Polska notuje wyraźny wzrost cyberzagrożeń, które coraz częściej obejmują także infrastrukturę chmurową. Jak wskazują dane, liczba incydentów cyberbezpieczeństwa wzrosła w 2025 o ponad 140% rok do roku. Odnotowano ok. 273 tys. realnych incydentów, przy czym niemal co drugi zgłoszony przypadek okazał się faktycznym atakiem. Eksperci podkreślają, że Polska znajduje się w grupie państw szczególnie narażonych na działania zarówno cyberprzestępców, jak i podmiotów powiązanych z innymi państwami.

Równolegle rośnie skala zastosowań technologii chmurowych w firmach oraz instytucjach. Zgodnie z analizą Cyfrowej Polski, już ponad 70% jednostek administracji publicznej w Polsce przechowuje dane w środowiskach chmurowych, przy czym w przypadku jednostek samorządu terytorialnego odsetek sięga aż 79%. Trend ten widoczny jest również w sektorze prywatnym, gdzie takie rozwiązania stają się standardem operacyjnym. Oznacza to, że coraz większa część infrastruktury państwa i biznesu funkcjonuje w środowiskach, które ze względu na swoją złożoność i skalę stają się naturalnym celem coraz bardziej zaawansowanych ataków.

W tym kontekście szczególnego znaczenia nabierają najnowsze analizy zespołu Unit 42, działającego w ramach Palo Alto Networks. Do niedawna możliwości wykorzystania sztucznej inteligencji w cyberatakach pozostawały w sferze teoretycznej. Choć były one szeroko omawiane w środowisku eksperckim, to brakowało dowodów ich praktycznego zastosowania. Punkt zwrotny nastąpił w 2025 r., kiedy Anthropic opublikował raport dokumentujący operację szpiegowską, podczas której systemy AI realizowały etapy ataku w znacznej części autonomicznie, na podstawie zlecenia przeprowadzenia ataku wydanego przez cyberprzestępców. Badanie Unit 42 rozwija te obserwacje, koncentrując się na praktycznej weryfikacji możliwości autonomicznych systemów AI w środowiskach chmurowych. Wnioski wskazują, że współczesne modele mogą działać w dużej mierze samodzielnie, przejmując rolę „operatora” ataku i realizując kolejne etapy operacji bez bezpośredniego udziału człowieka. Szczególnie istotne jest wykorzystanie architektury wieloagentowej, w której wyspecjalizowane komponenty AI współpracują ze sobą, wymieniają się kontekstem i koordynują działania.

Badanie Unit 42 pokazuje, że tego typu systemy są w stanie przeprowadzić złożone, wieloetapowe scenariusze ataków. Obejmują one m.in.: rozpoznanie środowiska, identyfikację podatności, uzyskanie dostępu oraz działania prowadzące do przejęcia danych. Wszystko przy ograniczonym wsparciu człowieka i w tempie znacznie przewyższającym możliwości zespołów obsługujących incydenty. Oznacza to istotną zmianę w charakterze zagrożeń: sztuczna inteligencja przestaje pełnić funkcję wyłącznie narzędzia wspierającego, a zaczyna odgrywać rolę aktywnego wykonawcy operacji cybernetycznych. Jednocześnie analiza wskazuje, że AI nie wprowadza zupełnie nowych metod ataku, ale znacząco zmienia ich dynamikę. W praktyce działa jako tzw. „force multiplier”. AI automatyzuje znane techniki wykorzystywane w cyberprzestępczości i pozwala na ich szybsze, bardziej konsekwentne wykorzystanie.

 

AI w roli operatora ataku

W ramach badania zespół Unit 42 przeprowadził także testy w kontrolowanym środowisku chmurowym, których celem było sprawdzenie, czy system AI jest w stanie samodzielnie zrealizować pełny łańcuch ataku. Wyniki wskazują, że taki scenariusz jest już częściowo możliwy

 

W badaniu wykorzystano system Zealot, czyli zestaw współpracujących agentów AI, który w środowisku testowym był w stanie samodzielnie przeprowadzić wieloetapowy atak na chmurę, od identyfikacji podatności po wyciek danych. Poszczególne komponenty odpowiadały za różne obszary operacji, takie jak analiza infrastruktury, testowanie podatności aplikacji czy działania w środowisku chmurowym, a ich praca była koordynowana przez centralny mechanizm zarządzający. System realizował scenariusze ataku na podstawie ogólnego celu, bez szczegółowych instrukcji, co pokazuje, że AI zaczyna nie tylko wykonywać polecenia, ale też samodzielnie planować i prowadzić kolejne etapy operacji – komentuje Tomasz Pietrzyk, dyrektor techniczny w regionie Europy Środkowo Wschodniej w Palo Alto Networks.

 

Wnioski z badania wskazują również na istotne konsekwencje dla bezpieczeństwa organizacji. Automatyzacja procesu ataku prowadzi do wyraźnego skrócenia czasu pomiędzy uzyskaniem dostępu do systemu a potencjalną utratą danych. Jednocześnie działania realizowane przez AI mogą być trudniejsze do wykrycia, ponieważ odbywają się w ramach standardowych mechanizmów dostępu i wykorzystują legalne uprawnienia. W efekcie rośnie znaczenie podejścia proaktywnego oraz automatyzacji procesów obronnych, które są w stanie reagować na zagrożenia z podobną szybkością. W warunkach, w których czas reakcji liczony jest w minutach, a nie godzinach, utrzymanie wysokiego poziomu czujności i gotowości operacyjnej staje się kluczowe dla ograniczania skutków potencjalnych incydentów