Współczesne systemy AI, takie jak modele językowe GPT czy generatory obrazów, działają w oparciu o ogromne zbiory danych treningowych i złożone sieci neuronowe. Im więcej danych trafia do tych modeli, tym większe ryzyko, że poufne informacje zostaną przechwycone lub odtworzone. Cyberprzestępcy nie muszą już atakować bezpośrednio infrastruktury IT – coraz częściej wystarczy, że poprzez odpowiednio skonstruowane zapytanie wyciągną z modelu to, czego potrzebują. Z tego powodu bezpieczeństwo AI wymaga nowego podejścia, wykraczającego poza tradycyjne firewalle i antywirusy. Administratorzy muszą dziś rozumieć nie tylko protokoły sieciowe i systemy operacyjne, ale także sposób działania algorytmów uczenia maszynowego. Dopiero taka kompleksowa wiedza pozwala skutecznie chronić organizację przed zagrożeniami ery sztucznej inteligencji.

Interdyscyplinarność bezpieczeństwa AI wynika z faktu, że ataki na systemy uczące się rzadko mają charakter czysto techniczny. Nawet najbardziej zaawansowany model można skutecznie oszukać, wykorzystując wiedzę o tym, jak ludzie postrzegają informację i podejmują decyzje. Studenci psychologii znajdą tu zagadnienia dotyczące heurystyk poznawczych i podatności na manipulację, które w świecie AI nabierają nowego wymiaru. Z kolei przyszli informatycy muszą zrozumieć, że zabezpieczenie systemu to nie tylko kod i algorytmy, ale także analiza ludzkiego zachowania. W praktyce oznacza to, że zespoły ds. bezpieczeństwa coraz częściej zatrudniają psychologów i socjologów obok inżynierów. Taka różnorodność kompetencji pozwala skuteczniej przewidywać wektory ataku i projektować systemy odporne na manipulację.

Architektura transformerów, na której oparte są nowoczesne modele językowe, została wprowadzona w przełomowej publikacji Google z 2017 roku zatytułowanej "Attention Is All You Need". Mechanizm uwagi (attention) pozwala modelowi oceniać, które fragmenty tekstu wejściowego są ze sobą powiązane, niezależnie od odległości między nimi w sekwencji. Dzięki temu LLM potrafią uchwycić kontekst całego zdania, akapitu czy nawet całego dokumentu. Modele te są trenowane na petabajtach tekstu pochodzącego z internetu, książek i innych źródeł, co pochłania ogromne ilości energii obliczeniowej. Proces ten wymaga tysięcy procesorów GPU pracujących przez wiele tygodni, generując przy tym znaczący ślad węglowy. Zrozumienie tych podstaw jest kluczowe dla pojęcia, dlaczego modele AI mają zarówno ogromny potencjał, jak i poważne ograniczenia związane z bezpieczeństwem.

Podstawowa różnica między tradycyjnym bezpieczeństwem IT a bezpieczeństwem AI leży w naturze podatności. W klasycznym systemie podatność to konkretny błąd w kodzie, który można załatać. W systemie AI podatność może być inherentną cechą modelu – na przykład to, że model generuje błędne odpowiedzi, gdy zadaje się mu pytania w specyficzny sposób, nie wynika z błędu programisty, ale ze statystycznej natury algorytmu. Powierzchnia ataku w przypadku AI jest znacznie szersza, ponieważ obejmuje nie tylko infrastrukturę i kod, ale także dane treningowe, proces wnioskowania, a nawet sposób formułowania promptów. Dlatego ochrona systemów AI wymaga nowych metod, takich jak testy czerwonego zespołu (red teaming), monitorowanie promptów i walidacja odpowiedzi. Firmy takie jak OpenAI, Google i Microsoft zatrudniają dziś całe zespoły specjalistów zajmujących się wyłącznie bezpieczeństwem swoich modeli.

Prezentacja została zaprojektowana tak, aby stopniowo budować świadomość zagrożeń – od dobrze znanych problemów cyberbezpieczeństwa po te unikalne dla sztucznej inteligencji. Każdy blok tematyczny zawiera konkretne przykłady z życia wzięte, co ułatwia zrozumienie abstrakcyjnych niekiedy koncepcji. Studenci poznają zarówno perspektywę atakującego, jak i obrońcy, co pozwala spojrzeć na problem z obu stron barykady. W drugiej połowie prezentacji pojawią się praktyczne wskazówki i procedury, które można wdrożyć od razu po zakończeniu kursu. Całość wieńczy zestaw pytań kontrolnych i tematy do dyskusji, które pomagają utrwalić zdobytą wiedzę. Taka struktura sprawdza się zarówno w nauczaniu stacjonarnym, jak i w samodzielnej nauce.

Ataki phishingowe polegają na wysyłaniu fałszywych wiadomości, które wyglądają jak korespondencja z zaufanego źródła – banku, portalu społecznościowego czy firmy kurierskiej. Ofiara klikając w podejrzany link, trafia na stronę łudząco podobną do oryginalnej, gdzie nieświadomie podaje swój login i hasło. Malware, czyli złośliwe oprogramowanie, może przedostać się do komputera przez załącznik e-maila, zainfekowaną stronę internetową lub podłączony pendrive. Socjotechnika natomiast wykorzystuje ludzką psychikę – strach, ciekawość lub chęć pomocy – aby skłonić ofiarę do określonego działania. Według raportów branżowych ponad 90% udanych ataków cybernetycznych zaczyna się właśnie od socjotechniki, a nie od zaawansowanego hakowania. Tradycyjne metody obrony, takie jak blokowanie podejrzanych adresów IP czy skanowanie antywirusowe, przestają wystarczać w momencie gdy treść ataku pisze inteligentna maszyna.

Największą zmianą, jaką wnosi AI do cyberprzestępczości, jest automatyzacja na niespotykaną dotąd skalę. Jeszcze kilka lat temu przygotowanie skutecznej kampanii phishingowej wymagało znajomości języków obcych i umiejętności redakcyjnych. Dziś model językowy w kilka sekund wygeneruje setki wariantów wiadomości, które brzmią naturalnie i nie zawierają charakterystycznych błędów gramatycznych. Co więcej, AI potrafi przeanalizować profile ofiar w mediach społecznościowych i dostosować treść ataku do ich zainteresowań, miejsca pracy czy ostatnich aktywności. Statystyki pokazują, że spersonalizowane ataki mają nawet pięciokrotnie wyższy wskaźnik skuteczności niż masowe rozsyłki. Cyberprzestępcy wykorzystują również AI do automatycznego skanowania sieci w poszukiwaniu luk w zabezpieczeniach, co wcześniej wymagało godzin żmudnej ręcznej pracy. W efekcie granica między atakiem amatorskim a profesjonalnym praktycznie zanikła.

Wczesne ataki phishingowe były łatwe do rozpoznania – zawierały groteskowe błędy ortograficzne, dziwne adresy nadawców i prośby o pomoc dla rzekomych nigeryjskich książąt. Era AI całkowicie zmieniła ten krajobraz, ponieważ modele językowe potrafią dziś naśladować styl konkretnej osoby lub instytucji z niezwykłą precyzją. Ofiara może otrzymać e-mail od swojego bezpośredniego przełożonego, napisany dokładnie takim samym tonem i ze znajomymi zwrotami grzecznościowymi. AI potrafi również analizować historię wcześniejszych rozmów, aby jeszcze lepiej imitować naturalną komunikację. Nowoczesne ataki phishingowe często rozgrywają się w kilku etapach – pierwsza wiadomość ma na celu nawiązanie relacji, a dopiero kolejne zawierają prośbę o podanie danych lub wykonanie przelewu. Rozpoznanie takiego ataku wymaga dziś nie tylko czujności, ale także stosowania dodatkowych procedur weryfikacyjnych, takich jak oddzwonienie na znany numer telefonu.

Modele językowe takie jak ChatGPT czy Claude zostały wytrenowane na ogromnych zbiorach kodu źródłowego, co czyni je niezwykle biegłymi w generowaniu funkcji programistycznych. Ta sama cecha, która pomaga studentom i profesjonalistom w codziennej pracy, może być wykorzystana do tworzenia złośliwego oprogramowania. Producentom modeli AI nie udało się całkowicie zablokować możliwości generowania niebezpiecznego kodu – użytkownicy obchodzą zabezpieczenia poprzez odpowiednie formułowanie zapytań, na przykład maskując złośliwy kod jako część gry fabularnej lub zadania edukacyjnego. W Internecie krążą już przykłady prostych ransomware'ów i keyloggerów napisanych w dużej mierze przez AI. Z perspektywy bezpieczeństwa kluczowe jest to, że AI obniża barierę wejścia – do napisania szkodliwego skryptu nie trzeba już być ekspertem w programowaniu. Odpowiedzialność za etyczne wykorzystanie tych narzędzi spoczywa zarówno na twórcach modeli, którzy muszą ulepszać filtry bezpieczeństwa, jak i na użytkownikach, którzy powinni kierować się zdrowym rozsądkiem.

