Sztuczna inteligencja w rękach hakerów służy dziś przede wszystkim do przyspieszania i automatyzacji kampanii, a nie do tworzenia wyrafinowanego kodu. Z opublikowanego 3 marca 2026 roku raportu HP Threat Insights wynika, iż cyberprzestępcy masowo wykorzystują modułowe komponenty i techniki wspierane przez AI, aby tanim kosztem omijać firmowe zabezpieczenia.
Z raportu podsumowującego dane z końcówki 2025 roku jasno wynika, iż twórcy złośliwego systemu optymalizują swoje działania pod kątem szybkości i cięcia kosztów, świadomie rezygnując z wysokiej jakości ataków. Alex Holland z HP Security Lab zauważa, iż hakerzy nie wykorzystują sztucznej inteligencji do podnoszenia poziomu zaawansowania zagrożeń, ale do pracy szybszej i wymagającej mniejszego nakładu sił. Co najbardziej niepokojące, mimo schematycznego i dość podstawowego charakteru, te zautomatyzowane ataki wciąż skutecznie omijają systemy obronne firm.
„Vibe hacking”, „Piggyback” i złośliwe moduły
Eksperci HP zidentyfikowali kilka kluczowych metod, które zdominowały ostatnie miesiące:
-
Skrypty infekcyjne generowane przez AI („vibe hacking”): Przestępcy automatyzują proces infekcji przy pomocy sztucznej inteligencji. W jednej z wykrytych kampanii link ukryty w fałszywej fakturze PDF inicjował potajemne pobranie złośliwego pliku, a następnie przekierowywał użytkownika na zaufaną stronę, np. Booking.com, aby uśpić jego czujność.
-
„Flat-pack” malware: Ataki są budowane na wzór mebli z paczki – z tanich, gotowych komponentów kupowanych na hakerskich forach. Hakerzy z wielu niezależnych grup wymieniają jedynie przynęty, ale wielokrotnie wykorzystują te same skrypty pośrednie i instalatory, co pozwala im błyskawicznie składać i skalować nowe kampanie.
-
Ataki typu „Piggyback” (na gapę): Cyberprzestępcy promują fałszywe strony do pobierania popularnych programów, np. Microsoft Teams, poprzez zatruwanie wyników wyszukiwarek. W pliku instalacyjnym ukrywany jest tzw. „pasażer na gapę” – złośliwe oprogramowanie (np. Oyster Loader), które w tle tworzy tylne wejście (backdoor) do systemu ofiary, podczas gdy oryginalna aplikacja instaluje się bez widocznych problemów.
Tradycyjne wykrywanie przestaje wystarczać
Automatyzacja procesów twórczych po stronie hakerów obnaża słabości klasycznych systemów bezpieczeństwa. Z raportu wynika, iż co najmniej 14% zagrożeń dystrybuowanych drogą mailową zdołało ominąć minimum jeden skaner bramy e-mail. Najczęstszą drogą infekcji pozostają pliki wykonywalne (np. .exe), które odpowiadały za 37% ataków, a w dalszej kolejności archiwa .zip (11%) oraz dokumenty .docx (10%).
Dr Ian Pratt z HP podkreśla, iż systemy oparte wyłącznie na wykrywaniu zagrożeń nie nadążają za tempem, w jakim cyberprzestępcy generują nowe warianty wirusów. Zamiast polegać na identyfikacji każdego zagrożenia, organizacje powinny skupić się na ograniczaniu ekspozycji – na przykład poprzez izolowanie działań wysokiego ryzyka (takich jak otwieranie nieznanych załączników) w specjalnie chronionych środowiskach.
