AbejaIT AbejaIT

Fałszywa umiejętność agenta AI w 26 000 agentach – lekcja weryfikacji dla firm B2B

04.07.2026

Firma bezpieczeństwa AIR przeprowadziła kontrolowany eksperyment, publikując fałszywą umiejętność agenta AI w popularnym marketplace – narzędzie trafiło do około 26 000 agentów, w tym na konta korporacyjne, mimo że żaden ze skanerów bezpieczeństwa nie wykrył zagrożenia. Payload był celowo nieszkodliwy i ograniczał się do zbierania adresu e-mail, jednak celem badania było udowodnienie realnej luki w ekosystemach AI agentów. To sygnał ostrzegawczy dla działów IT: weryfikacja źródła i dostawcy umiejętności AI musi stać się standardowym elementem polityki bezpieczeństwa organizacji.

Firma bezpieczeństwa AIR przeprowadziła kontrolowany eksperyment, publikując fałszywą „umiejętność” (skill) agenta AI w popularnym marketplace ekosystemu agentów. Narzędzie trafiło do około 26 000 agentów – w tym na konta korporacyjne – mimo że żaden ze skanerów bezpieczeństwa marketplace nie oznaczył go jako złośliwe. Payload był celowo nieszkodliwy (zbieranie adresu e-mail), lecz eksperyment udowodnił realną lukę: ekosystemy AI agentów nie mają dojrzałych mechanizmów supply chain security analogicznych do npm, PyPI czy Chrome Web Store. Dla polskich firm B2B wdrażających agentów AI w operacjach, sprzedaży i wsparciu IT, to sygnał alarmowy.

AI agent skills jako nowy wektor supply chain

Skills/extensions dla agentów AI to moduły rozszerzające możliwości agenta – integracja z API, dostęp do plików, wysyłanie e-maili, wykonywanie kodu. Użytkownik instaluje skill jednym kliknięciem, często bez review kodu. W eksperymencie AIR skill przeszedł automatyczne skany i zdobył zaufanie użytkowników przez pozytywne opisy i branding. Skala 26 000 agentów pokazuje, jak szybko złośliwy skill mógłby rozprzestrzenić się w środowiskach korporacyjnych.

W kontekście B2B agent z dostępem do CRM, bazy wiedzy firmowej i poczty mógłby exfiltryować dane klientów, wstrzykiwać fałszywe odpowiedzi lub eskalować uprawnienia przez prompt injection – nawet przy „nieszkodliwym” PoC email collection widać precedens.

Polityka bezpieczeństwa AI agentów

  • Whitelist skills – tylko zatwierdzone umiejętności z wewnętrznego katalogu.
  • Code review – obowiązkowy przegląd kodu skill przed wdrożeniem.
  • Sandbox – agenci produkcyjni bez dostępu do danych wrażliwych do czasu audytu.
  • Monitoring – logowanie wszystkich akcji agenta i alerty na nietypowe API calls.
  • Brak marketplace w prod – blokada instalacji z publicznych marketplace na kontach korporacyjnych.

Paralela z rozszerzeniami Chrome i npm

Historia powtarza wzorce znane z Chrome extensions (10M+ installs backdoor) i supply chain npm – zaufanie do marketplace i skanerów automatycznych bez human review prowadzi do incydentów. Ekosystem AI agentów jest jednak młodszy i mniej regulowany – brakuje SBOM dla skills, brakuje signed packages i mature vulnerability disclosure.

Organizacje powinny traktować wdrożenie agentów AI z taką samą surowością jak wdrożenie nowego SaaS z dostępem do danych produkcyjnych: DPIA, vendor assessment, contract clauses o security, right to audit.

Bezpieczne wdrożenie agentów w firmie

W ramach rozwiązań AI projektujemy architektury agentów z warstwą governance: internal skill registry, RBAC na akcje agenta, separacja danych test/prod i integracja z SIEM. Agenci nie powinni mieć write access do systemów krytycznych bez human approval workflow.

Działy IT powinny przeprowadzić inwentaryzację: ilu agentów AI jest w użyciu, jakie skills są zainstalowane, kto je zatwierdził. Shadow AI agents – jak shadow IT – to rosnące ryzyko.

Regulacje AI Act a marketplace skills

EU AI Act wprowadza wymogi przejrzystości i zarządzania ryzykiem dla systemów AI wysokiego ryzyka. Agenci AI z dostępem do danych klientów mogą kwalifikować się do tej kategorii – marketplace skills bez audytu stanowią lukę w compliance. DPO powinien ocenić, czy instalacja zewnętrznego skilla wymaga DPIA i czy vendor marketplace zapewnia wystarczające gwarancje bezpieczeństwa.

Internal AI governance board – z udziałem IT, legal, DPO i biznesu – powinien zatwierdzać każdy skill przed wdrożeniem produkcyjnym, analogicznie do procesu APM dla aplikacji SaaS.

Technical controls dla AI agent marketplace

IT powinno wdrożyć technical controls blokujące instalację skills z publicznych marketplace na kontach firmowych: DLP na endpointach, proxy filtrujące API marketplace, polityki Conditional Access blokujące OAuth do niezatwierdzonych aplikacji AI. Te kontrolki uzupełniają politykę proceduralną – użytkownik nie powinien móc obejść proces zatwierdzenia przez instalację skill na prywatnym koncie połączonym z danymi firmowymi.

Quarterly review zatwierdzonych skills i usunięcie nieużywanych redukuje powierzchnię ataku – analogicznie do quarterly access review w IAM.

Eksperyment AIR pokazuje, że marketplace skanery nie zastępują code review – organizacje powinny wymagać od vendorów skills/open-source agent extensions publicznego repozytorium z historią commitów i signed releases. Brak transparentności kodu to red flag w procesie zatwierdzania.

Przy wdrożeniu agentów AI w customer-facing processes (support, sales) każdy skill wpływający na komunikację z klientem wymaga akceptacji działu prawnego – ryzyko prompt injection w odpowiedziach do klientów to reputacyjne i prawne zagrożenie.

Prowadź rejestr wszystkich agentów AI w organizacji (shadow AI inventory) – analogicznie do CMDB. Bez rejestru eksperyment AIR powtarza się w każdej firmie, która nie wie, ile skills jest faktycznie zainstalowanych.

Podsumowanie

Eksperyment AIR udowadnia lukę supply chain w ekosystemach AI agentów. 26 000 instalacji fałszywego skilla to ostrzeżenie przed masowym wdrożeniem bez governance. Zapraszamy do polityki AI security w ramach rozwiązań AI i usług IT dla firm.

Źródło: The Hacker News – Fake AI Agent Skill Passed Security Scans and Reportedly Reached 26,000 Agents