Podstawową zasadą bezpieczeństwa w kontaktach z publicznymi modelami AI jest świadomość, że każde wpisane przez nas pytanie może zostać wykorzystane do dalszego trenowania systemu. Oznacza to, że poufne dane firmowe, dane osobowe klientów czy tajemnice handlowe mogą przypadkowo trafić do zbioru treningowego modelu. W praktyce zdarzały się już sytuacje, w których użytkownicy otrzymywali w odpowiedziach AI fragmenty danych pochodzących od innych osób, ponieważ model "zapamiętał" je podczas procesu uczenia. Różnica między publicznymi a prywatnymi wersjami modeli jest kluczowa – subskrypcje Enterprise zapewniają gwarancję, że dane nie opuszczą organizacji i nie zostaną użyte do dalszego treningu. Dla zwykłego użytkownika oznacza to konieczność wyrobienia nawyku zastanawiania się przed wysłaniem każdej wiadomości do czatu AI. Wrażliwe informacje, takie jak hasła, numery kart kredytowych czy dane medyczne, nie powinny nigdy trafić do okna dialogowego publicznego modelu.

Incydent w firmie Samsung Electronics z 2023 roku stał się symbolicznym przypadkiem obrazującym zagrożenia związane z niekontrolowanym użyciem AI w korporacjach. Pracownicy działu półprzewodników wkleili do ChatGPT tajny kod źródłowy, aby poprosić o znalezienie błędów i optymalizację. Inny zatrudniony wrzucił do modelu notatki z wewnętrznego, poufnego spotkania, prosząc o ich streszczenie. Wszystkie te dane trafiły na serwery OpenAI i stały się częścią materiału treningowego modelu, co w praktyce oznaczało ich nieodwracalne ujawnienie. Konsekwencje były natychmiastowe – Samsung wprowadził całkowity zakaz używania generatywnej AI w firmie i rozpoczął prace nad własnym, wewnętrznym systemem. Przypadek ten unaocznił, że standardowe szkolenia BHP czy regulaminy pracy nie nadążają za tempem rozwoju technologii. Lekcja dla przyszłych informatyków jest jasna: wdrożenie narzędzi AI w organizacji musi być poprzedzone stworzeniem jasnych procedur bezpieczeństwa i świadomością, gdzie kończy się granica poufności.

Shadow AI to zjawisko polegające na wykorzystywaniu narzędzi sztucznej inteligencji przez pracowników bez wiedzy i zgody działu IT oraz kierownictwa. Najczęściej przybiera ono formę korzystania z darmowych wersji ChatGPT, Claude czy Gemini do analizowania firmowych dokumentów, tworzenia strategii lub przetwarzania danych klientów. Problem polega na tym, że pracownicy kierują się chęcią zwiększenia wydajności swojej pracy, nie zdając sobie sprawy z konsekwencji dla bezpieczeństwa informacji. Każdy dokument wklejony do publicznego modelu trafia do chmury obliczeniowej poza kontrolą firmy, co w świetle przepisów RODO może stanowić naruszenie ochrony danych osobowych. Działy IT stają przed trudnym wyzwaniem – całkowity zakaz korzystania z AI jest trudny do wyegzekwowania i często omijany, a zbyt liberalne podejście naraża firmę na wycieki. Rozwiązaniem jest wdrażanie bezpiecznych, firmowych rozwiązań AI z gwarancją prywatności oraz edukacja pracowników na temat ryzyka związanego z Shadow AI.

Im więcej danych użytkownik dostarcza systemom AI, tym lepsze i bardziej dopasowane otrzymuje odpowiedzi – to podstawowy kompromis, na którym opiera się cała branża sztucznej inteligencji. Systemy personalizujące treści zbierają informacje nie tylko o tym, co bezpośrednio wpisujemy, ale także o naszych zachowaniach, preferencjach zakupowych i wzorcach aktywności. Na podstawie tych danych modele są w stanie wyciągać wnioski, które mogą nas zaskoczyć – na przykład przewidzieć stan zdrowia, orientację polityczną czy poziom dochodów. Z punktu widzenia bezpieczeństwa problem polega na tym, że raz zebranych danych nie da się skutecznie usunąć, a ich nagromadzenie tworzy atrakcyjny cel dla cyberprzestępców. Zasada minimalizacji danych mówi, że powinniśmy udostępniać tylko te informacje, które są niezbędne do realizacji konkretnego zadania. Świadomy użytkownik regularnie przegląda ustawienia prywatności swoich kont i decyduje, które funkcje personalizacji warto włączyć, a które lepiej wyłączyć dla własnego bezpieczeństwa.

Atak typu model inversion polega na takim konstruowaniu zapytań do modelu AI, aby ujawnił on fragmenty danych treningowych, które powinny pozostać anonimowe. Mechanizm działania opiera się na tym, że sieci neuronowe nie tylko uczą się ogólnych wzorców, ale także nieświadomie zapamiętują konkretne przykłady ze zbioru treningowego. W 2022 roku naukowcy udowodnili, że jest w stanie wyodrębnić z modeli językowych prawdziwe adresy e-mail, numery telefonów, a nawet fragmenty dokumentów chronionych prawem autorskim. Szczególnie narażone są modele trenowane na danych medycznych lub finansowych, gdzie pojedynczy rekord może zawierać niezwykle wrażliwe informacje. Obroną przed tym typem ataku jest technika zwana prywatnością różnicową, która polega na celowym dodawaniu do danych treningowych kontrolowanego szumu statystycznego. Dzięki temu model uczy się ogólnych prawidłowości, ale nie jest w stanie odtworzyć konkretnych przykładów z treningu, co znacząco podnosi poziom bezpieczeństwa.

Większość użytkowników akceptuje regulaminy usług AI bez ich czytania, co w przypadku tej technologii może mieć poważne konsekwencje dla prywatności. Kluczowym zapisem, na który należy zwrócić uwagę, jest klauzula dotycząca wykorzystania danych do trenowania modeli – w wielu darmowych wersjach jest ona domyślnie włączona. Proces rezygnacji z takiego wykorzystania danych, czyli tak zwany opt-out, często wymaga ręcznego odznaczenia odpowiedniej opcji w ustawieniach konta. Wersje korporacyjne i płatne zazwyczaj oferują gwarancję, że dane użytkownika nie zostaną użyte do trenowania ani nie trafią do ogólnodostępnych baz. Warto również sprawdzić, jakie prawa do wygenerowanych treści zachowuje sobie dostawca usługi oraz w jaki sposób można zażądać usunięcia swoich danych. Przyszli informatycy powinni wyrobić w sobie nawyk czytania regulaminów, a przynajmniej kluczowych sekcji dotyczących prywatności i własności intelektualnej, zanim zaczną korzystać z nowego narzędzia.

Halucynacje AI nie są błędem w tradycyjnym rozumieniu – nie wynikają z pomyłki programisty, ale z samej natury działania modeli językowych jako maszyn statystycznych. Każde słowo w odpowiedzi jest wybierane na podstawie rachunku prawdopodobieństwa, który określa, które wyrazy najczęściej występują obok siebie w danych treningowych. Model nie ma dostępu do żadnej wewnętrznej bazy faktów, nie przechowuje informacji o prawdziwości zdań i nie odróżnia stwierdzeń prawdziwych od fałszywych. Problem potęguje fakt, że AI jest programowane, aby być pomocną i udzielać odpowiedzi nawet wtedy, gdy nie ma wystarczających danych – woli zmyślić coś przekonującego niż przyznać się do niewiedzy. Zjawisko to nazywane jest "kalibracją pewności" i stanowi jedno z największych wyzwań w projektowaniu systemów AI. Dlatego właśnie każda informacja pochodząca z modelu językowego powinna być traktowana jako sugestia, a nie jako fakt, i bezwzględnie weryfikowana w niezależnych źródłach.

Najbardziej spektakularne przypadki halucynacji AI miały miejsce w środowiskach, gdzie precyzja i rzetelność są absolutnie kluczowe, czyli w prawie i nauce. W 2023 roku amerykański prawnik użył ChatGPT do przygotowania pozwu sądowego, a model wygenerował sześć nieistniejących wyroków sądowych z fikcyjnymi nazwami spraw, datami i cytatami z rzekomych orzeczeń. Sąd nałożył na prawnika i jego kancelarię karę finansową, a sprawa stała się przestrogą dla całej branży prawniczej. Równie niebezpieczne są przypadki halucynacji w literaturze naukowej – AI potrafi wygenerować przekonująco brzmiące abstrakty artykułów, które cytują nieistniejących autorów i badania, których nigdy nie przeprowadzono. Dla studentów piszących prace dyplomowe stanowi to poważne zagrożenie, ponieważ nieświadome wykorzystanie takich fikcyjnych źródeł może skończyć się zarzutem o niedbalstwo naukowe. Nauczenie się krytycznej oceny informacji i umiejętność weryfikacji źródeł to dziś kompetencje równie ważne jak znajomość samej technologii. Zawodowy informatyk musi traktować każde wyjście modelu AI jako punkt wyjścia do dalszych poszukiwań, a nie jako ostateczną odpowiedź.

