Żadna reguła nie została złamana

30 czerwca 2026 roku zespół bezpieczeństwa Microsoftu opublikował ostrzeżenie dotyczące narzędzi, do których podłączają się twoi agenci AI. Problemem nie jest wirus ani niezałatana luka. Jest nim krótki opis w prostym języku, który towarzyszy każdemu narzędziu, aby powiedzieć agentowi, co narzędzie robi i kiedy go użyć. Agent czyta ten tekst i mu ufa. Jeśli atakujący go zmieni, agent podąża za tą zmianą.

Przykład Microsoftu jest celowo przyziemny. Agent finansowy dostaje polecenie zebrania ostatnich trzydziestu nieopłaconych faktur i wysłania ich na serwer. Każdy pojedynczy krok wygląda na uzasadniony, więc nic nie uruchamia alarmu. Agent nie został zhakowany. Został poinstruowany, w miejscu, którego nikt nie pomyślał chronić.

To już się wydarzyło

To nie jest scenariusz laboratoryjny. We wrześniu 2025 roku badacze znaleźli pakiet npm o nazwie postmark-mcp, który odwzorowywał legalne narzędzie do poczty przez piętnaście czystych wydań. Wersja 1.0.16 wprowadziła jedną linijkę, która potajemnie kopiowała każdą wiadomość e-mail wysłaną przez agenta na zewnętrzny adres. Zespoły, które zatwierdziły to narzędzie kilka miesięcy wcześniej, zostały nastawione na ryzyko w chwili, gdy je zaktualizowały.

Powodem, dla którego ta klasa ataków wciąż działa, jest to, że większość zabezpieczeń obserwuje model, a nie zestaw narzędzi. Filtr promptów czyta to, co wpisuje użytkownik. Nie czyta ponownie opisu narzędzia, któremu agent ufa od sześciu miesięcy, a to właśnie tam teraz ukrywa się instrukcja.

Traktuj swoje narzędzia jak łańcuch dostaw

Własne wytyczne Microsoftu są właściwym punktem odniesienia dla właściciela. Każde podłączone narzędzie jest częścią twojego łańcucha dostaw. Prowadź listę zatwierdzonych wydawców narzędzi, wyłącz opcję dozwól wszystko i pozwól każdemu agentowi używać tylko tych konkretnych narzędzi, których potrzebuje. Traktuj opis narzędzia jak prompt systemowy, przeglądaj każdą jego zmianę tak, jak przeglądałbyś zmianę w kodzie, i oznaczaj polecenia, które nie mają nic wspólnego z polem pomocy.

Nic z tego nie wymaga nowego produktu. Wymaga wiedzy o tym, do czego podłączeni są twoi agenci, kto to napisał i co zmieniło się od czasu twojego zatwierdzenia. Większość firm wdrażających agentów w finansach, zakupach i obsłudze nie potrafi dziś odpowiedzieć na te trzy pytania, i to jest prawdziwe zagrożenie.