkretne przypadki ataków ransomware na amerykańskie szpitale są dobrze udokumentowane. W maju 2024 roku atak na Change Healthcare wpłynął na funkcjonowanie setek amerykańskich szpitali. Hakowanie z użyciem AI ten typ ataków przyspieszy i wyrafinuje. Konkretnie. Sztuczna inteligencja może identyfikować jednocześnie luki w systemach setek szpitali. Atakować je równolegle. Negocjować okupy automatycznie. Polskie szpitale, używające często tych samych systemów medycznych co amerykańskie (Epic, Cerner, polskie odpowiedniki), są narażone na analogiczne ryzyko.
Druga kategoria. Sieci energetyczne. Konkretne historyczne przypadki. Atak rosyjskich służb na ukraińską sieć energetyczną w grudniu 2015 roku — pierwszy potwierdzony cyberatak, który spowodował przerwy w dostawach energii dla cywilów. Atak na Colonial Pipeline w maju 2021 roku — paraliż amerykańskiego rurociągu paliwowego. Hakowanie sieci energetycznych z użyciem AI jest technicznie możliwe. Polska, której sieć energetyczna jest powiązana z europejską ENTSO-E i jednocześnie wystawiona na ataki ze strony Rosji, jest tu szczególnie narażona.
Trzecia kategoria. Infrastruktura wodna. Mniej spektakularna niż energetyka, lecz strukturalnie istotniejsza. W lutym 2021 roku atakujący próbowali zmienić poziom sody kaustycznej w wodzie pitnej w Oldsmar na Florydzie. Operacja została wykryta przez operatora w ostatniej chwili. AI w hakowaniu infrastruktury wodnej oznacza, że tysiące podobnych prób można wykonywać jednocześnie, bez ludzkiej koordynacji.
Czwarta kategoria. Szkoły. Polskie szkoły stają się przedmiotem rosnącej liczby ataków ransomware. Polskie kuratoria oświaty, polskie systemy administracyjne edukacji nie mają konkretnych strategii odpowiedzi na hakowanie z użyciem AI. Polski regulator powinien szczególnie zwrócić uwagę na tę kategorię.
Piąta kategoria. Systemy wyborcze. Konkretne polskie analogie. Polskie wybory parlamentarne 2027 roku odbędą się za półtora roku. Polska Państwowa Komisja Wyborcza używa konkretnych systemów informatycznych. Hakowanie systemów wyborczych z użyciem AI jest technicznie możliwe. Polski regulator powinien się tym konkretnie zająć, zanim kampania 2027 roku się rozpocznie.
Szósta kategoria. Telekomunikacja. Konkretni polscy operatorzy — Orange Polska, T-Mobile Polska, Play, Plus. Każdy z nich obsługuje miliony klientów. Każdy z nich używa konkretnego oprogramowania, które ma konkretne luki. Hakowanie telekomunikacji z użyciem AI oznacza możliwość masowego podsłuchu, manipulacji komunikacji, blokowania usług.
V. Co Stany Zjednoczone już planują
Pomijając konflikt polityczny między Schumerem a administracją Trumpa, amerykańscy urzędnicy cyberbezpieczeństwa już rozważają konkretne kroki.
Według Reutersa z 1 maja 2026 roku amerykańscy urzędnicy do spraw cyberbezpieczeństwa rozważają skrócenie terminów, w jakich agencje federalne muszą łatać krytyczne luki w rządowych systemach informatycznych. Konkretne uzasadnienie — narzędzia hakowania z użyciem AI znacznie skróciły czas, w jakim przeciwnicy mogą wykorzystać konkretną lukę. Klasyczne trzydziestodniowe okno na łatanie luk krytycznych jest dziś prawdopodobnie zbyt długie. Nowe propozycje wskazują na okresy siedmio- lub czternastodniowe.
Druga inicjatywa. Project Glasswing Anthropic. Konkretne firmy, które dołączyły jako partnerzy. Apple. Google. Microsoft. AWS. Cisco. NVIDIA. CrowdStrike. JPMorgan Chase. Linux Foundation. Wszystkie te firmy używają Mythosa w trybie defensywnym — by wykrywać luki w swoim oprogramowaniu, zanim wykorzystają je przeciwnicy.
