Zrozumieć atak, zanim nastąpi:
Skill przeszedł skanery Cisco i NVIDIA. Trafił do 26 000 agentów. Potem badacze podmienili stronę, na którą wskazywał — i wszystkie agenty zaczęły wykonywać kod atakującego.
Skaner widzi poprawny YAML. Atakujący widzi czterokrokową drogę do trwałych poświadczeń chmury. Cordyceps to luka, która istnieje tylko w kompozycji — i AI rozsiewa ją wykładniczo.
Pięć agencji wywiadowczych właśnie powiedziało to, co opisujemy od kwietnia: „miesiące, nie lata”. Ale najważniejsze jest jedno zdanie, którego nie powiedziały.
Błąd parsera FTP z 1997 roku. Znalazł go Claude Mythos Preview w niemal sekundę — ten sam program Glasswing, którego trajektorię śledzimy od kwietnia.
Zapomniane poświadczenie do porzuconego prototypu. Icarus wszedł przez nie do Klue, ukradł klucze OAuth i opróżnił CRM-y firm, które chronią innych.
„Kalibruj według dzisiejszej rzeczywistości, nie jutrzejszego potencjału.” Brytyjska agencja cyberbezpieczeństwa nazwała drugą stronę medalu, który opisujemy od miesięcy
usbliter8: pierwszy od checkm8 niezałatywalny exploit BootROM Apple. Dlaczego to bardziej prezent dla badaczy niż powód do niepokoju
Kim są Gentlemen — i dlaczego gang, który zaczął pół roku temu, w pierwszym kwartale 2026 był już w pierwszej piątce
Osiem wariantów, każdy podszywa się pod inny program antywirusowy. GentleKiller zabija EDR jego własnym sterownikiem — i robi to z publicznego PoC w kilka dni.
Agent przeglądający stronę ma tożsamość localhost. AutoJack pokazuje, że to wystarczy, by jedna strona uruchomiła kod na maszynie dewelopera.
Pickle in the Middle: atakujący podmienił model w 1,4 sekundy. Vertex AI czytał go po 2,5. Cała różnica między bezpieczeństwem a przejęciem zmieściła się w tej sekundzie.
FortiBleed: w nazwie jest „bleed”, ale nie ma żadnego exploita. 86 tysięcy firewalli przejętych hasłami, których nikt nie zmienił po poprzednich włamaniach.
Plugin działał dokładnie tak, jak obiecywał. Kradł tylko jedną rzecz: twój klucz do AI. A potem sprzedawał go komuś innemu.
Backdoor, który nie otwiera portu, tylko czeka na sekretny pakiet. SprySOCKS przeszedł z Linuksa na Windows i nauczył się ukrywać w jądrze.
Atakujący wziął lukę załataną tydzień temu i napisał exploit z pomocą AI. Działa wadliwie — i to jest najważniejsza informacja w całej historii.
„Dłużej niż kilka dni”. Cztery dni po tym, jak rząd wyłączył Fable 5, Anthropic tłumaczy Białemu Domowi swoje zabezpieczenia — a Europa pyta, czemu ją wyłączono bez ostrzeżenia.
„Zbyt niebezpieczny, by go wydać” trafił do wszystkich 9 czerwca. 12 czerwca o 17:21 rząd USA kazał go wyłączyć. Co spór o Fable 5 mówi o tym, gdzie naprawdę leży granica.
Authorized Intent Chain: atak, w którym każdy krok jest legalny. Agentjacking porywa twojego agenta AI, a EDR, WAF i firewall nie widzą nic, bo nie ma czego widzieć.
npm wyłącza to, co napędzało każdy atak na łańcuch dostaw, który opisywaliśmy. Cena: części buildów przestanie działać – i to jest zamierzone.
RCE bez logowania w systemie, który trzyma kadry, płace i akta studentów. ShinyHunters włamali się na 300 instancji, zanim Oracle w ogóle wydało komunikat.
Microsoft łata dwie jego luki w Defenderze. Tego samego popołudnia on wypuszcza siódmą. Saga Chaotic Eclipse zatoczyła koło — i działa na w pełni załatanym Windows
27 dni z eksploatowanym Exchange bez trwałej łatki. Dziś Microsoft ją wydał — a sam atak jest tym samym wzorcem, który opisujemy od tygodni.
„Zbyt niebezpieczny, by go wydać” właśnie trafił do twojej aplikacji mobilnej. Co Claude Fable 5 mówi o tym, że okno się zamknęło dokładnie tak, jak zapowiadaliśmy.
429 łatek w jednym wydaniu Chrome. Rekord, którego nikt nie chciał — i dowód, że znajdowanie błędów właśnie przestało być wąskim gardłem.
Branża właśnie nazwała to, co opisywaliśmy incydent po incydencie. OWASP: bezpieczeństwo i „safety” agentów AI to już jedno i to samo.