W kontekście IT halucynacje AI stanowią zagrożenie nie tylko dla poprawności kodu, ale przede wszystkim dla bezpieczeństwa całych systemów informatycznych. Model może zaproponować wykorzystanie biblioteki programistycznej, która nie istnieje w oficjalnych repozytoriach – cyberprzestępcy mogą wówczas stworzyć pakiet o sugerowanej nazwie i umieścić go w publicznym repozytorium, czekając aż nieświadomi programiści go pobiorą. To zjawisko, znane jako dependency confusion, jest coraz częstszym wektorem ataku w łańcuchu dostaw oprogramowania. Kolejnym problemem są błędne konfiguracje serwerów i baz danych generowane przez AI – model może na przykład doradzić otwarcie wszystkich portów firewall lub wyłączenie mechanizmów uwierzytelniania w celu "uproszczenia" architektury. W środowisku profesjonalnym każda linijka kodu wygenerowana przez AI powinna być sprawdzona pod kątem bezpieczeństwa przez doświadczonego programistę. Automatyczne generowanie kodu bez odpowiedniego nadzoru może prowadzić do kumulacji luk bezpieczeństwa, które w tradycyjnym cyklu programistycznym zostałyby wyłapane na wczesnym etapie.

Zasada ograniczonego zaufania powinna być podstawową regułą każdego, kto korzysta z narzędzi sztucznej inteligencji w pracy zawodowej. Oznacza ona, że choć AI może być niezwykle pomocne w generowaniu pomysłów i wstępnych wersji rozwiązań, każda wygenerowana informacja musi zostać samodzielnie zweryfikowana. W przypadku kodu programistycznego oznacza to sprawdzenie w oficjalnej dokumentacji, czy zaproponowana funkcja rzeczywiście działa zgodnie z oczekiwaniami i czy nie wprowadza luk bezpieczeństwa. W przypadku faktów i danych liczbowych należy odszukać oryginalne źródło informacji i potwierdzić ich prawdziwość. Weryfikacja krzyżowa, czyli porównanie odpowiedzi AI z informacjami z kilku niezależnych źródeł, jest najbardziej skuteczną metodą wychwytywania halucynacji. Warto również pamiętać, że odpowiedzialność za końcowy efekt pracy ponosi zawsze człowiek, a nie narzędzie, które mu pomagało. Wyrobienie nawyku systematycznej weryfikacji jest jednym z najważniejszych celów edukacyjnych tego kursu.

Technika grounding, zwana również zakotwiczeniem w faktach, polega na ograniczeniu swobody modelu AI poprzez dostarczenie mu wyselekcjonowanego zestawu dokumentów, z których może czerpać wiedzę. W praktyce oznacza to, że zamiast pozwalać modelowi odpowiadać na podstawie całej swojej wiedzy treningowej, wymuszamy na nim korzystanie wyłącznie z dostarczonych przez nas materiałów. Najpopularniejszą implementacją tej techniki jest RAG, czyli Retrieval-Augmented Generation, która łączy model językowy z bazą danych, z której system pobiera odpowiednie fragmenty przed wygenerowaniem odpowiedzi. Działanie RAG można porównać do sytuacji, w której student ma dostęp do otwartego podręcznika na egzaminie – może znaleźć potrzebne informacje, ale nie musi ich pamiętać z głowy. Google NotebookLM jest doskonałym przykładem narzędzia wykorzystującego grounding – użytkownik przesyła własne dokumenty, a model odpowiada wyłącznie na ich podstawie. Dzięki tej technice ryzyko halucynacji drastycznie maleje, choć nie znika całkowicie, ponieważ model może błędnie zinterpretować nawet prawidłowe źródło.

Technologia deepfake opiera się na zaawansowanych architekturach głębokiego uczenia, w szczególności na Generative Adversarial Networks, czyli sieciach generatywno-przeciwstawnych. W tym podejściu dwie sieci neuronowe – generator i dyskryminator – rywalizują ze sobą, co prowadzi do stopniowej poprawy jakości generowanych obrazów i dźwięków. Nowsze modele dyfuzyjne, takie jak Stable Diffusion czy DALL-E, poszły jeszcze dalej, umożliwiając tworzenie fotorealistycznych obrazów na podstawie opisu tekstowego. Dynamiczny rozwój tych technologii sprawił, że jeszcze kilka lat temu deepfake łatwo było rozpoznać gołym okiem, podczas gdy dziś nawet eksperci mają trudności z odróżnieniem autentycznego nagrania od wygenerowanego. Powstały już narzędzia do generowania deepfake w czasie rzeczywistym podczas rozmów wideo, co otwiera zupełnie nowy rozdział w cyberprzestępczości. Zrozumienie, jak działają te mechanizmy, jest pierwszym krokiem do skutecznej obrony przed manipulacją cyfrową.

Nowoczesne systemy klonowania głosu potrafią wiernie odtworzyć barwę, intonację, akcent i charakterystyczne pauzy w mowie na podstawie zaledwie kilkusekundowej próbki nagrania. Technologia few-shot learning pozwala modelom AI nauczyć się wzorca głosu praktycznie natychmiast, bez potrzeby długotrwałego trenowania na obszernych zbiorach danych. Oszuści pozyskują próbki głosu z publicznie dostępnych nagrań – filmów na YouTube, relacji na Instagramie, TikToków czy podcastów, które często zawierają długie fragmenty wypowiedzi. Przestępcy wykorzystują sklonowane głosy do dzwonienia do ofiar i podszywania się pod członków rodziny lub współpracowników, prosząc o pilny przelew pieniędzy. Skuteczność takich ataków jest wysoka, ponieważ ludzki mózg ewolucyjnie ufa znajomym głosom i nie jest przygotowany na tak zaawansowaną formę oszustwa. Firmy technologiczne pracują nad narzędziami do wykrywania syntetycznego audio, ale na razie najskuteczniejszą obroną pozostaje ustalenie z bliskimi hasła bezpieczeństwa.

Technika podmiany twarzy w filmach wideo, znana jako face swapping, ewoluowała od prymitywnych przeróbek do zaawansowanych animacji, które są praktycznie nie do odróżnienia od oryginału. Algorytmy analizują geometrię twarzy osoby źródłowej i docelowej, a następnie dopasowują mimikę, ruchy gałek ocznych i wyraz twarzy w czasie rzeczywistym. W przemyśle rozrywkowym technologia ta znajduje legalne zastosowanie – na przykład do odmładzania aktorów w filmach lub do dubbingu filmów z idealnie dopasowanym ruchem ust. Niestety, te same narzędzia są wykorzystywane do tworzenia nielegalnych treści, w tym materiałów pornograficznych bez zgody osób, których wizerunek został wykorzystany. W polityce deepfake wideo może posłużyć do tworzenia fałszywych wystąpień publicznych, które siałyby zamęt społeczny lub wpływały na wyniki wyborów. Obecnie najskuteczniejsze metody wykrywania podmiany twarzy opierają się na analizie subtelnych artefaktów – nienaturalnego oświetlenia skóry, niespójności w cieniach czy niewłaściwego odbicia w źrenicach.

Sprawa firmy Arup z Hongkongu stała się głośnym przykładem tego, jak zaawansowana technologia deepfake może zostać wykorzystana do przeprowadzenia spektakularnego oszustwa finansowego. Pracownik działu finansów otrzymał zaproszenie na wideokonferencję, w której uczestniczyli jego przełożeni – dyrektor finansowy, prawnik i kilku innych członków kierownictwa. Podczas rozmowy "dyrektor" wydał polecenie przelania 25 milionów dolarów na konto oszustów, argumentując to koniecznością sfinalizowania tajnej transakcji. Jak się później okazało, wszystkie osoby na ekranie poza oszukanym pracownikiem były wygenerowanymi modelami deepfake, a obrazy i dźwięk były symulowane w czasie rzeczywistym. Oszustwo wyszło na jaw dopiero po kilku dniach, gdy pieniądze były już nie do odzyskania, a sprawa trafiła do międzynarodowego śledztwa. Incydent ten skłonił wiele międzynarodowych korporacji do wprowadzenia procedury wieloetapowej weryfikacji wszystkich przelewów, niezależnie od tego, jak wiarygodna wydaje się prośba. Dla branży IT jest to przestroga, że zabezpieczenia technologiczne muszą iść w parze z procedurami organizacyjnymi i szkoleniami pracowników.

Przypadek menedżera Ferrari, który otrzymał telefon od rzekomego prezesa Benedicta Vigny, pokazuje jak ważne są procedury weryfikacji w organizacjach o wysokim poziomie bezpieczeństwa. Rozmówca doskonale naśladował głos prezesa, łącznie z charakterystycznym południowowłoskim akcentem i specyficznym tempem mówienia, co wzbudziło pełne zaufanie menedżera. Prośba dotyczyła pilnego sfinalizowania tajnej akwizycji, co wymagało natychmiastowego autoryzowania dużego przelewu. Kluczowym momentem było zadanie przez menedżera pytania kontrolnego o ostatnio polecaną książkę – była to informacja znana tylko prawdziwemu prezesowi i jego podwładnemu. Oszust nie potrafił udzielić poprawnej odpowiedzi, co uratowało firmę przed stratami finansowymi. To zdarzenie doskonale ilustruje, że w dobie zaawansowanych deepfake technologiczne zabezpieczenia nie wystarczą – równie ważne są proste, analogowe metody weryfikacji. Wprowadzenie haseł bezpieczeństwa i pytań kontrolnych do firmowych procedur może okazać się najskuteczniejszą inwestycją w cyberbezpieczeństwo.

