Firma bezpieczeństwa AIR przeprowadziła kontrolowany eksperyment, publikując fałszywą „umiejętność” (skill) agenta AI w popularnym marketplace ekosystemu agentów. Narzędzie trafiło do około 26 000 agentów – w tym na konta korporacyjne – mimo że żaden ze skanerów bezpieczeństwa marketplace nie oznaczył go jako złośliwe. Payload był celowo nieszkodliwy (zbieranie adresu e-mail), lecz eksperyment udowodnił realną lukę: ekosystemy AI agentów nie mają dojrzałych mechanizmów supply chain security analogicznych do npm, PyPI czy Chrome Web Store. Dla polskich firm B2B wdrażających agentów AI w operacjach, sprzedaży i wsparciu IT, to sygnał alarmowy.
AI agent skills jako nowy wektor supply chain
Skills/extensions dla agentów AI to moduły rozszerzające możliwości agenta – integracja z API, dostęp do plików, wysyłanie e-maili, wykonywanie kodu. Użytkownik instaluje skill jednym kliknięciem, często bez review kodu. W eksperymencie AIR skill przeszedł automatyczne skany i zdobył zaufanie użytkowników przez pozytywne opisy i branding. Skala 26 000 agentów pokazuje, jak szybko złośliwy skill mógłby rozprzestrzenić się w środowiskach korporacyjnych.
W kontekście B2B agent z dostępem do CRM, bazy wiedzy firmowej i poczty mógłby exfiltryować dane klientów, wstrzykiwać fałszywe odpowiedzi lub eskalować uprawnienia przez prompt injection – nawet przy „nieszkodliwym” PoC email collection widać precedens.
Polityka bezpieczeństwa AI agentów
- Whitelist skills – tylko zatwierdzone umiejętności z wewnętrznego katalogu.
- Code review – obowiązkowy przegląd kodu skill przed wdrożeniem.
- Sandbox – agenci produkcyjni bez dostępu do danych wrażliwych do czasu audytu.
- Monitoring – logowanie wszystkich akcji agenta i alerty na nietypowe API calls.
- Brak marketplace w prod – blokada instalacji z publicznych marketplace na kontach korporacyjnych.
Paralela z rozszerzeniami Chrome i npm
Historia powtarza wzorce znane z Chrome extensions (10M+ installs backdoor) i supply chain npm – zaufanie do marketplace i skanerów automatycznych bez human review prowadzi do incydentów. Ekosystem AI agentów jest jednak młodszy i mniej regulowany – brakuje SBOM dla skills, brakuje signed packages i mature vulnerability disclosure.
Organizacje powinny traktować wdrożenie agentów AI z taką samą surowością jak wdrożenie nowego SaaS z dostępem do danych produkcyjnych: DPIA, vendor assessment, contract clauses o security, right to audit.
Bezpieczne wdrożenie agentów w firmie
W ramach rozwiązań AI projektujemy architektury agentów z warstwą governance: internal skill registry, RBAC na akcje agenta, separacja danych test/prod i integracja z SIEM. Agenci nie powinni mieć write access do systemów krytycznych bez human approval workflow.
Działy IT powinny przeprowadzić inwentaryzację: ilu agentów AI jest w użyciu, jakie skills są zainstalowane, kto je zatwierdził. Shadow AI agents – jak shadow IT – to rosnące ryzyko.
Regulacje AI Act a marketplace skills
EU AI Act wprowadza wymogi przejrzystości i zarządzania ryzykiem dla systemów AI wysokiego ryzyka. Agenci AI z dostępem do danych klientów mogą kwalifikować się do tej kategorii – marketplace skills bez audytu stanowią lukę w compliance. DPO powinien ocenić, czy instalacja zewnętrznego skilla wymaga DPIA i czy vendor marketplace zapewnia wystarczające gwarancje bezpieczeństwa.
Internal AI governance board – z udziałem IT, legal, DPO i biznesu – powinien zatwierdzać każdy skill przed wdrożeniem produkcyjnym, analogicznie do procesu APM dla aplikacji SaaS.
Technical controls dla AI agent marketplace
IT powinno wdrożyć technical controls blokujące instalację skills z publicznych marketplace na kontach firmowych: DLP na endpointach, proxy filtrujące API marketplace, polityki Conditional Access blokujące OAuth do niezatwierdzonych aplikacji AI. Te kontrolki uzupełniają politykę proceduralną – użytkownik nie powinien móc obejść proces zatwierdzenia przez instalację skill na prywatnym koncie połączonym z danymi firmowymi.
Quarterly review zatwierdzonych skills i usunięcie nieużywanych redukuje powierzchnię ataku – analogicznie do quarterly access review w IAM.
Eksperyment AIR pokazuje, że marketplace skanery nie zastępują code review – organizacje powinny wymagać od vendorów skills/open-source agent extensions publicznego repozytorium z historią commitów i signed releases. Brak transparentności kodu to red flag w procesie zatwierdzania.
Przy wdrożeniu agentów AI w customer-facing processes (support, sales) każdy skill wpływający na komunikację z klientem wymaga akceptacji działu prawnego – ryzyko prompt injection w odpowiedziach do klientów to reputacyjne i prawne zagrożenie.
Prowadź rejestr wszystkich agentów AI w organizacji (shadow AI inventory) – analogicznie do CMDB. Bez rejestru eksperyment AIR powtarza się w każdej firmie, która nie wie, ile skills jest faktycznie zainstalowanych.
Podsumowanie
Eksperyment AIR udowadnia lukę supply chain w ekosystemach AI agentów. 26 000 instalacji fałszywego skilla to ostrzeżenie przed masowym wdrożeniem bez governance. Zapraszamy do polityki AI security w ramach rozwiązań AI i usług IT dla firm.
Źródło: The Hacker News – Fake AI Agent Skill Passed Security Scans and Reportedly Reached 26,000 Agents