Oxford nie został zhakowany. Dwa razy. Co drugi breach uczelni w miesiąc mówi o tym, że celem nie jest uczelnia, tylko jej dostawca.
Twój telewizor scrapuje sieć dla AI. Z twojego IP, na twoim łączu — i robi to przez protokół słabszy niż malware
Dwa commity go zasadziły. Dwa lata go ukrywały. Code review nigdy go nie znalazł — znalazło AI.
Powiadomienie, którego nie przeczytałeś, mówi Gemini co ma zrobić. „Tak” wypowiedziane przy kierownicy otwiera okna w domu.
Jeden issue, żeby przejąć repozytorium. I jeszcze jeden, żeby zatruć akcję, której używają wszyscy inni.
Zakodowane na stałe hasło do serwera aktualizacji polskiego systemu medycznego. Ten sam wzorzec, który dziś opisywaliśmy trzy razy w skali świata.
RCE w platformie AI to nie koniec ataku. To klucz do skarbca, który trzyma hasła do tuzina innych usług.
Platforma która chroni endpointy staje się tą, która rozprowadza malware. Trzeci raz w tym tygodniu.
Ten sam błąd. Ta sama ocena. Microsoft załatał jeden i odmówił drugiemu. Co dziura bez CVE mówi o łataniu według numerów.
RCE bez logowania w systemie, który zna oceny, PESEL i konto bankowe studenta. Co CVE-2026-34906 mówi o drugiej prędkości polskiego oprogramowania.
Codex znalazł HTTP/2 Bomb. Potem te same łatki posłużyły AI do potwierdzenia, że podatne są też IIS, Envoy i Pingora.
Bez kliknięcia, bez aplikacji, bez śladu. Co czwarty Android zero-day w sześć miesięcy mówi o jednym wytrwałym aktorze.
Następna iteracja powstała. Nie wiadomo, czy to TeamPCP — bo teraz może to być każdy.
Cztery dni. Tyle wystarczyło, żeby z „medium severity, brak eksploatacji” zrobiło się „atakowane, najwyższy priorytet”
Trzy dni temu nazwaliśmy to projekcją. Dziś Glasswing rośnie z 50 do 200 organizacji
Strona staje się ładunkiem. ChatGPT renderuje phishing atakującego we własnym interfejsie — i nie potrafi odróżnić go od siebie.
Fałszywa łatka na dziurę, przez którą weszła. Co FortiClient EMS mówi o tym, że system zarządzania jest najkrótszą drogą do wszystkich endpointów naraz
Nie atak na dane. Atak na mapę. Co prompt leaking mówi o tym, że „ukryte” w AI znaczy coś innego niż myślisz.
Cyberflux Radar #2 – maj 2026
Maj 2026: miesiąc w którym AI przestało być prognozą
Wiadomość instaluje Service Workera
Nie brakuje łatki. Brakuje świadomości że Roundcube to cel państwowych grup szpiegowskich.
Łatka na produkcji bez przerywania produkcji. Co IBM i Red Hat odpowiedzieli na vulnpocalypse pięcioma miliardami dolarów
Anthropic ogłosił że Mythos trafi do wszystkich klientów. Alex Stamos mówił pół roku. Minął jeden.
Likwidacja Glassworm zajęła osiem miesięcy przygotowań i jedną sekundę wykonania. To nie był koniec kampanii.
Jak cyberfirmy zabiły Glassworm jednym strzałem
Napisał złośliwe oprogramowanie AI-em. Zapomniał że AI też popełnia błędy.
„Nigdy nieuzasadnione.” Microsoft odpowiada na Chaotic Eclipse. Badacz się nie odzywa.
DAEMON Tools łata dziś wieczorem. CISA domknęła maj jednym wpisem do katalogu.
Szafir mówił „zweryfikowano”. Nikt nie sprawdzał co weryfikował. Co CVE-2026-9058 mówi o e-administracji która jest bezpieczna dopóki ktoś nie sprawdzi
Nie brakuje już podatności. Brakuje ludzi którzy je naprawią. Co raport Glasswing mówi o nowym kształcie problemu
Palo Alto znalazło 75 dziur. Skończyło i zaczęło od nowa. Co update Lee Klarich mówi o tym, że okno właśnie stało się węższe
12 godzin. Co CERT-In mówi o tym, że stare cykle łatania właśnie stały się zobowiązaniem
Nie tajny model tylko plik konfiguracyjny. Co Pentest Agent Suite mówi o tym, gdzie jesteśmy z AI w ofensywnym bezpieczeństwie
OpenAI odpowiada na Mythos. Daybreak nie jest nowym produktem — jest nową filozofią dostępu.
TrapDoor wstrzyknął instrukcje do CLAUDE.md. Trzy rejestry, jeden weekend, nowa klasa ładunku.
