W lutym 2025 roku Anthropic - firma stojąca za modelem Claude - ogłosiła coś, co powinno zainteresować każdego właściciela firmy w Polsce. Ich nowy projekt o nazwie Glasswing to system AI zdolny do samodzielnego wykrywania luk bezpieczeństwa w oprogramowaniu. I nie mówimy tu o drobnych błędach w niszowych aplikacjach. Model znalazł podatności typu zero-day w każdym dużym systemie operacyjnym - Windows, macOS, Linux - oraz w popularnych przeglądarkach internetowych. Część z tych luk była nieznana nawet ich twórcom.
Dla dużych korporacji z rozbudowanymi działami IT to informacja techniczna, którą przekażą swoim specjalistom. Ale dla polskich małych i średnich firm, gdzie często jedna osoba odpowiada za całe IT (albo nie ma takiej osoby wcale), ta wiadomość ma zupełnie inne znaczenie. Bo jeśli AI potrafi znajdować takie luki, to mogą z niej korzystać zarówno ci, którzy chcą je łatać, jak i ci, którzy chcą je wykorzystywać do ataków.
Przyjrzyjmy się więc konkretnie, co to oznacza dla Twojej firmy, co się zmienia w krajobrazie cyberbezpieczeństwa i jakie kroki warto podjąć już teraz - zanim będzie za późno.
Czym jest projekt Glasswing i dlaczego ma znaczenie
Projekt Glasswing to inicjatywa Anthropic, w ramach której model AI analizuje kod źródłowy i zachowanie systemów operacyjnych, przeglądarek oraz innego oprogramowania w poszukiwaniu luk bezpieczeństwa. To nie jest tradycyjny skaner podatności, który sprawdza znane bazy danych CVE (Common Vulnerabilities and Exposures). Model potrafi odkrywać zupełnie nowe, wcześniej nieznane podatności - tak zwane zero-day.
Żeby oddać skalę tego osiągnięcia: tradycyjnie wykrycie jednej luki zero-day wymaga tygodni lub miesięcy pracy zespołu doświadczonych badaczy bezpieczeństwa. Na czarnym rynku pojedyncza podatność zero-day w systemie Windows potrafi być warta od 100 tysięcy do nawet 2,5 miliona dolarów - w zależności od tego, czego dotyczy. Teraz AI robi to szybciej, taniej i na masową skalę.
Anthropic deklaruje, że wszystkie znalezione podatności zgłasza odpowiedzialnie producentom oprogramowania, zanim informacja trafi do publicznej wiadomości. To tak zwane responsible disclosure i jest to standard w branży. Ale sam fakt, że taka technologia istnieje, zmienia zasady gry. Bo jeśli Anthropic to potrafi, to inne firmy i grupy - w tym te o mniej szlachetnych intencjach - pracują nad czymś podobnym.
Jak to wpływa na polskie małe i średnie firmy
Według raportu CERT Polska za 2024 rok, liczba zgłoszonych incydentów bezpieczeństwa w Polsce rosła rok do roku o ponad 30%. Jednocześnie dane z badania „Cyberbezpieczeństwo polskich firm" przeprowadzonego przez PwC wskazują, że ponad 60% małych i średnich przedsiębiorstw w Polsce nie ma dedykowanego pracownika odpowiedzialnego za bezpieczeństwo IT. To tworzy niebezpieczną lukę - nie w oprogramowaniu, ale w świadomości i przygotowaniu.
Pojawienie się narzędzi AI zdolnych do automatycznego wykrywania podatności ma dla polskich firm dwa wymiary:
- Wymiar pozytywny: Producenci oprogramowania będą szybciej łatać dziury, bo AI pomoże im je znajdować. Aktualizacje bezpieczeństwa powinny pojawiać się częściej i być bardziej precyzyjne. Firmy korzystające z legalnego, regularnie aktualizowanego oprogramowania będą bezpieczniejsze.
- Wymiar negatywny: Grupy przestępcze zyskują nowe narzędzia do znajdowania luk, zanim zostaną one załatane. Okno czasowe między odkryciem podatności a jej wykorzystaniem przez atakujących może się dramatycznie skrócić. Firmy, które zwlekają z aktualizacjami tygodniami lub miesiącami, stają się łatwym celem.
Weźmy konkretny przykład. Mała firma produkcyjna z Wielkopolski używa systemu ERP opartego na Windows Server. Administrator IT przychodzi raz w tygodniu. Aktualizacje systemu są wstrzymywane, bo „ostatnim razem coś się popsuło po aktualizacji". Na komputerach pracowników stoi Windows 10, który w październiku 2025 traci wsparcie Microsoftu. Przeglądarka? Chrome, ale w wersji sprzed trzech miesięcy, bo nikt nie restartuje komputerów.
Taka firma to idealna ofiara. Nie dlatego, że ktoś celowo ją atakuje, ale dlatego, że automatyczne skanery - coraz częściej wspierane przez AI - przeszukują internet w poszukiwaniu podatnych systemów. To jak zostawienie otwartych drzwi w domu przy ruchliwej ulicy. Nikt nie musi wiedzieć, co jest w środku, żeby wejść i sprawdzić.
Co konkretnie możesz zrobić - praktyczna lista działań
Nie musisz być ekspertem od cyberbezpieczeństwa, żeby znacząco podnieść poziom ochrony swojej firmy. Oto konkretne kroki, które możesz wdrożyć w najbliższych tygodniach:
1. Włącz automatyczne aktualizacje wszędzie, gdzie to możliwe. Windows, macOS, przeglądarki, oprogramowanie biurowe - wszystko powinno się aktualizować automatycznie. Tak, czasem aktualizacja coś psuje. Ale ryzyko niezałatanej luki zero-day jest wielokrotnie większe niż ryzyko chwilowej niedogodności po aktualizacji. Jeśli obawiasz się aktualizacji na serwerach produkcyjnych, ustal harmonogram - na przykład aktualizacje w każdy piątek wieczorem z testem w sobotę rano.