Mimo imponującego postępu technologicznego, generowane przez AI materiały wciąż zawierają subtelne niedoskonałości, które mogą zdradzić ich sztuczne pochodzenie przy dokładnej analizie. Specjaliści od cyfrowej kryminalistyki zwracają uwagę na nieregularności w mruganiu – modele AI często nie potrafią wiernie oddać naturalnego rytmu i częstotliwości mrugania powiek. Kolejnym sygnałem ostrzegawczym są niedoskonałości wokół ust: rozmazane krawędzie, brak synchronizacji między ruchem warg a dźwiękiem lub nienaturalnie wyglądające zęby. Tło w deepfake często zawiera artefakty wizualne – migoczące piksele, zniekształcone linie proste lub obszary, które nagle tracą ostrość przy ruchach głowy. Profesjonalne narzędzia do wykrywania deepfake analizują te cechy automatycznie, porównując materiał z bazą znanych wzorców fałszerstw. Dla zwykłego użytkownika najważniejszą zasadą pozostaje zachowanie zdrowego sceptycyzmu wobec materiałów, które wydają się podejrzane, zwłaszcza gdy dotyczą ważnych spraw finansowych lub politycznych.

Koncepcja "dywidendy kłamcy", opisana przez amerykańskich badaczy Bobby'ego Chesneya i Danielle Citron, opisuje zjawisko, w którym powszechność deepfake paradoksalnie chroni osoby mówiące nieprawdę. Gdy każdy materiał wideo może zostać zdyskredytowany jako potencjalny falsyfikat, politycy i osoby publiczne mogą kwestionować autentyczność nawet prawdziwych nagrań obciążających ich winą. Długoterminowym skutkiem społecznym jest erozja zaufania do wszelkich przekazów medialnych, co prowadzi do zjawiska zwanego "paraliżem informacyjnym". Obywatele przestają wierzyć w jakiekolwiek informacje, co czyni ich podatnymi na dezinformację i manipulację ze strony grup interesu. Dla demokracji stanowi to poważne zagrożenie, ponieważ system polityczny opiera się na zdolności społeczeństwa do odróżniania prawdy od fałszu. Psychologowie ostrzegają, że długotrwałe obcowanie z deepfake może prowadzić do chronicznego poczucia niepewności i lęku przed manipulacją. Edukacja medialna i rozwijanie krytycznego myślenia są najskuteczniejszymi narzędziami do walki z tym negatywnym zjawiskiem.

Sztuczna inteligencja zrewolucjonizowała produkcję dezinformacji, umożliwiając tworzenie wiarygodnych artykułów na dowolny temat w ciągu kilku sekund, bez udziału człowieka. W przeciwieństwie do tradycyjnych fabryk trolli, które wymagały zatrudnienia dziesiątek osób do pisania fałszywych treści, jeden operator AI może wygenerować tysiące artykułów dziennie w kilkunastu językach. Modele językowe potrafią imitować styl renomowanych redakcji, takich jak Reuters, BBC czy "The New York Times", przez co odbiorcy mają trudności z odróżnieniem prawdziwych wiadomości od fikcyjnych. Zaawansowane systemy dezinformacyjne wykorzystują mikrotargetowanie – każda grupa odbiorców otrzymuje treści dostosowane do swoich przekonań, obaw i uprzedzeń, co zwiększa skuteczność manipulacji. Badania pokazują, że fałszywe informacje rozprzestrzeniają się w mediach społecznościowych nawet sześciokrotnie szybciej niż prawdziwe wiadomości. Walka z dezinformacją wymaga dziś połączenia automatycznych narzędzi wykrywających treści generowane przez AI z edukacją społeczeństwa w zakresie krytycznej oceny źródeł informacji.

Inżynieria społeczna, czyli sztuka manipulowania ludźmi w celu zdobycia poufnych informacji lub dostępu do systemów, zyskała w erze AI potężne narzędzie do profilowania ofiar. Współczesne modele AI potrafią przeszukiwać media społecznościowe danej osoby i w ciągu kilku minut stworzyć szczegółowy profil psychologiczny, uwzględniający zainteresowania, słabości i codzienne nawyki. Atakujący może wykorzystać te informacje do nawiązania rozmowy, która będzie brzmiała naturalnie i wiarygodnie, ponieważ AI zasugeruje odpowiednie tematy, zwroty i argumenty. Szczególnie niebezpieczna jest zdolność AI do prowadzenia długotrwałych kampanii socjotechnicznych – model może utrzymywać rozmowę przez tygodnie, stopniowo zdobywając zaufanie ofiary, zanim poprosi o wrażliwe dane. W środowisku zawodowym ataki te często przybierają formę podszywania się pod współpracowników lub dostawców usług IT. Obrona przed socjotechniką 2.0 wymaga nie tylko szkoleń z zakresu cyberhigieny, ale także wdrożenia procedur weryfikacji tożsamości w komunikacji wewnętrznej firm.

Wpływ sztucznej inteligencji na procesy demokratyczne stał się jednym z najpilniejszych wyzwań dla współczesnych państw, zwłaszcza w roku 2024, gdy w wielu krajach odbywały się kluczowe wybory. Automatyczne systemy telefoniczne z syntezą głosu, znane jako robocalls, były wykorzystywane do zniechęcania wyborców do udziału w głosowaniu poprzez fałszywe informacje o godzinach otwarcia lokali wyborczych. Technika mikrotargetowania reklam politycznych osiągnęła nowy poziom – dzięki AI każdy wyborca może otrzymać spersonalizowaną reklamę z obietnicami, które są sprzeczne z obietnicami przekazanymi innym grupom. Największym zagrożeniem są jednak deepfake publikowane w przededniu wyborów, które przedstawiają kandydatów w kompromitujących sytuacjach, bez możliwości skutecznego sprostowania w krótkim czasie przed głosowaniem. W odpowiedzi na te zagrożenia wiele krajów wprowadza regulacje wymagające oznaczania treści wygenerowanych przez AI w kampaniach wyborczych. Świadomi obywatele powinni podchodzić ze szczególną ostrożnością do treści politycznych w okresie przedwyborczym i weryfikować ich źródła w oficjalnych kanałach informacyjnych.

Prompt Injection jest uważany za najpoważniejsze zagrożenie dla aplikacji opartych na dużych modelach językowych i można go porównać do klasycznego ataku SQL Injection w tradycyjnych bazach danych. Atak polega na przesłaniu modelowi tak sformułowanego polecenia, które nadpisuje lub omija jego wbudowane zabezpieczenia i instrukcje systemowe. W przypadku aplikacji czatowej obsługującej klientów banku, atakujący może wpisać komendę, która zmusi model do ujawnienia danych innych klientów lub wykonania nieautoryzowanych operacji. Rozróżniamy dwa główne typy tego ataku: bezpośredni, gdy użytkownik sam wpisuje złośliwe polecenie, oraz pośredni, gdy złośliwa treść pochodzi z zewnętrznego źródła przetwarzanego przez model. Skuteczna obrona przed Prompt Injection wymaga wielowarstwowego podejścia – od starannie zaprojektowanych instrukcji systemowych, przez filtrowanie wejścia i wyjścia, po regularne testy penetracyjne. Dla przyszłych programistów zrozumienie tego zagrożenia jest kluczowe, ponieważ modele AI będą coraz częściej integrowane z systemami korporacyjnymi i aplikacjami konsumenckimi.

Pośrednie wstrzykiwanie promptów to szczególnie podstępna odmiana ataku, w której złośliwe polecenia nie pochodzą od użytkownika, ale z treści pobieranych przez model z internetu lub innych zewnętrznych źródeł. Typowy scenariusz ataku polega na umieszczeniu na stronie internetowej tekstu napisanego białą czcionką na białym tle – niewidocznego dla człowieka, ale odczytywanego przez AI podczas indeksowania strony. Gdy model przetwarza taką stronę, ukryty tekst może nakazać mu na przykład wygenerowanie fałszywej informacji lub próbę wyłudzenia danych od użytkownika. Szczególnie narażone są systemy AI korzystające z technologii RAG, które pobierają dokumenty z sieci lub wewnętrznych repozytoriów – wystarczy, że jeden zainfekowany dokument trafi do bazy, a model zacznie generować niebezpieczne odpowiedzi. Obrona przed tym typem ataku wymaga starannej sanitacji wszystkich danych wejściowych i ograniczenia modelowi dostępu do niezaufanych źródeł. Zrozumienie mechanizmu pośredniego wstrzykiwania jest ważne także dla zwykłych użytkowników, którzy mogą nieświadomie paść ofiarą ataku poprzez kliknięcie w złośliwy link w rozmowie z chatbotem.

Jailbreaking modeli AI to zbiór technik służących do omijania wbudowanych filtrów bezpieczeństwa i etycznych ograniczeń, które producenci implementują w swoich systemach. Producenci modeli, tacy jak OpenAI, Google i Anthropic, inwestują ogromne środki w zabezpieczanie swoich modeli przed generowaniem szkodliwych treści, ale atakujący nieustannie znajdują nowe sposoby na ich obejście. Popularną techniką jest tworzenie złożonych scenariuszy fabularnych, w których model ma odgrywać rolę postaci pozbawionej ograniczeń etycznych, jak na przykład "dziadek były haker opowiadający historie na dobranoc". Inne metody wykorzystują kodowanie, języki obce lub wieloetapowe instrukcje, które stopniowo prowadzą model do złamania zasad. Między twórcami modeli a społecznością jailbreakerów toczy się nieustanna gra w kotka i myszkę – każde załatanie jednej luki powoduje pojawienie się kilku nowych metod ataku. Dla studentów kierunków informatycznych ważne jest zrozumienie, że znane techniki jailbreakowania są publikowane w celach edukacyjnych i służą doskonaleniu zabezpieczeń. Odpowiedzialne ujawnianie luk w zabezpieczeniach, zgodne z zasadami responsible disclosure, pozwala producentom na łatanie dziur, zanim zostaną wykorzystane przez prawdziwych przestępców.

