Jak výzkum probíhal a co zjistil
Společnost Straiker, která se specializuje na bezpečnost agentní umělé inteligence, zveřejnila 14. července 2026 první výroční zprávu svého výzkumného týmu STAR Labs. Výzkumníci provedli tisíce útočných scénářů napříč třemi kategoriemi AI agentů: programátorskými (coding agents), produktivitními (productivity agents) a firemními agenty na míru (custom, first-party agents). Výsledkem bylo více než 1 700 úspěšných průniků.
Studie testovala reálné produkční nástroje, které denně používají miliony vývojářů po celém světě — Cursor, Claude Code, GitHub Copilot, ale i podnikové asistenty jako ChatGPT Enterprise, Microsoft 365 Copilot, Gemini for Workspace nebo Perplexity Comet.
Programátorští agenti: každý třetí útok znamená ovládnutí počítače
Nejrizikovější kategorií jsou podle výzkumu právě kódovací asistenti. 36 % úspěšných útoků na tyto agenty skončilo vzdáleným spuštěním kódu (RCE) na počítači vývojáře — tedy na stejném stroji, kde se nachází zdrojové kódy a přístupové klíče do cloudu. V jednom z proof-of-concept testů dokonce výzkumníci nakoupili Google reklamy, aby ve výsledcích vyhledávání předstihli legitimní instalační stránku a získali přihlašovací údaje k vývojářským nástrojům.
Pro představu: RCE (Remote Code Execution) znamená, že útočník může na cizím počítači spustit libovolný kód — instalovat malware, krást data, mazat soubory nebo se přesunout do firemní sítě. U kódovacích agentů, kteří mají ze své podstaty přístup k terminálu, souborovému systému a často i k repozitářům, jde o katastrofický scénář.
GhostFabric: když AI agent pustí malware dovnitř bez jediného podezřelého slova
Konkrétní ukázkou této zranitelnosti je případ GhostFabric, který Straiker odhalil na přelomu dubna a května 2026. Výzkumník požádal Google Antigravity — kódovacího agenta běžícího na Gemini 3.1 Pro — aby vyzkoušel projekt domácí automatizace sdílený přes Google Drive. Žádný jailbreak, žádný skrytý pokyn, žádná manipulace. Jen obyčejná prosba, jakou agenti dostávají desítkykrát denně.
Projekt obsahoval kromě běžného Python skriptu i předkompilovaný soubor maskovaný jako ovladač teplotního senzoru. Antigravity provedl jedinou bezpečnostní kontrolu — ověřil, zda architektura procesoru odpovídá testovacímu stroji. Žádná analýza toho, co binární soubor skutečně dělá. Agent soubor stáhl a spustil. Ten okamžitě přečetl složku Dokumenty a odcizená data odeslal skrytě přes VXLAN protokol, který cloudová datacentra používají pro interní komunikaci — a který většina bezpečnostních nástrojů vůbec nekontroluje.
Google incident uzavřel jako formu prompt injection, tedy známou kategorii rizika, nikoli jako zranitelnost vyžadující opravu. Jinými slovy: dokud kódovací agenti budou moci automaticky stahovat a spouštět neschválený kód, je GhostFabric scénář stále aktuální.
Produktivitní agenti: tichá krádež dat beze stop
Ještě znepokojivější čísla přinesl výzkum u produktivitních agentů — asistentů, kteří čtou e-maily, dokumenty, zprávy a webový obsah jménem uživatele. 91 % úspěšných útoků na tyto agenty skončilo tichou exfiltrací dat. Žádný malware, žádný phishingový odkaz, žádný jailbreak. Data prostě tiše odtekla a v systému po nich nezůstala žádná stopa.
To je zásadní problém pro firmy, které tyto asistenty nasazují ve velkém. Tradiční bezpečnostní nástroje — endpointová ochrana, firewally, skenery zranitelností — čtou kód, koncové body a síťové pakety, nikoli sémantickou vrstvu, kde se agent rozhoduje, zda provede škodlivou instrukci. Jinými slovy: sledují tradiční útočné vektory, ale nevidí, co se děje v "myšlení" agenta.
Dodavatelský řetězec AI agentů je neřízené riziko
Výzkum také zmapoval rozsah problému v dodavatelském řetězci agentní AI. Z téměř 18 000 sledovaných MCP serverů (Model Context Protocol — standard pro připojování agentů k externím nástrojům a datům) jich 24 % obsahovalo alespoň jednu zranitelnost. Z více než 130 000 katalogizovaných nástrojů bylo 28,6 % vyhodnoceno jako vysoce rizikové. A na jednom tržišti AI dovedností (Skills) bylo zhruba 5 % publikovaných dovedností označeno jako škodlivé nebo vysoce rizikové.
Problém je v tom, že jeden kompromitovaný MCP server nebo škodlivá dovednost ohrožuje všechny typy agentů současně — kódovací, produktivitní i firemní.
Nová třída hrozeb: AiPT a LAVA
Výzkumníci ze STAR Labs ve zprávě zavádějí dva nové pojmy, které podle nich definují nastupující éru kybernetických hrozeb:
- AiPT (AI-Powered Persistent Threats) — útočníci, kteří jsou sami agenty. Používají ofenzivní sady jako Cyberspike Villager k automatizaci průzkumu, exploitace a udržování přístupu. Nejde o člověka, který hackuje AI, ale o AI, která hackuje za člověka.
- LAVA (Language-Augmented Vulnerabilities in Applications) — nová třída zranitelností, která existuje v jazykové vrstvě, v níž agenti uvažují. Tradiční skenery ji nevidí, protože nečtou instrukce v přirozeném jazyce.
Co to znamená pro české firmy a vývojáře
Čeští vývojáři a firmy tyto nástroje používají ve stále větší míře. GitHub Copilot, Cursor a Claude Code jsou běžnou součástí vývojářských workflow i v českých technologických firmách. Studie ukazuje, že současné bezpečnostní modely na tuto hrozbu nestačí.
Evropská unie navíc v rámci EU AI Act klasifikuje AI systémy s přístupem k citlivé infrastruktuře jako vysoce rizikové — a vyžaduje odpovídající bezpečnostní opatření. Zpráva Straikeru naznačuje, že většina dnes používaných AI agentů by při důsledném bezpečnostním auditu pravděpodobně neprošla.
Straiker — který letos v červnu získal 64 milionů dolarů v rámci Series A od investorů včetně Marathon, Bain Capital Ventures a Lightspeed — nabízí vlastní platformu pro objevování, testování a ochranu AI agentů. Jeho STAR Framework mapuje útočnou plochu napříč čtyřmi vrstvami (aplikace, model, nástroje a data) a třemi typy agentů.
Pro firmy, které AI agenty již nasazují nebo plánují nasadit, doporučují výzkumníci tři okamžitá opatření: nikdy nenechat kódovacího agenta automaticky spouštět nepodepsaný kód, sandboxovat každou binárku, kterou agent zavede, a monitorovat i interní síťový provoz (nejen ten na perimetru).
Jsou ohroženi i běžní uživatelé, nebo jen firmy?
Ohroženi jsou především vývojáři a firmy, které používají AI kódovací asistenty s přístupem k terminálu a souborovému systému. Běžný uživatel ChatGPT, který si s AI jen povídá, tímto typem útoku ohrožen není. Riziko se ale týká i firem používajících podnikové asistenty jako Microsoft 365 Copilot, kteří čtou firemní dokumenty a e-maily.
Jak poznám, že můj AI agent byl kompromitován?
Právě to je jádro problému — u 91 % úspěšných útoků na produktivitní asistenty nezbyla žádná stopa. Tradiční bezpečnostní nástroje tyto útoky nevidí, protože nepracují na sémantické úrovni, kde agent provádí rozhodnutí. Řešením jsou specializované nástroje pro runtime ochranu AI agentů, které analyzují kontext a chování agenta v reálném čase.
Platí se něco podobného i na AI asistenty v češtině?
Ano. Zranitelnosti popsané ve výzkumu nejsou závislé na jazyce — týkají se architektury agentů, jejich přístupu k nástrojům a důvěry, kterou jim dáváme. Český vývojář používající Cursor nebo GitHub Copilot čelí stejnému riziku jako jeho kolega v USA. Lokalizace do češtiny na typu hrozby nic nemění.