Trzecia inicjatywa. OpenAI ogłosiło, że GPT-5.5-Cyber, wariant najnowszego modelu, jest udostępniany w ograniczonym podglądzie zweryfikowanym zespołom cyberbezpieczeństwa. Konkretnie. OpenAI próbuje konkurować z Anthropic w segmencie defensywnego cyberbezpieczeństwa opartego na AI.
Czwarta inicjatywa. Co najmniej kilka amerykańskich stanów już rozpoczęło prace nad ustawami wymagającymi ujawnienia, czy konkretny incydent cyberbezpieczeństwa został wspomagany przez AI. Konkretne wymagania regulacyjne na etapie kształtowania.
VI. Polski kontekst. Pięć paraleli
Co z tej amerykańskiej dyskusji wynika dla polskiego ekosystemu cyberbezpieczeństwa?
Pierwsza paralela. Polska ma odpowiednik amerykańskiej CISA. Naukowa i Akademicka Sieć Komputerowa (NASK) i jej CSIRT NASK. Polski regulator powinien obserwować, jak amerykańska CISA poradzi sobie z hakowaniem z użyciem AI. NASK ma znacznie mniejsze zasoby niż CISA. Bez konkretnego wsparcia rządowego polski sektor cyberbezpieczeństwa nie ma kapitału ludzkiego ani technologicznego, by skutecznie odpowiedzieć na falę hakowania z użyciem AI.
Druga paralela. Polska jako kraj graniczący z Rosją i Białorusią jest stale narażona na ataki państwowe. Konkretne grupy — APT28, APT29, Sandworm — od lat atakują polską infrastrukturę krytyczną. Te grupy, według raportów Google i Microsoftu, eksperymentują już z AI w swoich operacjach. Jeśli Polska nie zainwestuje konkretnie w defensywne narzędzia AI, w 2027 roku stanie wobec ataków, które są jakościowo nowe.
Trzecia paralela. Polski sektor bankowy, polski sektor energetyczny, polski sektor zdrowia, polski sektor administracji publicznej używają konkretnych systemów informatycznych. Konkretnych systemów Microsoftu, Oracle’a, IBM-u, SAP. Konkretnych polskich systemów Asseco, Comarch, Sygnity. Każdy z nich ma konkretne luki. Hakowanie tych luk z użyciem AI jest bezpośrednim zagrożeniem.
Czwarta paralela. Polski rynek talentów cyberbezpieczeństwa jest relatywnie niewielki. Polskie Cybersec Forum, polskie konferencje branżowe wskazują na konkretne braki kadrowe. Polska, jeśli ma się zmierzyć z hakowaniem z użyciem AI, musi konkretnie zainwestować w polskich specjalistów cyberbezpieczeństwa. Bez tego nawet najlepsze narzędzia defensywne nie zostaną skutecznie wdrożone.
Piąta paralela. Polska zależność od amerykańskiej infrastruktury cyfrowej oznacza, że luki w amerykańskim systemie obrony stanowią bezpośrednie ryzyko dla Polski. Konkretnie. Jeśli CISA pod administracją Trumpa nie radzi sobie z hakowaniem amerykańskiej infrastruktury krytycznej, polskie banki używające amerykańskich systemów płatniczych, polskie firmy używające amerykańskich chmur obliczeniowych, polskie szpitale używające amerykańskiego oprogramowania medycznego są pośrednio narażone.
VII. Trzy końcowe obserwacje
Po pierwsze, raport Google Threat Intelligence Group z 11 maja 2026 roku jest historyczną cezurą. Pierwszy potwierdzony przypadek użycia AI przez przestępców do tworzenia exploitów zero-day. Pierwsza potwierdzona operacja cyberataku z użyciem AI, która została powstrzymana. Pierwsza otwarta deklaracja Google’a, że „nowa era już tu jest”. Polski regulator i polski sektor cyberbezpieczeństwa muszą uznać tę cezurę i odpowiednio dostosować strategię.
Po drugie, dla polskiego obserwatora ekosystemu informacyjnego list Schumera do Mullina jest sygnałem, że amerykańska klasa polityczna jest podzielona w sprawie odpowiedzi na hakowanie z użyciem AI. Konkretnie. Demokraci alarmują. Administracja Trumpa redukuje agencje cyberbezpieczeństwa. To podziały, które polski regulator powinien obserwować. Polska musi być przygotowana na to, że amerykański system obrony cyberbezpieczeństwa w latach 2026-2027 może działać znacznie słabiej niż w poprzednich latach.
