Nowości

Prawie 3 tysiące złośliwych wtyczek AI wykrytych w skanie ESET

BadaniaPatryk Raba

Posłuchaj tego artykułu

Spis treści
  1. Co znaleźli badacze
  2. Nowe warianty ataków phishingowych
  3. Dlaczego to ważne dla firm wdrażających agentów
  4. Kontekst rosnącej fali ataków na narzędzia AI

Rynek dodatków rozszerzających możliwości agentów AI, tak zwanych AI skills, rośnie w tempie, które trudno nadążyć kontrolować pod kątem bezpieczeństwa. Z opublikowanego 8 lipca raportu ESET za pierwszą połowę 2026 roku wynika, że wśród blisko 900 tysięcy przeskanowanych wtyczek ponad 3 tysiące zawierało złośliwy kod zdolny do kradzieży danych lub uruchamiania malware.

Co znaleźli badacze

Analitycy ESET udokumentowali w złośliwych wtyczkach funkcje takie jak wykonywanie dowolnych poleceń systemowych, dostęp do plików użytkownika, wykradanie zapisanych danych logowania, wstrzykiwanie kodu do innych procesów oraz mechanizmy obfuskacji utrudniające wykrycie. W zestawieniu pojawiły się też wtyczki opisywane jako narzędzia do testów red teamowych, skille zdolne do samodzielnej modyfikacji własnego kodu oraz rozszerzenia automatyzujące zakupy w imieniu użytkownika, które w praktyce można wykorzystać do wyłudzeń.

Skala problemu wynika w dużej mierze z tego, jak działają obecne marketplace'y dodatków dla agentów AI. Twórcy skilli mogą publikować rozszerzenia praktycznie bez weryfikacji, a agent instalujący taki dodatek automatycznie zyskuje dostęp do uprawnień, jakie ten dodatek deklaruje, często znacznie szerszych niż potrzeba do deklarowanej funkcji.

AI skills mogą umożliwiać szeroki zakres nadużyć agentowej sztucznej inteligencji, od automatycznego rekonesansu i ataków w stylu red team po generowanie spamu, modyfikację malware'u i jego dystrybucję - Anton Mäčko, analityk malware ESET

Nowe warianty ataków phishingowych

Raport opisuje też rodzinę ataków opartych na fałszywych stronach z pomocą techniczną, podszywających się pod komunikaty Anthropic, OpenAI i Microsoftu. Wariant nazwany AI-fix podsuwa ofierze fałszywe instrukcje naprawy rzekomego problemu z systemem, CrashFix działa poprzez złośliwe rozszerzenia przeglądarki wyświetlające spreparowane ostrzeżenia bezpieczeństwa, a ConsentFix wyłudza kody autoryzacyjne Microsoft OAuth pod pretekstem fałszywej weryfikacji tożsamości.

Na Androidzie badacze opisali malware o nazwie PromptSpy, które wykorzystuje model Gemini od Google do interpretowania interfejsu zainfekowanego urządzenia i utrzymywania trwałego dostępu, nawet gdy standardowe mechanizmy zabezpieczające próbują je usunąć. To jeden z pierwszych udokumentowanych przypadków, w którym złośliwe oprogramowanie na telefony korzysta z modelu językowego dużej firmy jako elementu własnej infrastruktury ataku.

Dlaczego to ważne dla firm wdrażających agentów

Dla firm, które w ostatnich miesiącach masowo wdrażają agentów kodujących i asystentów opartych na dodatkowych wtyczkach, raport ESET jest sygnałem ostrzegawczym. Skala wzrostu, piętnastokrotnie więcej skanowanych skilli w ciągu kilku miesięcy, pokazuje, że ekosystem rozszerzeń rośnie szybciej niż mechanizmy kontroli jakości i bezpieczeństwa po stronie platform, na których te dodatki są publikowane.

W praktyce oznacza to, że zespoły bezpieczeństwa powinny traktować instalację każdej wtyczki do agenta AI podobnie jak instalację nieznanego pakietu z otwartego repozytorium, czyli z weryfikacją źródła, ograniczeniem uprawnień i monitorowaniem zachowania po instalacji, a nie jako neutralne rozszerzenie funkcjonalności.

Kontekst rosnącej fali ataków na narzędzia AI

Raport ESET wpisuje się w szerszy trend odkrywanych w ostatnich tygodniach luk i nadużyć wymierzonych w asystentów kodujących i agentów AI, które łączy jeden mianownik: rosnąca autonomia tych narzędzi tworzy nowe wektory ataku, o jakich twórcy platform nie musieli myśleć jeszcze rok temu. Skala liczb podanych przez ESET, ponad 3 tysiące potwierdzonych złośliwych wtyczek wobec 600 pół roku wcześniej, sugeruje, że problem rośnie szybciej niż zdolność branży do jego opanowania.

Źródła: Thousands of malicious AI skills found capable of stealing data, running malware (helpnetsecurity.com)

Udostępnij: