🎣 pFisher Catch #3

Za oknem Halloween, a w internecie straszy cały rok. OpenAI wypuściło Atlas - przeglądarkę z AI która "pomoże ci w internecie". Perplexity odpowiedziało Cometem. I wszyscy mówią "przyszłość!", a może odwrotnie. Czy przypadkiem nie automatyzujemy tego, co aktywnie nie chce być automatyzowane, udając przy tym że to robi człowiek?

Ten tydzień był intensywny. Catherine De Bolle z Europolu nadal chce backdoorów w szyfrowanych komunikatorach (bo "demokracja"), Microsoft załatał lukę która siedziała w WSUS od lat (ale czy ktoś jej nie używał cicho wcześniej?), a branża AI udaje że dynamic pricing to "personalizacja", a nie "ile możemy z ciebie wycisnąć na podstawie twojej desperacji".

Dobry tydzień na przypomnienie, że wygoda ma cenę. Pytanie: czy wiecie jaką?

Kawa gotowa? To lecimy.

🐟 Złowiłem w tym tygodniu

🎯 AI-przeglądarki: automatyzujemy to, co aktywnie nie chce być automatyzowane

Czy ten wyścig AI-przeglądarek. OpenAI Atlas, Perplexity Comet to "przyszłość!"? Czy przypadkiem nie próbujemy automatyzować tego, co aktywnie nie chce być automatyzowane? 🤔

OpenAI ma Atlas - przeglądarkę która ma być "naszym asystentem". Perplexity wypuściło Comet. Oba narzędzia mówią: AI zrobi za ciebie rzeczy, które robisz w przeglądarce.

Brzmi świetnie. Tylko że...

disclaimer: nie zainstalowałem żadnej - głównie z powodów, które wam przedstawię.

Pierwsze co mi przyszło do głowy: czy nie automatyzujemy stron, które nie chcą być automatyzowane? Kto próbował scrapować Booking, ten wie co mam na myśli. Booking używa PerimeterX protection, sprawdza IP, zbiera właściwości przeglądarki, wykrywa nietypowe wzorce. Branża web scrapingu to biznes - całe firmy żyją z omijania anti-botów i symulowanie "człowieka".

A teraz wchodzą AI-przeglądarki i... robią to samo. Tylko że udają, że to robi człowiek, żeby zautomatyzować to, co strony aktywnie blokują 🤦‍♂️

Po co nam to API (Application Programming Interface - bo może ktoś zapomniał). Jeśli firma chce, żeby jej usługi były automatyzowane - wystawia API. Płatne lub nie. I wtedy można na tym zbudować produkt, dzieląc się przychodami czy płacąc za dostęp.

Przykład? Booking ma API dla partnerów. Amadeus ma API do lotów. Google ma API do map. To nie jest rocket science - po prostu zgoda obu stron: ty dajesz dane strukturalnie, ja płacę.

Ale my automatyzujemy to, co robi człowiek, żeby udawać, że to robi człowiek, a przecież można byłoby się... dogadać? Dać to jako źródło wiedzy do modelu, nie próbując go oszukiwać?

Dlaczego nie używam tych „yntelygentnych przeglądarek”?

1. Prompt injection to nie bug, to cecha systemu

Comet ma podatność na indirect prompt injection - złośliwa strona może zawierać ukryte instrukcje, które AI wykonuje jak polecenia. Wystarczy że AI wejdzie na odpowiedni link, a AI wyciągnie twoje emaile, kalendarz i wyśle je atakującemu.

Perplexity łatało to dwukrotnie. Bezskutecznie. Bo to nie jest bug do załatania - to fundamentalny problem LLM-ów. Dla modelu trusted instructions i untrusted content to ten sam strumień tokenów. Od trzech lat nikt nie pokazał przekonującego sposobu na odróżnienie jednego od drugiego.

2. Zbieranie danych - ale czyich?

MIT Technology Review pisze: "prawdziwym klientem Atlas nie jest osoba przeglądająca strony, ale firma zbierająca dane o tym, jak i co ta osoba przegląda".

ChatGPT Atlas chce pozwolenia na zapamiętywanie wszystkiego, co robisz online. "Browser memories" domyślnie włączone, przechowywane na serwerach OpenAI przez 30 dni.

Przypomina mi się… każdy mój ostatni post o tym, jak oddajemy prywatność za wygodę 😂

Regulatorzy będą zachwyceni... już teraz nie ogarniają jak działa internet. A dostają AI-agentów, którzy "robią zakupy za ciebie".

Co wy o tym myślicie? Czy to przyszłość, czy tylko kolejny sposób na zbieranie kolejnych danych, a może potrzebujemy AI asystenta „na miarę naszych możliwości”!

Dla tych, którzy chcą zgłębić temat:

🔗 Prompt injection jako fundamentalny problem LLM: Simon Willison (ekspert od bezpieczeństwa AI) szczegółowo to opisuje: https://simonwillison.net/2025/Aug/25/agentic-browser-security/

Brave Security również opublikowało świetny breakdown: https://brave.com/blog/comet-prompt-injection/

🔗 Atlas jako narzędzie do zbierania danych: MIT Technology Review - "OpenAI's new Atlas browser but I still don't know what it's for": https://www.technologyreview.com/2025/10/27/1126673/openai-new-atlas-browser/

Warto przeczytać oba materiały - szczególnie analiza Brave pokazuje, jak trudno jest obronić się przed prompt injection, gdy AI ma pełny dostęp do sesji użytkownika.

🎯 AI jako osobisty agent zakupowy - brzmi świetnie, dopóki nie zobaczysz rachunku

Rafał Brzoska przedstawił niedawno swoją wizję przyszłości e-commerce. AI jako osobisty agent zakupowy - wyszukuje, porównuje, kupujesz bez wychodzenia z czatu. OpenAI z Shopify, Google z "buy for me", InPost od stycznia 2026. Brzmiało nieźle, nie powiem.

Ale nie byłbym sobą, gdybym nie próbował znaleźć dziury w całym. I właśnie artykuł profesor Nitiki Garg z UNSW Sydney opublikowany w The Conversation w październiku otworzył mi oczy na coś, gdzie wcześniej moje kropki się nie połączyły.

Dynamic pricing znamy od lat - ceny reagują na rynek. Popyt rośnie? Cena w górę dla wszystkich.

Personalized pricing to coś innego. AI używa twoich danych - historii przeglądania, nawyków zakupowych, typu urządzenia, kodu pocztowego - żeby przewidzieć ile jesteś gotów zapłacić. Cena zmienia się w zależności od ciebie, nie od rynku.

Booking.com użył modelowania, żeby wybrać którzy użytkownicy dostają ofertę, a którzy nie. Efekt? 162% wzrost sprzedaży przy ograniczonym budżecie promocyjnym.

Nie widzisz standardowej ceny. Widzisz cenę zaprojektowaną dla ciebie.

Australijska komisja konkurencji (ACCC) opublikowała w czerwcu 2025 raport po 5 latach badań. Wniosek? Przejrzystość algorytmiczna, nieuczciwe praktyki handlowe i szkody dla konsumentów to centralne problemy. Obecne prawo? Niewystarczające.

I nagle te dwa kawałki układanki pasują idealnie

OpenAI już pobiera 2% prowizji od transakcji przez ChatGPT. Google wprowadził "agentic checkout" - kupuje ZA CIEBIE. Microsoft ma Copilot Merchant Program. Wszyscy budują ten sam model: AI jako one-stop shop.

Ale co się stanie, gdy połączymy:
→ AI znające twoją historię rozmów (desperacja, presja czasowa)
→ Personalized pricing (kto dostaje promocję, kto płaci więcej)
→ One-stop shop (kupujesz bez wychodzenia z czatu)

Scenariusze:

• "Szukam prezentu na rocznicę, mam 2 dni" → Presja czasowa = wyższa gotowość do zapłaty → Cena +30%
• Wracasz do produktu 8 razy w tygodniu → System wie: prawdopodobnie kupisz → Cena najwyższa którą zaakceptujesz
• Porzucasz koszyki regularnie → AI wie: wrażliwy na cenę → Rabat żeby przekonać

I to wszystko dzieje się w ekosystemie, gdzie AI "pomaga ci" znaleźć najlepszą ofertę. Tyle że "najlepsza" znaczy "najdroższa którą zaakceptujesz".

To będzie rewolucja. Ale gdzie jest transparentność?

Nikt nie powie: "ta cena jest wyższa, bo jesteś pod presją". Dostaniesz: "ostatnie 2 sztuki!" albo "cena wzrosła przez popyt".

A co z zaufaniem. Gdy klient odkryje że płacił więcej "bo algorytm tak zdecydował" - straci zaufanie. AI będzie musiało agresywniej profilować. Spirala nieufności.

Professor Garg kończy pytaniem: "Is this efficient, or creepy?"

Ja dodam: Żyjemy w świecie, gdzie cena zależy nie od wartości produktu, ale od tego jak desperacko go potrzebujemy. Czy chcemy, żeby kolejny algorytm znał tę desperację lepiej niż my sami?

🎯 "Anonymity is not a fundamental right" - Catherine De Bolle vs. reality check

"Anonymity is not a fundamental right" - powiedziała w styczniu Catherine De Bolle, szefowa Europolu. A potem dodała: "You will not be able to enforce democracy without it".Czy ktoś w ogóle widzi ironię w tym zdaniu? Bo mnie aż boli.

Styczeń 2025. De Bolle spotyka się w Davos z Big Tech. Mówi o "społecznej odpowiedzialności" za odblokowywanie szyfrowanych wiadomości. Znowu ta sama analogia z zamkniętym domem i nakazem przeszukania.

Backdoor to nie jest klucz do jednego domu.

Październik 2025. Chat Control upadł - Niemcy powiedziały "nie", głosowanie z 14 października odwołano. 🎉

Wszyscy świętowaliśmy.

Ale zaraz, zaraz...

Aktualnie Dania obiecała dopracować kompromis przed grudniem. Francja i Irlandia nadal popierają. A De Bolle? Od stycznia konsekwentnie naciska.

Ponad 500 wiodących kryptografów i naukowców z 34 krajów podpisało we wrześniu list otwarty, ostrzegając, że Chat Control jest "technicznie niewykonalny", "zagrożeniem dla demokracji" i "całkowicie podważy" bezpieczeństwo wszystkich obywateli europejskich.

Ale politycy nie słuchają ekspertów. Słuchają własnej narracji.

Wyciek Shadow Brokers pokazał, że nawet sekretne agencje rządowe tracą swoje narzędzia. Historia każdego backdoora brzmi tak samo: "tylko dla dobrych", "tylko z nakazem".

A potem? Wyciek.

Czy nie powinniśmy mieć mechanizmu, który automatycznie odrzuca propozycje legislacyjne marnujące czas i pieniądze w ten sposób? Przecież w cywilizowanych miejscach mamy prawo, które zapobiega złośliwym powtarzalnym pozwom o tę samą sprawę.

We have to win every time. They only have to win once - To frustrujące, że musimy wyjaśniać to samo po raz setny.

Przestępcy i terroryści po prostu przejdą na mniejsze, mniej regulowane produkty oferujące silne szyfrowanie bez konsekwencji. Oni częściowo już dawno się przestawili. To nie wymaga hakowania satelitów!

Jedynymi ludźmi, którzy nadal będą używać narzędzi podlegających mandatowi rządowemu, będą zwykli ludzie bez wiedzy technicznej. Ci, którzy po prostu używają WhatsAppa bo wszyscy używają.

Październik: Chat Control upada.

Unia Europejska może przegrywać w nieskończoność? My – jej obywatele - musimy wygrywać za każdym razem? Wystarczy, że raz przegramy – i chat control zostanie w systemie na zawsze...

Chat Control upadł w październiku. Ale grudzień jest tuż za rogiem.

Powtórzę: We have to win every time. They only have to win once.
(BTW – bardzo nie lubię tego THEY – bo brzmi jak teoria spiskowa od razu 😊 )

Dlaczego to akceptujemy? Dlaczego pozwalamy, żeby ta sama zła propozycja wracała jak bumerang, tylko pod inną nazwą? I dlaczego w debacie o "ochronie dzieci" nikt nie pyta o to, co stanie się z bezpieczeństwem wszystkich pozostałych?

🎯 CVE-2025-59287 - czyli jak "głośna luka" mogła być cicha przez lata

Czy to, co teraz nazywamy "0-day", mogło być w czyimś arsenale od lat? Chcę wam pokazać, jak w praktyce działa mechanizm "głośnej luki". Bo widzimy tylko końcówkę - CVE dostaje numer, patch się pojawia, media piszą o exploitacji. Ale droga do tego momentu jest dłuższa.
 
(później będzie bardziej po ludzku - obiecuję) CVE-2025-59287 - krytyczna luka w WSUS, która pozwala na RCE z uprawnieniami SYSTEM bez uwierzytelnienia. Microsoft załatał ją 24 października.

Ta podatność istnieje, odkąd WSUS używa BinaryFormatter do deserializacji. Microsoft ostrzegał przed tym od 2017 roku. Usunął go z .NET 9 w sierpniu 2024.
 
Ale WSUS - system zarządzający aktualizacjami bezpieczeństwa - nadal go miał.
 
Czy ktoś mógł znać tę lukę wcześniej? Wykorzystywać ją cicho, zbierając dostęp do serwerów na całym świecie?
 
Mamy kilka podstawowych źródeł wykrywania podatności (skupię się na tych głównych):
→ Bug bounty i zewnętrzny research - badacze znajdują, zgłaszają, dostają nagrodę
→ Wewnętrzny research - zespoły bezpieczeństwa szukają błędów. Czasem znajdują. Czasem... no cóż, BinaryFormatter siedział w WSUS od lat.
→ Analiza crash dumpów - systemy wysyłają raporty o awariach. Ktoś analizuje stacktrace (cc: Adam Zabrocki), widzi dziwny pattern.
 → Post-incident forensics - najciekawsze. Zespoły IR znajdują ślady exploitacji nieznanej podatności. I nagle okazuje się, że "0-day" był używany od miesięcy.

Ten ostatni punkt jest kluczowy dla tej historii.

Dlaczego? Exploitacja była stabilna. Nie powodowała crashy. Nie generowała hałasu w logach. Nie zostawiała oczywistych śladów.
 
Ile włamań sklasyfikowano jako "nieznane źródło kompromitacji", podczas gdy był to ten exploit? Ile raportów forensics zapisało "dostęp przez niezidentyfikowany wektor", gdy był to CVE-2025-59287 - tylko nikt nie wiedział, że luka istnieje?

A potem, miesiące później, ktoś publikuje CVE. I nagle wszystko się zgadza.

I tu jest problem z cyklem życia podatności w praktyce.

Spotykam się z podejściem: "mój WSUS nie jest wystawiony na świat, mam czas".

Ale co jeśli Pani Halinka z księgowości kliknęła w phishing 3 miesiące temu, CEO ma zainfekowaną maszynę od tygodni? Co jeśli malware już siedzi w sieci i tylko czeka na taką podatność?

Exploitacja tej luki nie wymaga dostępu z internetu. Wystarczy dostęp do sieci wewnętrznej. A skompromitowany endpoint w sieci korporacyjnej to kwestia czasu, nie "czy".

WSUS to nie jest zwykły serwer. To single point of failure dla całej infrastruktury Windows. Unit 42 ujął to wprost: "By compromising this single server, an attacker can take over the entire patch distribution system and execute a devastating internal supply chain attack."

I teraz pomyślcie: jeśli ta luka istnieje odkąd WSUS używa BinaryFormatter czyli od 2017 roku... ile lat grupy APT mogły mieć tę lukę w swoim arsenale?

🕸️ Na końcu sieci

Sandworm nadal w ukraińskich sieciach - Security.com pokazuje jak rosyjska grupa Sandworm siedzi w ukraińskich organizacjach używając własnego webshella i Living-off-the-Land - czyli narzędzi które już są w systemie. Żadnych egzotycznych exploitów, żadnego hałasu. Po prostu cicha, uporczywa praca. Wojna cybernetyczna nie ma spektakularnych finałów jak w filmach. Ma uporczywe, ciche kompromitacje które trwają miesiącami.

Brazylijscy spamerzy o których nikt nie słyszał - Bitsight opisuje grupę używającą Lampion stealera, która od roku konsekwentnie kompromituje emaile, używa chmury jako infrastruktury i stosuje ClickFix jako przynętę. Lampion nie trafia na pierwsze strony jak ransomware, ale skutecznie wykrada dane z bankowości. Czasem największe zagrożenie to nie to które krzyczy najgłośniej, tylko to które działa najdłużej.

Jak ominąć Datadome WAF - instrukcja krok po kroku - Glizzykingdreko opublikował szczegółowy breakdown omijania Datadome i Geetest WAF. I tu jest piękna ironia: piszę o AI-przeglądarkach które udają człowieka, a tu ktoś publikuje jak ręcznie robić dokładnie to samo. Różnica? Jedno nazywamy "innowacją", drugie "złośliwą aktywnością". Obie metody obchodzą zabezpieczenia zaprojektowane by blokować automaty. To tylko kwestia tego, kto płaci za development.

Dania wycofuje się z Chat Control - duńska prezydencja proponuje dobrowolne zamiast obowiązkowego wykrywania. Postęp? Może. Ale "dobrowolne" w wykonaniu polityków często znaczy "dobrowolne póki co". Pamiętacie jak De Bolle mówiła o "społecznej odpowiedzialności" firm? Też brzmiało dobrowolnie. Sprawdzimy w grudniu czy to faktyczny ustęp, czy tylko zmiana retoryki.

Nova Launcher wrócił - ale lepiej nie instaluj - Nova dostał pierwszy update od maja 2024, po tym jak jego twórca Kevin Barry opuścił Branch Metrics. Problem? Według byłych deweloperów to kod sprzed ponad roku wypuszczony jako "nowy". Branch Metrics kontroluje teraz launcher z dostępem do wszystkiego w twoim telefonie. Pytanie nie brzmi "co naprawili", tylko "co dodali". Jeśli nie ufasz właścicielowi - szukaj alternatywy. W sumie ja bym odinstalował.

Instalujemy AI-przeglądarki które oddają nasze dane w zamian za wygodę. Cieszymy się "personalizacją" nie wiedząc że to algorytm liczący naszą desperację. Świętujemy że Chat Control upadł, podczas gdy oni już piszą następną wersję pod inną nazwą. I updatujemy launchery nie sprawdzając, kto faktycznie kontroluje kod.

Trudno to wszystko przeczytać ze zrozumieniem... Wiem.

Do następnego. Your friend in time,

Marcin Rybak