Svět softwarového inženýrství prochází zásadní proměnou. Přecházíme od nástrojů, které pouze našeptávají řádky kódu (jako původní verze GitHub Copilot), k plnohodnotným autonomním agentům, kteří dokážou samostatně řešit celé úkoly, opravovat chyby a spravovat infrastrukturu. Tato schopnost „agentického“ vývoje je sice nesmírně efektivní, ale podle experta Boaze Barzela z firmy Ox Security představuje zcela nové a kritické bezpečnostní riziko.
Na konferenci Infosecurity Europe totiž Barzel upozornil na to, že v okamžiku, kdy AI začne jednat autonomně, přestává platit koncept „shift left“ (posouvání bezpečnosti do začátku vývojového cyklu). V éře agentů již není „levé“ místo, kam by se bezpečnost dala posunout – musíme ji integrovat přímo do samotného fungování agenta.
Co je to Agentjacking a proč by vás měl zajímat?
Agentjacking není jen o zranitelném kódu. Je to o ovládnutí logiky, kterou AI agent používá k vykonávání úkolů. Pokud útočník dokáže manipulovat s instrukcemi nebo nástroji, které má agent k dispozici, může jej donutit provést činnosti, které mu nebyly přiděleny – například poslat citlivá data na externí server nebo vytvořit zadní vrátka (backdoor) v aplikaci.
Ox Security identifikovalo čtyři hlavní plochy útoku, které tradiční bezpečnostní nástroje nedokážou efektivně pokrýt:
- Vstup (Input): Jakékoli instrukce, prompty nebo protokoly vstupující do agenta. Útočník může využít tzv. prompt injection k tomu, aby agentovi změnil priority nebo ho přiměl ignorovat bezpečnostní pravidla.
- Nástroje (Tools): AI agenty dnes využívají různé rozhraní, jako jsou MCP servery (Model Context Protocol) nebo propojení na SaaS služby. Tyto „schopnosti“ mohou být zneužity k laterálnímu pohybu v síti nebo k exfiltraci dat.
- Exekuce (Execution): Autonomní procesy, které běží bez přímého dohledu člověka. Pokud agent běží v uzavřeném cyklu bez kontroly, může nepozorovaně vykonávat škodlivé operace.
- Výstup (Output): Generování zranitelného nebo destruktivního kódu v rychlosti strojů. AI dokáže vytvořit tisíce řádků kódu s injekčními chybami dříve, než jakýkoliv lidský revizor stihne mrknout.
Srovnání nástrojů: Kde se nacházíme?
Pro českého vývojáře nebo firmu je otázkou, který nástroj zvolit a jak jej zabezpečit. Zde je rychlé srovnání aktuálně nejvýznamnějších hráčů na trhu:
| Nástroj | Typ | Cena (orientačně) | Hlavní rys |
|---|---|---|---|
| GitHub Copilot | Asistent / Agent | $10–$19 / měsíc | Nejpoužívanější, silná integrace v ekosystému GitHub. |
| Devin (Cognition) | Plně autonomní agent | Enterprise pricing | Schopen řešit komplexní engineering úkoly samostatně. |
| Replit Agent | Cloudový vývojový agent | Free tier / $20+ / měsíc | Ideální pro rychlé prototypování přímo v prohlížeči. |
Z hlediska bezpečnosti je důležité poznamenat, že zatímco GitHub Copilot se zaměřuje spíše na asistenci, nástroje jako Devin nebo Replit Agent se pohybují mnohem blíže k hranici autonomie, což z nich činí primární cíle pro budoucí „Agentjacking“ útoky.
Praktický dopad: Co to znamená pro české firmy a EU?
Pro české technologické firmy, od startupů v Praze po velké vývojové týmy v Brnu, má toto téma dva zásadní rozměry:
- Regulace (EU AI Act): Evropská unie již implementuje přísná pravidla pro systémy umělé inteligence. Pokud vaše firma využívá autonomní agenty pro vývoj kritické infrastruktury nebo aplikací s vysokým rizikem, budete muset prokázat nejen bezpečnost kódu, ale i bezpečnost samotného procesu generování tohoto kódu.
- Dostupnost a lokalizace: Většina těchto nástrojů je primárně anglickojazyčná. I když model jako GPT-4 nebo Claude 3.5 Sonnet (které tyto agenty pohánějí) rozumí česky, technická dokumentace a bezpečnostní protokoly jsou stále v angličtině. To vytváří riziko „sémantického nepochopení“, kdy vývojář nemusí v anglických instrukcích rozpoznat jemnou manipulaci (prompt injection).
Cesta ven: Auto-pentestovací smyčka
Řešením, které navrhuje Boaz Barzel, není pokusit se AI agenty omezit, ale změnit způsob, jakým funguje bezpečnost. Místo aby byla bezpečnost oddělená „fáze“, musí se stát chováním systému.
Konceptem je vytvoření tzv. auto-pentestovací smyčky. V tomto modelu pracuje „security agent“ paralelně s „coding agentem“. Každý commit, každá změna v kódu a každé volání externího nástroje musí být okamžitě analyzováno druhým, specializovaným AI modelem, který se zaměřuje výhradně na hledání zranitelností. Bezpečnostní agent musí rozumět kontextu – co se změnilo, jaká nová data jsou nyní přístupná a zda tato změna nezavádí riziko exfiltrace.
Tento přístup mění paradigma: bezpečnost přestává být oddělením (department), stává se vlastností procesu (property of the process).
Může mi AI agent omylem ukrást hesla nebo API klíče z mého počítače?
Ano, pokud má agent přístup k vašemu lokálnímu prostředí nebo shellu a není správně omezen (sandboxed). Pokud útočník pomocí prompt injection ovládne agenta, může mu přikázat přečíst konfigurační soubory s hesly a poslat je ven.
Je bezpečnější používat open-source modely (např. Llama 3) pro vývoj?
Open-source modely vám dávají větší kontrolu nad tím, kde data zpracovávají, což je klíčové pro soukromí. Nicméně samotný model neřeší riziko Agentjackingu – i open-source agent může být zmanipulován, pokud nejsou správně nastaveny jeho nástroje a oprávnění.
Jak poznám, že se můj AI agent chová podezřele?
Sledujte neobvyklé síťové aktivity (pokusy o spojení na neznámé domény), náhlé změny v oprávněních, která si agent vyžaduje, nebo kód, který obsahuje logiku pro skrytý přenos dat, což by nemělo být součástí běžného vývoje.