2. Zrób inwentaryzację oprogramowania. Brzmi banalnie, ale większość małych firm nie wie, jakie oprogramowanie działa na ich komputerach. Narzędzia takie jak Lansweeper (darmowy do 100 urządzeń) czy nawet prosty arkusz kalkulacyjny pomogą Ci ogarnąć, co masz, w jakiej wersji i czy jest jeszcze wspierane przez producenta.
3. Zaplanuj migrację z Windows 10. Październik 2025 to koniec wsparcia dla Windows 10. Po tej dacie Microsoft nie będzie wydawał łatek bezpieczeństwa. Każda luka znaleziona przez AI (lub człowieka) w Windows 10 po tej dacie pozostanie otwarta na zawsze. Jeśli masz 10 komputerów w firmie, zaplanuj budżet na upgrade do Windows 11 lub rozważ alternatywy.
4. Wdróż uwierzytelnianie wieloskładnikowe (MFA). Nawet jeśli atakujący znajdzie lukę w Twoim systemie, MFA stanowi dodatkową barierę. Microsoft szacuje, że MFA blokuje 99,9% automatycznych ataków na konta. Usługi takie jak Microsoft 365, Google Workspace czy większość systemów bankowych oferują MFA za darmo - wystarczy je włączyć.
5. Rozważ zewnętrzny audyt bezpieczeństwa. Na polskim rynku działa wiele firm oferujących podstawowe testy penetracyjne dla MŚP. Koszt prostego audytu zaczyna się od 3-5 tysięcy złotych, a może ujawnić problemy, o których nie masz pojęcia. To inwestycja, nie koszt - szczególnie biorąc pod uwagę, że średni koszt incydentu bezpieczeństwa dla małej firmy w Europie to według IBM około 150 tysięcy euro.
AI w cyberbezpieczeństwie - broń obosieczna, ale nie powód do paniki
Trzeba uczciwie powiedzieć, że projekt Glasswing i podobne inicjatywy to nie apokalipsa. To raczej przyspieszenie procesu, który trwa od lat. Luki w oprogramowaniu istniały zawsze, badacze bezpieczeństwa zawsze ich szukali, a przestępcy zawsze je wykorzystywali. AI po prostu przyspiesza obie strony tego wyścigu.
Jest jednak istotna różnica. Do tej pory szukanie luk zero-day wymagało głębokiej wiedzy technicznej i dużo czasu. To ograniczało liczbę osób, które mogły to robić - zarówno po stronie obrony, jak i ataku. AI demokratyzuje ten proces. Tak jak ChatGPT sprawił, że pisanie tekstów stało się dostępne dla każdego, tak narzędzia pokroju Glasswing mogą sprawić, że znajdowanie luk bezpieczeństwa stanie się dostępne dla znacznie szerszego grona osób.
Dla polskich firm oznacza to jedno: bierność w kwestii cyberbezpieczeństwa staje się coraz droższa. Nie chodzi o kupowanie najdroższych rozwiązań ani o zatrudnianie armii specjalistów. Chodzi o podstawową higienę cyfrową - aktualizacje, kopie zapasowe, silne hasła, MFA, świadomość pracowników.
Warto też obserwować, jak polskie firmy zajmujące się cyberbezpieczeństwem - takie jak NASK, Exatel czy mniejsze podmioty - zaczynają same wykorzystywać AI do ochrony swoich klientów. Rynek usług bezpieczeństwa opartych na sztucznej inteligencji rośnie w Polsce dynamicznie. Według szacunków firmy analitycznej PMR, polski rynek cyberbezpieczeństwa osiągnie wartość ponad 2,5 miliarda złotych w 2025 roku. Coraz więcej z tych pieniędzy idzie na rozwiązania wykorzystujące uczenie maszynowe do wykrywania anomalii i zagrożeń w czasie rzeczywistym.
Jako konsultant AI widzę też pozytywny trend - coraz więcej właścicieli małych firm w Polsce zaczyna traktować cyberbezpieczeństwo poważnie. Jeszcze dwa lata temu na spotkaniach temat bezpieczeństwa wywoływał wzruszenie ramion. Dziś, po falach ataków ransomware na polskie szpitale, urzędy i firmy, świadomość jest znacznie wyższa. Projekt Glasswing to kolejny sygnał, że ten trend będzie się tylko nasilał.
Podsumowanie - co zapamiętać z tego artykułu
AI w rękach badaczy bezpieczeństwa to dobra wiadomość - luki będą znajdowane i łatane szybciej. Ale ta sama technologia może trafić (i trafi) w ręce osób o złych intencjach. Dla polskiej firmy zatrudniającej 5, 20 czy 100 osób najważniejsze jest to, żeby nie być najsłabszym ogniwem.
Trzy rzeczy do zrobienia jeszcze w tym tygodniu: sprawdź, czy wszystkie systemy w firmie mają włączone automatyczne aktualizacje; włącz uwierzytelnianie wieloskładnikowe na wszystkich kontach firmowych; porozmawiaj z osobą odpowiedzialną za IT (nawet jeśli to Ty sam) o planie migracji z Windows 10.
Cyberbezpieczeństwo to nie jest temat, który można odłożyć na „kiedyś". Szczególnie teraz, gdy AI zmienia tempo gry po obu stronach barykady. Lepiej być przygotowanym o miesiąc za wcześnie niż o jeden dzień za późno.
Źródło: The Verge - Anthropic Project Glasswing Cybersecurity