Změny okolo AI, aneb (nejen) dostupnost pokročilých LLM modelů
Problematika využití moderních „frontier“ AI modelů je v kybernetické bezpečnosti v posledních měsících velmi často zmiňována zejména v souvislosti s vyhledáváním zranitelností a možností jejich využití v rámci ofenzivních aktivit. Byť o rozsahu, v němž tyto nástroje kybernetickou bezpečnost reálně (z)mění lze v některých ohledech pochybovat, jejich mediální image působí jako kdyby díky jejich využití docházelo k posunu všech bezpečnostních paradigmat.
Za určitou ilustraci toho, do jak absurdní roviny se může dostat veřejná debata o schopnostech těchto modelů, může posloužit např. nedávné vyjádření amerického senátora Marka Warnera, podle něhož měl ředitel NSA a velení kybernetických sil USA tvrdit, že model Mythos kompromitoval v řádu hodin v podstatě všechny utajované systémy NSA. Právě v tomto kontextu je zajímavá i krátká epizoda okolo modelu Claude Fable 5 společnosti Anthropic, u něhož Americká vláda před několika týdny omezila dostupnost poté, co u něj byly výzkumným týmem společnosti Amazon popsány možnosti obcházení bezpečnostních mechanismů a získání výstupů použitelných pro identifikaci zranitelností a vytváření exploitů.
Minulé úterý, tedy po pouhých 19 dnech od zavedení, však byla tato omezení zrušena a model Fable je tak i pro české uživatele v době přípravy tohoto textu již opět dostupný. Model Mythos, který byl v souvislosti s celou kauzou rovněž zmiňován, je dle dostupných informací nadále zpřístupněn v režimu omezeném především na vybrané americké organizace zapojené do ochrany kritické infrastruktury.
Anthropic v rámci opětovného zpřístupnění modelu Fable doplnil nový bezpečnostní klasifikátor, který má blokovat problematické požadavky popsané v původním reportu. Dle vyjádření jmenované společnosti má nový mechanismus pokusy o „jailbreak“ modelu zachytit ve více než 99 % případů – byť za cenu vyššího množství falešně pozitivních blokací při legitimních interakcích. Zmínku v souvislosti s omezeními týkajícími se přístupu k „frontier“ modelům zaslouží rovněž model GPT-5.6 Sol představený v uplynulém týdnu společností OpenAI.
I tento model byl totiž v souvislosti s nedávným prezidentským dekretem, který se bezpečnosti AI modelů věnuje, a konzultacemi s americkou vládou prozatím spuštěn pouze v omezeném režimu, kdy byl zpřístupněn výhradně vybraným „důvěryhodným partnerům“.
V kontextu AI zaslouží krátké pozastavení rovněž společnost Microsoft.
Ta po kritice uživatelů zrušila implementaci nové funkce pro rozšířené vyhledávání v historii prohlížeče Edge založené na AI. Byť měla tato funkce údajně pracovat výhradně s lokálním modelem trénovaným na historii navštívených stránek, mezi uživateli panovaly obavy z možného úniku dat mimo lokální systémy.
Do platformy Teams pak Microsoft v úterý doplnil nové možnosti blokování neautorizovaných botů a AI asistentů v online schůzkách, což je v kontextu širšího nasazování nástrojů pro automatické přepisy, sumarizace a zpracování obsahu schůzek jednoznačně pozitivní krok.
Phantom squatting jako technika zneužívající halucinace AI modelů
U problematiky AI a kybernetické bezpečnosti ještě chvilku zůstaneme. Výzkumníci z týmu Unit 42 společnosti Palo Alto totiž v úterý upozornili na novou útočnou techniku využitelnou (nejen) pro kompromitaci softwarových dodavatelských řetězců označovanou jako phantom squatting.
Uvedená technika zneužívá občasné halucinace generativních AI modelů při vytváření odkazů na domény – mj. ty, na nichž jsou hostované systémy poskytující API přístup k automaticky využívaným službám. Pokud si útočníci zaregistrují neexistující domény, které modely chybně doporučují jako legitimní, možnosti jejich využití jsou pochopitelně velmi široké.
Technika je přitom v principu podobná již dříve popsaným mechanismům založeným na vytváření podvodných softwarových balíčků s názvy podobnými těm legitimním, u nichž může v důsledku halucinovaných názvů dojít k použití. Rozdíl je pouze v tom, že nově popsaná technika nespoléhá na halucinovanou závislost v kódu, ale na halucinovanou doménu, na níž mohou být uživatelé nebo autonomní AI agenti navedeni samotným výstupem modelu.
Zejména v prostředích, kde se AI asistenti používají pro dohledávání dokumentace, interních portálů nebo API endpointů, může jít do budoucna o potenciálně zajímavý a efektivní vektor útoku.