Data poisoning, czyli zatruwanie danych treningowych, to długofalowy atak polegający na celowym wprowadzaniu do zbiorów treningowych zmanipulowanych lub błędnych przykładów. Proces uczenia modeli AI opiera się na gigantycznych ilościach danych pobieranych z internetu, co czyni go podatnym na tego typu manipulacje. Atakujący może na przykład wygenerować tysiące obrazków ze znakiem STOP, na których celowo umieszczono dodatkowe naklejki – model nauczy się wówczas ignorować rzeczywiste znaki, co w autonomicznym pojeździe może prowadzić do tragicznych wypadków. W przypadku modeli językowych data poisoning może służyć do wprowadzenia systematycznych uprzedzeń – na przykład sprawienia, by model częściej negatywnie oceniał kandydatów z określonych grup społecznych. Wykrycie takiego ataku jest niezwykle trudne, ponieważ skutki ujawniają się dopiero po długim czasie, gdy model został już wdrożony do produkcji. Zabezpieczenie się przed data poisoning wymaga starannej weryfikacji źródeł danych treningowych oraz stosowania technik odpornych na zanieczyszczone dane, takich jak uczenie kontrastowe.

Organizacja OWASP, znana w środowisku bezpieczeństwa IT z listy najpoważniejszych zagrożeń dla aplikacji webowych, opracowała analogiczną klasyfikację dla systemów opartych na dużych modelach językowych. Na pierwszym miejscu listy znajduje się Prompt Injection, który jest uznawany za najpowszechniejszy i najgroźniejszy atak na aplikacje LLM. Kolejne pozycje to między innymi niebezpieczne wyjście modelu, czyli sytuacja, w której wygenerowana treść zawiera złośliwy kod lub nieodpowiednie dla użytkownika informacje. Zatruwanie danych treningowych znalazło się na trzecim miejscu, co podkreśla wagę problemu zanieczyszczonych zbiorów danych. Lista obejmuje także ataki typu Denial of Service, polegające na celowym przeciążeniu modelu zbyt dużą liczbą zapytań, oraz problemy związane z kradzieżą modelu poprzez analizę jego odpowiedzi. Dla programistów tworzących aplikacje z wykorzystaniem AI znajomość listy OWASP Top 10 for LLM jest absolutnie niezbędna, podobnie jak tradycyjna lista OWASP Top 10 dla aplikacji webowych. Regularne zapoznawanie się z aktualizacjami tej listy pomaga śledzić ewolucję zagrożeń i dostosowywać do nich strategie obronne.

Choć AI kojarzy się głównie z cyberprzestrzenią, jej wpływ na bezpieczeństwo fizyczne jest równie istotny i w praktyce może mieć jeszcze poważniejsze konsekwencje. Przykładem są ataki ewazyjne na systemy rozpoznawania obrazu – wystarczy naklejenie na znaku drogowym kilku specjalnie dobranych naklejek, aby autonomiczny samochód zinterpretował znak STOP jako ograniczenie prędkości. Podobne techniki mogą być wykorzystane do oszukania systemów biometrycznych w lotniskach lub budynkach rządowych, gdzie specjalnie zaprojektowane okulary lub makijaż mogą zmylić kamerę rozpoznającą twarze. W przemyśle ataki na modele AI sterujące robotami mogą prowadzić do fizycznych uszkodzeń maszyn lub zagrożenia dla pracowników znajdujących się w ich pobliżu. Naukowcy udowodnili, że dodanie do obrazu niewidocznych dla człowieka zakłóceń, tak zwanych perturbacji, może sprawić, że system wizyjny całkowicie błędnie zinterpretuje otoczenie. Zabezpieczenie systemów AI w świecie fizycznym wymaga nie tylko testów w środowisku cyfrowym, ale także w rzeczywistych warunkach, z uwzględnieniem wszystkich możliwych scenariuszy ataku. Dla inżynierów projektujących systemy autonomiczne zrozumienie tych zagrożeń jest kwestią odpowiedzialności za bezpieczeństwo ludzkiego życia.

Etyka w sztucznej inteligencji nie jest abstrakcyjną dyscypliną filozoficzną, ale praktycznym narzędziem budowania bezpieczniejszych systemów, które służą ludziom. Modele AI uczą się na danych, które często zawierają historyczne uprzedzenia i stereotypy, co może prowadzić do dyskryminacji określonych grup społecznych przez systemy rekrutacyjne, kredytowe czy sądownicze. Pytanie o odpowiedzialność za błędy AI jest jednym z najtrudniejszych wyzwań prawnych naszych czasów – czy winny jest programista, firma wdrażająca, czy może sam model, który podjął autonomiczną decyzję? Unijne rozporządzenie AI Act wprowadza obowiązek przeprowadzania oceny wpływu na prawa podstawowe dla systemów wysokiego ryzyka, co wymusza na twórcach myślenie o etyce już na etapie projektowania. Z perspektywy użytkownika etyczne AI to takie, które jest przejrzyste, sprawiedliwe i podlega kontroli człowieka. Dla przyszłych informatyków oznacza to, że obok umiejętności technicznych muszą rozwijać także kompetencje etyczne i zdolność przewidywania społecznych skutków swoich projektów.

Unijny Akt o Sztucznej Inteligencji, przyjęty w 2024 roku, jest pierwszym na świecie kompleksowym aktem prawnym regulującym cały sektor AI, wyznaczającym standardy dla innych krajów. Kluczowym elementem rozporządzenia jest podział systemów AI na cztery kategorie ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne, z których każda nakłada inne obowiązki na dostawców i wdrożeniowców. Kategoria ryzyka niedopuszczalnego obejmuje praktyki całkowicie zakazane w UE, takie jak systemy społecznego scoringu, czyli oceniania obywateli na podstawie ich zachowania. Systemy wysokiego ryzyka, na przykład AI stosowane w medycynie, rekrutacji czy egzekwowaniu prawa, podlegają surowym wymogom dotyczącym przejrzystości, nadzoru człowieka i dokumentacji technicznej. Dla firm działających w Europie oznacza to konieczność dostosowania swoich procesów do nowych regulacji, co wiąże się z kosztami, ale także buduje zaufanie klientów. Warto podkreślić, że AI Act dotyczy nie tylko europejskich firm – każde przedsiębiorstwo spoza UE, które oferuje usługi AI na rynku europejskim, musi spełniać te same wymagania.

Choć ta prezentacja koncentruje się głównie na zagrożeniach, warto pamiętać, że AI jest również potężnym narzędziem w rękach cyberobrońców, umożliwiającym ochronę na niespotykanym dotąd poziomie. Systemy wykrywania anomalii oparte na uczeniu maszynowym potrafią analizować ruch sieciowy w czasie rzeczywistym i identyfikować podejrzane wzorce zachowań, które umknęłyby tradycyjnym systemom sygnaturowym. W przypadku wykrycia ataku inteligentne systemy bezpieczeństwa mogą automatycznie izolować zainfekowane urządzenia, blokować podejrzane adresy IP i uruchamiać procedury naprawcze, wszystko w ciągu milisekund, zanim człowiek zdążyłby zareagować. AI wspomaga również analityków bezpieczeństwa w przetwarzaniu ogromnych ilości danych z logów systemowych, wskazując obszary wymagające uwagi i redukując liczbę fałszywych alarmów. W obszarze analizy zagrożeń modele językowe pomagają w monitorowaniu darknetu i forów hakerskich, ostrzegając przed nowymi rodzajami ataków. Dla przyszłych specjalistów ds. bezpieczeństwa umiejętność wykorzystania AI w obronie będzie tak samo ważna jak znajomość tradycyjnych narzędzi zabezpieczających.

Po przejściu przez wszystkie kategorie zagrożeń warto zatrzymać się na chwilę i spojrzeć na nie z lotu ptaka, aby dostrzec wzajemne powiązania między poszczególnymi obszarami. Tradycyjne zagrożenia, takie jak phishing i malware, nie zniknęły – zostały jedynie wzmocnione przez AI, która uczyniła je bardziej skutecznymi i trudniejszymi do wykrycia. Problemy prywatności i wycieki danych wynikają z tej samej przyczyny: nieświadomości użytkowników, którzy traktują modele AI jak zwykłe wyszukiwarki, a nie jak systemy zapamiętujące wszystko, co do nich trafi. Halucynacje i deepfake łączy wspólny mianownik – erozja zaufania do informacji, która w przypadku halucynacji dotyczy treści pisanych, a w przypadku deepfake obrazu i dźwięku. Ataki techniczne na modele, od prompt injection po data poisoning, pokazują, że systemy AI mają unikalne podatności, których nie da się załatać tradycyjnymi poprawkami bezpieczeństwa. Łącznym wnioskiem jest konieczność zmiany sposobu myślenia o cyberbezpieczeństwie – nie wystarczy ochrona infrastruktury, trzeba chronić także dane, procesy poznawcze i zaufanie społeczne.

