Nowości
Sztuczna inteligencja napędza rekordową falę zgłoszeń luk bezpieczeństwa
Czerwcowy Patch Tuesday Microsoftu przyniósł rekordowe 198 poprawek, a jedną z trzech publicznie ujawnionych luk zero-day znalazł agent AI oparty na OpenAI Codex. Eksperci ostrzegają, że to nowy standard, nie jednorazowy wyjątek.
Czerwcowa seria poprawek Microsoftu, znana jako Patch Tuesday, przyniosła 198 łatek, w tym 32 oznaczone jako krytyczne oraz trzy publicznie ujawnione luki zero-day. Jedną z nich, oznaczoną jako CVE-2026-49160, lukę odmowy usługi w stosie protokołu HTTP Windows o ocenie CVSS 7.8, zgłosił zespołowi Microsoftu agent oparty na OpenAI Codex. To pierwszy tak jednoznaczny przypadek, w którym gigant technologiczny publicznie przypisuje odkrycie realnej, poważnej luki narzędziu AI działającemu jako badacz bezpieczeństwa.
Nowy sposób szukania błędów
Nirwan Dogra, inżynier bezpieczeństwa Microsoftu, opisał to zjawisko wprost: wspomagane przez AI odkrywanie luk, obejmujące fuzzing, analizę statyczną i wyszukiwanie wariantów znanych błędów, drastycznie skraca czas między powstaniem błędu w kodzie a jego wykryciem. Jego zdaniem to już nie anomalia jednego miesiąca, tylko nowa linia bazowa, do której branża musi się dostosować na stałe.
Dustin Childs z Trend Micro ujął to bardziej dosadnie, mówiąc że sztuczna inteligencja napędza wykrywanie luk w skali, nad którą trudno zapanować, i zapowiadając wymagające lato dla zespołów bezpieczeństwa. Oprócz Microsoftu w czerwcu duże pakiety poprawek wydały też SAP, z 15 łatkami w tym czterema krytycznymi, oraz Adobe, z 123 podatnościami w swoich produktach.
Skala w liczbach rocznych
Forum of Incident Response and Security Teams, organizacja koordynująca globalną reakcję na incydenty bezpieczeństwa, zrewidowało w połowie roku swoją prognozę liczby zarejestrowanych podatności CVE na 2026 rok do około 66 tysięcy. To wyraźnie więcej niż zakładano na początku roku, a według FIRST głównym powodem jest właśnie coraz szersze użycie autonomicznych agentów AI do skanowania kodu pod kątem błędów.
Wśród narzędzi napędzających ten trend organizacja wymienia agenta Mythos Preview od Anthropic, działającego w ramach projektu Glasswing, model GPT-5.4-Cyber od OpenAI oraz Claude Opus 4.6 wykorzystywany do identyfikacji błędów w starszym, rzadziej audytowanym kodzie. Jako przykład skali podano wydanie Firefoksa 150, w którym wspomagane przez AI skanowanie pozwoliło zidentyfikować i naprawić 271 błędów jeszcze przed premierą.
Co to oznacza dla firm
Chris Gibson, dyrektor generalny FIRST, podsumował sytuację ostrzeżeniem, że przetrwają ten rok te zespoły bezpieczeństwa, które mają już zbudowane zaufane sieci wymiany informacji i koordynują reakcję na zagrożenia zanim dojdzie do kryzysu, a nie te, które próbują nadgonić dopiero w trakcie. Rosnąca liczba zgłoszeń CVE oznacza w praktyce większe obciążenie działów IT odpowiedzialnych za testowanie i wdrażanie poprawek, bo sam wolumen łatek do wgrania rośnie szybciej niż zasoby ludzkie do ich obsługi.
Eksperci podkreślają przy tym paradoks: AI, które pomaga znajdować więcej błędów, jednocześnie generuje nowe, trudne do namierzenia ryzyka w postaci aplikacji pisanych szybko przez narzędzia typu vibe coding, które często nie trafiają do żadnej bazy CVE, mimo że zawierają realne podatności. Rekomendowanym kierunkiem jest priorytetyzacja łatek na podstawie realnego ryzyka wykorzystania w atakach, a nie samej liczby zgłoszeń, oraz automatyzacja procesu testowania i wdrażania poprawek.
Dla polskich firm i instytucji, które w ostatnich miesiącach intensywnie wdrażają systemy zarządzania podatnościami zgodne z unijną dyrektywą NIS2, rosnący wolumen zgłoszeń CVE oznacza konieczność szybszej automatyzacji procesów patchowania. Zespoły bezpieczeństwa, które wciąż polegają na ręcznej analizie każdej poprawki, mogą w najbliższych miesiącach nie nadążać za tempem, jakie narzuca AI po obu stronach barykady, zarówno wśród badaczy, jak i atakujących.
Źródła: June 2026 Patch Tuesday analysis (n-able.com), June Patch Tuesday marks a new normal (csoonline.com), Microsoft's biggest-ever Patch Tuesday (malwarebytes.com), First 2026 CVE forecast (helpnetsecurity.com).