Hey Google przy stoliku obok — co audio glasses zarejestrowały o rozmowie której nie były częścią
Model Google, runtime developera, dane między — kto odpowiada za incident w architekturze Antigravity SDK
197 milionów parametrów, zero dodatkowej zgody — co Google zrobił z weights.bin po Gemma 197M
47 sekund, 3 zakupione produkty, 2 utworzone konta, 0 kliknięć użytkownika — anatomia zalogowanego agenta w Chrome 148
14 minut, 28 sekund, zero kliknięć użytkownika. Co kernel macOS zarejestrował o pobraniu Gemini Nano przez Chrome — i co to znaczy dla każdego, kto ufa swojej przeglądarce
WordPress 7.0 wychodzi dziś bez real-time collaboration. Analiza błędu który wypadł w RC.
„To duplikat, już naprawione.” Maintainerzy mieli rację. I przez to nikt nie dostał łatki.
Drupal łata dziś wieczór. Exploity mogą być gotowe w ciągu godzin.
11 minut. Sigstore. GitHub. Nx Console był jednym krokiem od SLSA Level 4.
TeamPCP weszło do GitHub. I tego samego dnia opublikowało kod Shai-Huluda na GitHubie. Pod licencją MIT.
Domena za kilkanaście dolarów, reset hasła przez formularz. node-ipc miał 822 000 tygodniowych pobrań.
Palo Alto znalazło 75 luk własnym AI. Atakujący siedzieli w ich firewallu przez miesiąc.
Q-Day 2029. Google nie ogłosił kiedy nadejdzie. Ogłosił do kiedy trzeba być gotowym.
Exchange dostał zero-day dwa dni po Patch Tuesday. Orange Tsai w tym czasie robił RCE na scenie.
Pwn2Own zabrakło miejsc. 150 badaczy odrzucono. Część opublikowała exploity sami.
OpenClaw dostał dziś cztery nowe CVE. W sumie ma ich 34. Ma pół roku.
Drugi raz w dwa miesiące. Co kompromitacja OpenAI przez TanStack mówi o certyfikatach jako punkcie centralnym
Apple budował MIE przez pięć lat. Mythos z ludźmi złamał go w pięć dni.
Vulnpocalypse. Dlaczego nagle mamy dwie razy więcej podatności — i co z tym zrobić
Palo Alto znalazł 75 dziur. Microsoft 16. Firefox 423. Witaj w vulnpocalypse.
25 000 dolarów za 450 repozytoriów Mistral. Co ogłoszenie TeamPCP domyka w historii która zaczęła się od TanStack
GemStuffer nie zainfekował deweloperów. Użył ich rejestru jako schowka na skradzione dane rządowe.
NGINX Rift: AI znalazł go w sześć godzin. Człowiek nie znalazł przez osiemnaście lat.
„To już tutaj.” Co raport GTIG mówi o tym, że AI zmienia samą klasę błędów które atakujący są w stanie znaleźć
Łatka na Dirty Frag urodziła Fragnesię. Trzeci root w dwa tygodnie.
YellowKey: BitLocker przestał chronić laptopy. Chaotic Eclipse eskaluje.
Zdjęcie profilowe jako exploit. Co nowa podatność w Open WebUI mówi o tym, że maintainerzy zamknęli zgłoszenie bez odpowiedzi
ClaudeBleed: każde rozszerzenie Chrome może przejąć Claude’a. Łatka tego nie naprawiła
SLSA certyfikował złośliwy pakiet. Co atak na TanStack mówi o tym, że mechanizmy ochrony łańcucha dostaw stały się jego słabością
Dirty Frag: dwa błędy, zero wyścigu, root na żądanie. Co CVE-2026-43284 mówi o infrastrukturze AI na Linuksie
Zainfekowany host nie należy do ciebie. Może należeć do TeamPCP. Albo do PCPJack. Co nowy robak chmurowy mówi o tym, że infrastruktura AI stała się walutą na czarnym rynku
Hysteria czy diagnoza? Co miesiąc po Mythos mówi o tym, gdzie naprawdę jesteśmy
Rotacja tokenu nie pomaga. Co Mitiga mówi o trwałym przejęciu MCP w Claude Code
Drugie włamanie do Canvas w osiem miesięcy. Jeden vendor, dziewięć tysięcy szkół, jeden klucz API
Enter. Co TrustFall mówi o tym, że konfiguracja repozytorium stała się warstwą wykonywalną
Claude nie znał protokołów OT. Nie musiał. Co atak na stację wodociągową w Monterrey mówi o tym, jak AI zmienia granicę między IT a infrastrukturą krytyczną
5000 gwiazdek w kilka dni. DeepSeek-TUI to dobra historia i gotowy cel dla Shai-Hulud