W obliczu zaawansowanych deepfake audio i wideo tradycyjne metody polegające na rozpoznawaniu głosu czy wyglądu rozmówcy przestają być wystarczające jako jedyne kryterium autentyczności. Podstawową zasadą weryfikacji tożsamości w erze AI jest korzystanie z wielu niezależnych kanałów komunikacji – prośba o przelew otrzymana na WhatsAppie powinna być potwierdzona tradycyjnym telefonem lub spotkaniem osobistym. Pytania kontrolne, znane tylko rozmówcom, stanowią skuteczną barierę, ponieważ model AI nie ma dostępu do wspomnień i prywatnych szczegółów z życia danej osoby. W środowisku korporacyjnym warto wdrożyć procedurę, w której każde polecenie finansowe powyżej określonej kwoty wymaga zatwierdzenia przez dwie różne osoby przy użyciu różnych kanałów komunikacji. Technologia biometryczna, choć bardzo pomocna, również nie jest nieomylna – odcisk palca można podrobić, a głos sklonować, dlatego biometria powinna być zawsze elementem uwierzytelniania wieloskładnikowego. Najważniejszym elementem każdego systemu weryfikacji pozostaje człowiek i jego zdrowy rozsądek, który pozwala wyczuć, że coś w rozmowie jest nie tak.

Wieloskładnikowe uwierzytelnianie, znane jako MFA, stało się absolutnym standardem bezpieczeństwa w erze AI, ponieważ samo hasło, nawet bardzo skomplikowane, nie stanowi już wystarczającej ochrony. Modele AI potrafią przeprowadzać ataki siłowe na hasła z prędkością milionów kombinacji na sekundę, a także analizować wzorce ludzkiego tworzenia haseł, aby przewidywać najczęściej używane frazy. Najbezpieczniejszą formą MFA są klucze sprzętowe, takie jak YubiKey, które wykorzystują protokoły FIDO2 i WebAuthn – są one odporne na phishing, ponieważ nie wymagają wpisywania żadnego kodu, który mógłby zostać przechwycony. Aplikacje autoryzujące na smartfonie, generujące jednorazowe kody, są lepsze niż wiadomości SMS, ale wciąż podatne na niektóre formy ataku socjotechnicznego. Coraz większą popularność zyskują bezhasłowe systemy logowania, które eliminują hasło całkowicie i opierają się wyłącznie na kluczach kryptograficznych i biometrii urządzenia. Dla przyszłych informatyków wdrażanie MFA w projektowanych systemach powinno być standardem, a nie dodatkową opcją – koszt implementacji jest niewielki w porównaniu ze stratami, jakie może przynieść udany atak na konto użytkownika.

Korzystanie z lokalnych modeli AI, które działają w całości na komputerze użytkownika bez połączenia z internetem, stanowi najskuteczniejsze rozwiązanie problemu prywatności danych. Narzędzia takie jak Ollama, LM Studio czy GPT4All umożliwiają pobranie i uruchomienie modeli o różnej wielkości, od lekkich wersji po zaawansowane modele z miliardami parametrów. Zaletą tego rozwiązania jest całkowita kontrola nad danymi – ani jedno pytanie, ani jeden dokument nie opuszczają dysku użytkownika, co eliminuje ryzyko wycieku do chmury obliczeniowej. Wadą pozostają wymagania sprzętowe – płynna praca z dużymi modelami wymaga karty graficznej z co najmniej 8 GB pamięci VRAM oraz odpowiednio dużej ilości pamięci RAM. Lokalne modele są szczególnie polecane do pracy z wrażliwymi danymi, takimi jak dokumenty firmowe, dane medyczne czy materiały objęte tajemnicą zawodową. Dla studentów informatycznych uruchomienie własnego modelu lokalnie jest doskonałym ćwiczeniem praktycznym, które pozwala zrozumieć, jak działają te systemy od środka. Wraz z postępem technologicznym i optymalizacją modeli lokalne AI będzie stawać się coraz bardziej dostępne dla przeciętnego użytkownika.

Projektowanie bezpiecznego system promptu, czyli zestawu ukrytych instrukcji, które definiują zachowanie modelu AI, jest kluczowym elementem obrony przed wieloma rodzajami ataków. Dobrze napisany system prompt powinien jasno określać granice działania modelu, wymieniać tematy, których nie wolno poruszać, oraz precyzować sposób reagowania na próby manipulacji. W praktyce oznacza to na przykład instrukcję: "Jesteś asystentem bankowym i pod żadnym pozorem nie ujawniasz haseł, numerów kont ani danych innych klientów". Niestety, samo dodanie instrukcji systemowej nie wystarczy – ataki jailbreak i prompt injection są coraz bardziej wyrafinowane i potrafią ominąć nawet starannie zaprojektowane zabezpieczenia. Dlatego konieczne jest stosowanie wielowarstwowej obrony: filtr wejściowy usuwa podejrzane frazy z zapytań użytkownika, a filtr wyjściowy sprawdza odpowiedzi modelu przed wysłaniem ich do użytkownika. Dla programistów tworzących aplikacje z AI kluczowe jest regularne testowanie odporności system promptów i aktualizowanie ich w odpowiedzi na nowe techniki ataków, ponieważ żaden system prompt nie jest w stanie zapewnić absolutnej ochrony.

Red teaming w kontekście AI to proces systematycznego testowania bezpieczeństwa modelu poprzez podejmowanie świadomych prób jego oszukania, złamania zabezpieczeń lub wydobycia poufnych informacji. W przeciwieństwie do tradycyjnych testów penetracyjnych, które koncentrują się na infrastrukturze IT, red teaming dla AI obejmuje również ataki na warstwę semantyczną i poznawczą modelu. Specjaliści od red teamingu stosują te same techniki co prawdziwi cyberprzestępcy – prompt injection, jailbreaking, próby wyciągnięcia danych treningowych – ale robią to w kontrolowanych warunkach i z celem ujawnienia luk producentowi. Coraz popularniejsze staje się zautomatyzowane red teaming, w którym jeden model AI atakuje drugi, generując tysiące różnych wariantów zapytań testujących granice bezpieczeństwa. Wyniki takich testów pozwalają producentom na łatanie luk, zanim zostaną one odkryte i wykorzystane w rzeczywistych atakach. Dla firm wdrażających systemy AI regularne przeprowadzanie red teamingu powinno być stałym elementem procesu utrzymania bezpieczeństwa. Z perspektywy edukacyjnej dla studentów informatyki uczestnictwo w sesjach red teamingu to bezcenne doświadczenie, które uczy myślenia jak atakujący, a to kluczowa umiejętność w budowaniu skutecznych zabezpieczeń.

W profesjonalnych środowiskach korporacyjnych każda interakcja między użytkownikiem a modelem AI powinna być rejestrowana w przejrzysty i bezpieczny sposób, aby umożliwić późniejszą analizę ewentualnych incydentów. Systemy monitorowania AI zapisują nie tylko treść zapytań i odpowiedzi, ale także metadane, takie jak znacznik czasu, identyfikator użytkownika i wersja modelu, co pozwala na dokładne odtworzenie sekwencji zdarzeń. Algorytmy wykrywania anomalii analizują te logi w czasie rzeczywistym, szukając wzorców wskazujących na potencjalny atak – na przykład nagłego wzrostu liczby zapytań o poufne dane z jednego konta. Regularne audyty systemów AI polegają na przeglądzie logów, ocenie skuteczności filtrów bezpieczeństwa i weryfikacji, czy model nie zaczął generować odpowiedzi odbiegających od zamierzonego zakresu. W kontekście zgodności z RODO i AI Act odpowiednie logowanie i audyt nie są już opcją, ale prawnym wymogiem, którego niespełnienie grozi wysokimi karami finansowymi. Dla przyszłych administratorów systemów AI umiejętność konfiguracji narzędzi monitorujących i interpretacji ich wyników będzie równie ważna jak zarządzanie tradycyjną infrastrukturą IT.

Świadomość zagrożeń związanych z AI, nazywana AI literacy, jest dziś kompetencją równie ważną jak umiejętność obsługi komputera czy korzystania z internetu, a jej brak stanowi największe ryzyko bezpieczeństwa. Badania pokazują, że większość użytkowników nie wie, że ich dane mogą być wykorzystywane do trenowania modeli, ani że głos w słuchawce może być syntetyczny. Jako przyszli informatycy macie wyjątkową pozycję ambasadorów bezpieczeństwa – to Wy będziecie pierwszymi osobami, do których rodzina i znajomi zwrócą się z pytaniami o nowe technologie. Organizowanie nieformalnych szkoleń, dzielenie się wiedzą na uczelni i w pracy oraz promowanie dobrych praktyk to realny wkład w podniesienie poziomu cyberbezpieczeństwa w społeczeństwie. W wielu firmach powstają już dedykowane programy szkoleniowe z zakresu bezpiecznej pracy z AI, które stają się elementem obowiązkowego onboardingu nowych pracowników. Pamiętajcie, że świadomy użytkownik to najskuteczniejsza zapora przed socjotechniką – osoba, która wie, że deepfake istnieje, jest o wiele mniej podatna na oszustwo niż ta, która nigdy o nim nie słyszała.