Předávání dat do USA bude zřejmě opět problematičtější
Nezisková organizace noyb, která se zaměřuje na ochranu citlivých a osobních dat, v pondělí upozornila na rozhodnutí amerického Nejvyššího soudu, které může podle její interpretace opět zkomplikovat předávání osobních údajů z Evropské unie do Spojených států. Problém má podle ní spočívat zejména v tom, že rozhodnutí může dále oslabit předpoklad nezávislého dohledu nad ochranou osobních údajů ve Spojených státech, na němž Evropská komise při schvalování současného rámce pro předávání dat do USA významně stavěla.
Byť uvedené rozhodnutí neznamená okamžité zneplatnění současného rámce pro transatlantické předávání dat, rozhodně si zaslouží pozornost, zejména vzhledem k historii mechanismů Safe Harbor a Privacy Shield, které mu předcházely a které byly postupně vzhledem k nedostatečným zárukám zajištění dostatečné ochrany osobních dat zrušeny. Pokud by totiž výklad noyb sdílely i evropské soudy či regulátoři, mohlo by to znovu otevřít mj. otázku možnosti využívání některých amerických cloudových služeb ze strany evropských organizací
Ve financování kybernetické bezpečnosti v USA (snad) svítá na lepší časy
V USA v uplynulém týdnu pokračovala debata o budoucím financování a personálním zajištění agentury CISA. V nedávné době byly s touto organizací spojeny významné škrty, aktuálně se však objevují informace o možném opětovném navýšení jejích personálních kapacit.
Paralelně s tím americké ministerstvo vnitřní bezpečnosti (DHS) pokračovalo ve spouštění nového programu ANCHOR-CI, který má sloužit ke sdílení informací a koordinaci ochrany kritické infrastruktury mezi státem a soukromým sektorem, a který má nahradit vloni zrušený program CIPAC, který sloužil témuž účelu. Výše popsaný vývoj ve Spojených státech je vysoce relevantní i pro české organizace, neb by mohl indikovat opětovný zájem o podporu obecně prospěšných bezpečnostních iniciativ, které byly v nedávné době ze strany federální vlády utlumeny. Specificky lze doufat, že výše zmíněné aktivity by se časem mohly vést i k opětovnému rozšíření fungování databáze NVD, která agreguje zranitelnosti, jimž byly přiřazeny CVE identifikátory.
V dubnu totiž organizace NIST oznámila, že již nebude obohacovat všechny záznamy v této databázi, ale přejde „rizikovému modelu“, v rámci něhož bude doplňovat informace převážně ke zranitelnostem uvedeným v katalogu Known Exploited Vulnerabilities agentury CISA, zranitelnosti v softwaru používaném americkou federální vládou a zranitelnosti v tzv. kritickém softwaru. Ostatní CVE záznamy mají být sice nadále v NVD publikovány, ale mohou zůstat (a prozatím dle dostupných informací často zůstávají) bez doplnění informací jako je CVSS skóre, nebo vazby na katalogy CWE či CPE.
Trojanizované PoC exploity využívané pro cílení na výzkumníky
Výzkumníci z organizací YesWeHack a Sekoia upozornili v uplynulém týdnu na novou kampaň, v rámci níž byly na GitHubu publikovány trojanizované proof-of-concept exploity, které při použití distribuovaly malware označovaný jako ChocoPoC.
Trojanizované exploity samozřejmě nejsou novou myšlenkou – škodliví aktéři je úspěšně využívají již řadu let – a na výše uvedené kampani tak bylo zajímavé především to, že škodlivý obsah nebyl vložen přímo do kódu samotných exploitů, ale byl obsažen v externích balíčcích, na nichž byl daný kód závislý. Tento přístup citelně zvyšoval pravděpodobnost, že si uživatel při zběžné kontrole kódu exploitu nebezpečného chování nevšimne.
Ostatní zajímavosti
- Proč značné procento analýz rizik zpracovaných v kontextu zákona o kybernetické bezpečnosti nedává (a ani nemůže dávat) smysluplné výsledky?
- Ruské zpravodajské služby se údajně snaží získat klíče pro obnovu záloh účtů významných osob na platformě Signal a Spojené státy nabídly odměnu 10 milionů dolarů za informace vedoucí k identifikaci odpovědných osob.
- V pondělí byl publikován Kali Linux 2026.2.
- Microsoft oznámil urychlení přechodu na post-kvantové kryptografické algoritmy ve svých produktech a službách.
- Zranitelnost BlueHammer je v praxi zneužívaná ransomwarovými aktéry.
- Ransomware v prohlížeči jako potenciálně realistická technika s využitím AI.
- Kampaň FortiBleed byla dle nových informací spojena s ransomwarovými skupinami INC Ransom a Lynx.
- USB disky s malwarem postihly japonské vojenské sítě.
- CISA varovala před aktivním zneužíváním RCE zranitelnosti platformy Microsoft SharePoint.
- JADEPUFFER je ransomwarová operace využívající AI agenty v rámci celého útočného cyklu.
- O Chat Control 1.0 se bude hlasovat potřetí.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