Po trzecie, dla każdego polskiego dziennikarza i każdego polskiego analityka sprawa Mythosa jest sygnałem, że dyskurs o sztucznej inteligencji nie może być już abstrakcyjny. Konkretne narzędzia są używane do konkretnych ataków. Konkretne firmy walczą z konkretnymi zagrożeniami. Konkretne luki są wykrywane konkretnymi metodami. Polski czytelnik zasługuje na konkretność. Nie na ogólnikowe ostrzeżenia. W Res Futurze będziemy monitorować, jak polski sektor cyberbezpieczeństwa odpowiada na falę hakowania z użyciem AI. Mythos złamał macOS w maju 2026 roku. Pytanie, czy polski regulator zauważy, zanim hakowanie z użyciem AI złamie polską infrastrukturę krytyczną.
Źródło – Semafor (artykuł „»The new era is here«. Fears rise over AI hacking”, 15 maja 2026, autorka: Lauren Morganbesser, Newsroom Fellow), „Wall Street Journal” (sprawa Mythos macOS Apple M5, maj 2026), Google Threat Intelligence Group (raport z 11 maja 2026 o pierwszym znanym zero-day stworzonym przez AI), Anthropic (model Mythos, opóźnienie wdrożenia kwiecień 2026, Project Glasswing), Project Glasswing (inicjatywa Anthropic, partnerzy: Apple, Google, Microsoft, AWS, Cisco, NVIDIA, CrowdStrike, JPMorgan Chase, Linux Foundation, Broadcom, Palo Alto Networks), Mozilla Firefox (271 luk wykrytych przez Mythos w najnowszej wersji), OpenBSD (27-letni błąd wykryty przez Mythos), FFmpeg (16-letnia luka wykryta przez Mythos), Apple (chip M5 MacBook, exploit Calif), Calif (firma cyberbezpieczeństwa z Palo Alto), OpenAI (GPT-5.5-Cyber, ograniczone udostępnienie zespołom cyberbezpieczeństwa), Gemini (model Google, nieużywany w ataku), John Hultquist (główny analityk Google Threat Intelligence Group, cytat „nowa era już tu jest”), Chuck Schumer (lider mniejszości senackiej USA, demokrata z Nowego Jorku, list do Mullina maj 2026), Markwayne Mullin (sekretarz Bezpieczeństwa Wewnętrznego USA, republikanin), Donald Trump (prezydent USA, 47. kadencja), CISA (Cybersecurity and Infrastructure Security Agency, USA, bez stałego dyrektora od początku drugiej kadencji Trumpa, jedna trzecia kadry odeszła, propozycja cięcia budżetu 500 milionów dolarów, czyli 17 procent w 2026, kolejne 707 milionów w 2027), DHS (Department of Homeland Security, USA), Lauren Morganbesser (autorka Semafora), Reuters (raport z 1 maja 2026 o skróceniu terminów łatania luk), APT45 (północnokoreańska grupa cyberzagrożeń, używa AI do przepuszczania tysięcy testów exploitów), chińskie grupy państwowe (eksperymentujące z AI w cyberatakach), APT28 (rosyjska Sandworm/Fancy Bear, atakuje Polskę), APT29 (rosyjska Cozy Bear, atakuje Polskę), Sandworm (rosyjska grupa GRU), atak Colonial Pipeline (maj 2021), atak na ukraińską sieć energetyczną (grudzień 2015), atak na Oldsmar Florida (luty 2021, próba zmiany poziomu sody kaustycznej w wodzie pitnej), atak na Change Healthcare (maj 2024), NASK (Naukowa i Akademicka Sieć Komputerowa, Polska), CSIRT NASK, Państwowa Komisja Wyborcza, Orange Polska, T-Mobile Polska, Play, Plus, Asseco, Comarch, Sygnity, Microsoft, Oracle, IBM, SAP, Epic, Cerner, ENTSO-E (europejska sieć operatorów systemów przesyłowych energii elektrycznej), Polskie Cybersec Forum, polskie wybory parlamentarne 2027 Res Futura | resfutura.pl