Jedną z najprostszych, a zarazem najskuteczniejszych metod obrony przed deepfake audio jest wprowadzenie w rodzinie lub zespole tajnego hasła, które służy do weryfikacji tożsamości w sytuacjach awaryjnych. Mechanizm działania jest niezwykle prosty: umawiacie się z najbliższymi, że w przypadku telefonicznej prośby o pieniądze lub pilną pomoc, osoba dzwoniąca musi podać wcześniej ustalone hasło. Hasło powinno być łatwe do zapamiętania, ale trudne do odgadnięcia – najlepiej nawiązujące do wspólnych wspomnień lub wewnętrznych żartów rodzinnych. Skuteczność tej metody wynika z faktu, że model AI nie ma dostępu do prywatnych, rodzinnych historii i nie jest w stanie wygenerować poprawnej odpowiedzi na pytanie o szczegół znany tylko wąskiemu gronu. W środowisku korporacyjnym analogiczne rozwiązanie sprawdza się równie dobrze – kluczowe informacje firmowe lub wspomnienia ze wspólnych wydarzeń mogą służyć jako pytania weryfikacyjne. Ta analogowa, niskotechnologiczna metoda obrony jest odporna na wszelkie zaawansowane techniki AI, ponieważ opiera się na wiedzy wykraczającej poza dane dostępne w internecie. Warto wprowadzić tę praktykę w swoim otoczeniu jeszcze dzisiaj – kosztuje to minutę rozmowy, a może uchronić przed utratą oszczędności całego życia.

Technologia znakowania wodnego treści generowanych przez AI, znana jako watermarking, ma na celu umożliwienie odróżnienia materiałów stworzonych przez człowieka od tych wyprodukowanych przez algorytmy. Działanie znaczników wodnych opiera się na wprowadzaniu do obrazów, dźwięków lub tekstów subtelnych modyfikacji, które są niewidoczne dla ludzkiego oka, ale wykrywalne przez dedykowane narzędzia programowe. Google DeepMind opracowało technologię SynthID, która dodaje do obrazów generowanych przez AI cyfrowy znacznik, odporny na przycinanie, zmianę rozmiaru czy kompresję pliku. W przypadku tekstów sprawa jest trudniejsza, ponieważ modyfikacja pojedynczych słów może zmienić znaczenie zdania, a parafraza może całkowicie usunąć znacznik. Mimo postępu technologicznego watermarking nie jest rozwiązaniem doskonałym – zdeterminowani atakujący mogą próbować usuwać znaczniki lub generować treści tak, aby ich nie zawierały. Unia Europejska w ramach AI Act rozważa wprowadzenie obowiązkowego znakowania treści generowanych przez AI, co byłoby pierwszym tego typu uregulowaniem na świecie. Dla przeciętnego użytkownika narzędzia do weryfikacji autentyczności treści będą stawać się coraz bardziej dostępne, ale na razie najważniejszy pozostaje zdrowy sceptycyzm.

Cyberprzestępczość z wykorzystaniem AI nie uznaje granic państwowych, dlatego skuteczna walka z nią wymaga ścisłej współpracy między krajami, organizacjami międzynarodowymi i firmami technologicznymi. Kluczową rolę w tej współpracy odgrywają zespoły CERT (Computer Emergency Response Team) i CSIRT (Computer Security Incident Response Team), które na co dzień wymieniają się informacjami o nowo wykrytych zagrożeniach. Gdy w jednym kraju zostanie odkryty nowy typ ataku z wykorzystaniem AI, informacja o nim musi trafić do wszystkich pozostałych krajów w ciągu kilku minut, aby umożliwić szybką reakcję obronną. Wspólne ćwiczenia cyberbezpieczeństwa, takie jak organizowane przez NATO czy Unię Europejską, pozwalają testować gotowość państw do reagowania na skoordynowane ataki z użyciem AI. Międzynarodowe porozumienia dotyczące standardów bezpieczeństwa AI, na przykład w ramach OECD czy G7, mają na celu ujednolicenie przepisów i procedur, co utrudnia przestępcom wykorzystywanie różnic prawnych między krajami. Dla przyszłych informatyków zrozumienie międzynarodowego wymiaru cyberbezpieczeństwa jest ważne, ponieważ wiele systemów, które będą projektować, będzie działać w skali globalnej i będzie podlegać regulacjom różnych jurysdykcji.

Wizja przyszłości, w której złośliwe AI walczy z obronnym AI w czasie rzeczywistym, z szybkością i złożonością wykraczającą poza możliwości ludzkiego mózgu, staje się coraz bardziej realna. W tym scenariuszu cyberatak i obrona będą rozgrywać się w milisekundach – atakujące AI będzie próbować znaleźć lukę w zabezpieczeniach, a obronne AI błyskawicznie będzie zmieniać konfigurację systemu, aby zniweczyć próbę włamania. Taki wyścig zbrojeń między algorytmami może prowadzić do eskalacji, w której obie strony będą budować coraz potężniejsze modele, zużywające ogromne ilości energii obliczeniowej. Pojawia się pytanie, czy człowiek będzie w stanie sprawować kontrolę nad tak szybkimi procesami decyzyjnymi, czy też będziemy zmuszeni zaufać systemom, których działania nie jesteśmy w stanie nadążyć. Niektórzy eksperci przewidują powstanie autonomicznych systemów obronnych, które będą podejmować decyzje o blokowaniu ataków bez ludzkiej zgody, co rodzi poważne dylematy etyczne i prawne. Dla studentów kierunków informatycznych fascynującą perspektywą jest możliwość projektowania algorytmów, które będą bronić się przed innymi algorytmami – to nowa, ekscytująca dziedzina informatyki, która dopiero się kształtuje. Niezależnie od tego, jak potoczy się przyszłość, jedno jest pewne: rola człowieka w cyberbezpieczeństwie będzie ewoluować od bezpośredniego przeciwdziałania do nadzorowania i projektowania autonomicznych systemów obronnych.

Sztuczna inteligencja ogólna, czyli AGI, to hipotetyczny system zdolny do wykonywania dowolnego zadania intelektualnego równie dobrze lub lepiej niż człowiek, co stanowi najbardziej fundamentalne wyzwanie dla bezpieczeństwa w historii technologii. Problem kontroli, nazywany w literaturze "control problem", polega na tym, jak zapewnić, że system mądrzejszy od człowieka będzie działał zgodnie z ludzkimi wartościami i celami. Badacze tacy jak Nick Bostrom ostrzegają przed scenariuszem "wybuchu inteligencji", w którym AGI samodoskonali się w zawrotnym tempie, stając się superinteligencją wymykającą się spod ludzkiej kontroli. Nawet jeśli AGI miałoby pozornie nieszkodliwy cel, na przykład "maksymalizację produkcji spinaczy", sposób realizacji tego celu mógłby prowadzić do katastrofalnych skutków dla ludzkości. Dylematy etyczne związane z AGI są dyskutowane w instytutach takich jak Future of Humanity Institute w Oksfordzie czy Machine Intelligence Research Institute w Berkeley. Dla obecnych studentów informatyki kwestie bezpieczeństwa AGI mogą wydawać się odległą przyszłością, ale to właśnie oni będą odpowiedzialni za projektowanie fundamentów, na których powstaną przyszłe systemy ogólnej inteligencji. Zrozumienie tych wyzwań już dziś pozwoli uniknąć błędów, które w przyszłości mogłyby być nieodwracalne.

Dziesięć zasad przedstawionych w dekalogu to nie jest przypadkowa lista – każda z nich wynika bezpośrednio z konkretnego zagrożenia omówionego w trakcie prezentacji i stanowi praktyczne narzędzie ochrony. Zasada niewklejania haseł i danych osobowych do czatów AI chroni przed wyciekiem do zbiorów treningowych modelu, co było przyczyną afery Samsunga. Nakaz weryfikacji odpowiedzi AI w zewnętrznych źródłach wynika z problemu halucynacji, które mogą wprowadzić w błąd nawet doświadczonych specjalistów. Ustalenie rodzinnego hasła bezpieczeństwa jest odpowiedzią na zagrożenie deepfake audio, które pozwala oszustom podszyć się pod bliską osobę i wyłudzić pieniądze. Stosowanie kluczy sprzętowych do logowania chroni przed atakami phishingowymi, które w erze AI stały się trudne do odróżnienia od autentycznej korespondencji. Korzystanie z VPN przy publicznych sieciach Wi-Fi zapobiega przechwytywaniu danych przez atakujących, którzy mogą używać AI do analizy ruchu sieciowego. Każda z tych zasad jest prosta do wdrożenia, a ich łączne stosowanie tworzy skuteczną barierę ochronną, która zabezpiecza przed większością współczesnych zagrożeń cybernetycznych.

Sztuczna inteligencja nie jest z natury ani dobra, ani zła – to narzędzie, które może służyć zarówno ochronie, jak i atakowi, w zależności od intencji i umiejętności osoby, która je wykorzystuje. Z jednej strony AI rewolucjonizuje medycynę, umożliwiając szybsze diagnozowanie chorób i odkrywanie nowych leków, wspiera naukę w analizie ogromnych zbiorów danych i automatyzuje żmudne, powtarzalne zadania w pracy biurowej. Z drugiej strony te same technologie mogą być wykorzystane do tworzenia broni dezinformacyjnej, automatyzacji ataków cybernetycznych i inwigilacji na niespotykaną dotąd skalę. Kluczowym czynnikiem decydującym o tym, po której stronie przechyli się szala, jest świadomość i edukacja społeczeństwa – im więcej osób rozumie zagrożenia, tym trudniej je wykorzystać do szkodliwych celów. Bezpieczeństwo w świecie AI nie jest stanem, który można osiągnąć raz na zawsze, ale ciągłym procesem wymagającym regularnej aktualizacji wiedzy i narzędzi. Dla studentów informatyki oznacza to, że etyka i odpowiedzialność społeczna powinny być integralną częścią kształcenia zawodowego, a nie dodatkowym przedmiotem do odhaczenia. Przyszłość, w której AI służy ludzkości, a nie jej zagraża, zależy od decyzji podejmowanych dziś przez twórców technologii, prawodawców i każdego użytkownika.

Po przeanalizowaniu dziesiątek zagrożeń, od socjotechniki przez deepfake po model inversion, warto wrócić do punktu wyjścia – najważniejszym elementem układanki bezpieczeństwa pozostaje człowiek. Krytyczne myślenie to umiejętność, której AI nie jest w stanie zastąpić, a w erze dezinformacji staje się ona najcenniejszym narzędziem obronnym. Intuicja i zdrowy rozsądek – to one sprawiają, że potrafimy wyczuć, gdy coś jest nie tak, nawet jeśli nie potrafimy od razu wskazać konkretnego powodu naszych podejrzeń. Empatia, czyli zdolność rozumienia emocji i intencji drugiego człowieka, jest obszarem, w którym maszyny wciąż znacząco ustępują ludziom, co czyni ją skutecznym narzędziem do wykrywania socjotechniki. Najsłabszym ogniwem w każdym systemie bezpieczeństwa jest człowiek, ale jednocześnie to właśnie człowiek może być najsilniejszym ogniwem, jeśli jest odpowiednio przeszkolony i świadomy zagrożeń. Dziękujemy Wam za uwagę i zaangażowanie w ten kurs – mamy nadzieję, że zdobyta wiedza będzie dla Was praktyczną tarczą w cyfrowym świecie. Bądźcie bezpieczni, bądźcie czujni i pamiętajcie, że w świecie zdominowanym przez algorytmy to Wasz ludzki osąd jest najważniejszy.

Przygotowane pytania testowe mają na celu nie tylko sprawdzenie zapamiętanych informacji, ale przede wszystkim utrwalenie kluczowych koncepcji poprzez aktywne przypominanie sobie materiału. Odpowiadając na pytanie o LLM i jego przykłady, warto przypomnieć sobie definicję dużego modelu językowego jako systemu przewidującego kolejne słowa na podstawie kontekstu. Pytanie o Samsunga kieruje uwagę na praktyczne konsekwencje nieświadomego korzystania z publicznych narzędzi AI w środowisku korporacyjnym. Trzy cechy deepfake video wymienione w trzecim pytaniu to nie tylko sucha lista – każda z nich wynika z ograniczeń technicznych modeli generatywnych, które wciąż mają problemy z wiernym odwzorowaniem pewnych aspektów ludzkiego wyglądu. Definicja Prompt Injection jako ataku polegającego na przejęciu kontroli nad modelem poprzez odpowiednio sformułowane polecenie powinna być zrozumiana w kontekście szerszej kategorii zagrożeń dla aplikacji AI. Pytanie o rodzinne hasło bezpieczeństwa podsumowuje jednocześnie całą sekcję o deepfake i pokazuje, że najskuteczniejsze obrony bywają najprostsze. Zachęcamy do przedyskutowania tych pytań w grupie i wzajemnego sprawdzania się – nauczanie innych to jedna z najskuteczniejszych metod utrwalania wiedzy.

Przedstawiony temat do debaty – o zaufaniu do obrazów i dźwięków jako dowodów w sądzie i dziennikarstwie – dotyka fundamentalnego problemu społeczeństwa ery post-prawdy. Zwolennicy technologicznych rozwiązań wskazują na blockchain do weryfikacji pochodzenia materiałów oraz na zaawansowane systemy watermarking, które mogłyby zagwarantować autentyczność nagrań. Przeciwnicy argumentują, że przeciętny obywatel nie ma dostępu do narzędzi weryfikacyjnych ani wiedzy potrzebnej do ich obsługi, co tworzy nierówność w dostępie do prawdy. W trakcie dyskusji warto zastanowić się nad rolą państwa w zapewnianiu wiarygodności informacji – czy powinno istnieć oficjalne, rządowe narzędzie do weryfikacji materiałów? Innym ciekawym wątkiem jest odpowiedzialność platform społecznościowych za oznaczanie treści wygenerowanych przez AI, które krążą w ich serwisach. W kontekście prawnym warto przedyskutować, czy materiał, który został potencjalnie zmanipulowany przez AI, powinien być dopuszczalny jako dowód w postępowaniu sądowym. Zachęcamy do podzielenia się na grupy i przedstawienia argumentów za i przeciw, a następnie wspólnego wypracowania stanowiska – takie ćwiczenie rozwija umiejętność krytycznego myślenia i argumentacji, które są kluczowe w pracy każdego informatyka.

Książka Nicka Bostroma "Superinteligencja" to pozycja obowiązkowa dla każdego, kto chce zrozumieć długoterminowe ryzyka związane z rozwojem sztucznej inteligencji – autor analizuje w niej różne scenariusze pojawienia się AGI i proponuje strategie zarządzania tym ryzykiem. Stuart Russell w "Human Compatible" przedstawia bardziej optymistyczne, ale równie rzetelne spojrzenie na problem kontroli AI, argumentując, że kluczem jest projektowanie systemów, które z definicji są niepewne co do ludzkich preferencji. Hannah Fry w "Hello World" pisze w przystępny sposób o wpływie algorytmów na codzienne życie – jej książka jest doskonałym wprowadzeniem do tematyki dla osób nietechnicznych. James Barrat w "Ostatnim wynalazku ludzkości" ostrzega przed wyścigiem zbrojeń w dziedzinie AI i jego potencjalnie katastrofalnymi skutkami. Wszystkie te książki są dostępne w polskich tłumaczeniach i można je znaleźć w bibliotekach akademickich oraz w księgarniach internetowych. Do przeczytania w pierwszej kolejności polecamy "Hello World" Hannah Fry, ponieważ jest najbardziej przystępna i stanowi doskonałe wprowadzenie do bardziej zaawansowanych pozycji. Warto również śledzić bieżące publikacje naukowe z dziedziny bezpieczeństwa AI, które są regularnie udostępniane w otwartym dostępie.

Projekt OWASP Gen AI Security to jeden z najbardziej wartościowych zasobów dla programistów i specjalistów ds. bezpieczeństwa, oferujący praktyczne listy kontrolne i opisy wektorów ataku na systemy AI. NIST AI Risk Management Framework opracowany przez amerykański National Institute of Standards and Technology to kompleksowe ramy zarządzania ryzykiem związanym z AI, które są coraz częściej przyjmowane jako standard międzynarodowy. Polski portal Niebezpiecznik.pl regularnie publikuje artykuły o nowych zagrożeniach związanych z AI, pisane przystępnym językiem, co czyni go świetnym źródłem dla osób początkujących w temacie. ZaufanaTrzeciaStrona.pl to kolejny polski serwis, który szczegółowo opisuje incydenty bezpieczeństwa i metody ochrony, często odnosząc się do kontekstu prawnego w Polsce. Blog Google DeepMind Safety oraz dokumentacja OpenAI Safety & Alignment to oficjalne źródła wiedzy od firm będących liderami w dziedzinie AI, gdzie można znaleźć najnowsze badania i białe księgi. Warto regularnie odwiedzać te strony, ponieważ cyberbezpieczeństwo AI rozwija się w zawrotnym tempie i informacje sprzed kilku miesięcy mogą być już nieaktualne. Dla studentów przygotowujących prace dyplomowe związane z bezpieczeństwem AI te źródła stanowią solidną bazę bibliograficzną.

Autor prezentacji, prowadzący kurs z bezpieczeństwa AI, łączy w swojej pracy zawodowej wiedzę z zakresu informatyki, psychologii i dydaktyki, co pozwala mu przedstawiać skomplikowane zagadnienia w przystępny sposób. Doświadczenie zdobywał przez wiele lat w branży IT, specjalizując się w cyberbezpieczeństwie i projektowaniu systemów odpornych na ataki socjotechniczne. Prezentacja ta powstała jako odpowiedź na rosnące zapotrzebowanie na materiały edukacyjne dotyczące bezpieczeństwa AI, które byłyby zrozumiałe dla studentów nietechnicznych kierunków. W przypadku pytań, uwag lub propozycji współpracy zachęcamy do kontaktu mailowego – autor chętnie odpowie na pytania i rozwieje wątpliwości. Dla osób zainteresowanych pogłębieniem tematu istnieje możliwość umówienia się na dodatkowe konsultacje lub warsztaty dla grup studenckich. Opinie uczestników kursu są niezwykle cenne i pomagają w ulepszaniu materiałów dydaktycznych, dlatego zachęcamy do dzielenia się swoimi spostrzeżeniami. Życzymy Wam bezpiecznego i świadomego korzystania ze sztucznej inteligencji w życiu zawodowym i prywatnym.