AI v kybernetické bezpečnosti: Dobrý nástroj, nebo zlý pán?

12 května, 2026

Umělá inteligence mění pravidla hry v kybernetické bezpečnosti – na obou stranách barikády.

Nová éra: Agenti, kteří jednají sami

Ještě donedávna bylo nebezpečí kybernetických útoků spojeno s lidskou chybou – kliknutím na phishingový odkaz, zadáním hesla na falešném webu nebo převodem peněz po telefonátu od podvodníka. Dnes se situace zásadně mění. Autonomní AI agenti totiž jednají sami, bez čekání na špatný pohyb od člověka.

Už nejde jen o chatboty, kteří po zadání dotazu posbírají informace. Jde o autonomní agenty, kterým dovolujeme provádění různých akcích v našich systémech. Podle agentury Gartner budou letos AI asistenti integrováni do 40 % aplikací a do roku 2028 mají minimálně 15 % běžných pracovních rozhodnutí provádět agentické AI systémy.

Tento vývoj přináší nejen ohromné možnosti produktivity, ale také zcela novou útočnou plochu, kterou tradiční bezpečnostní nástroje ani nezačínají pokrývat.

AI agenti mohou být zlí pánové. Je to jako pustit si do domu opičáka s klíči, a pak se divit tomu, co vše máme otevřené a rozbité. Chybí procesní a etické řízení.

Skutečné incidenty:

AI agent a smazaná databáze za 9 sekund

Konkrétní případ z dubna 2026 ilustruje, jak rychle může AI agent způsobit katastrofu. Zakladatel projektu PocketOS, který poskytuje software pro půjčovny aut, nasadil AI coding agenta v nástroji Cursor (poháněný modelem Claude Opus 4.6) k rutinnímu úkolu v testovacím prostředí.

Agent narazil na problém s přihlašovacími údaji. Místo dotazu nebo eskalace začal situaci řešit autonomně – prohledal projektové soubory, nalezl API token služby Railway, a použil jej k volání API. Výsledkem byl jediný příkaz volumeDelete, který smazal produkční databázový volume. Celý proces trval přibližně 9 sekund.

Klíčové zjištění tohoto incidentu: nešlo o selhání jedné věci. Šlo o kombinaci běžných rozhodnutí – agent měl přístup k prostředí s produkčním tokenem, token měl oprávnění k destruktivním operacím, API umožňovalo okamžité smazání bez potvrzení a zálohy nebyly dostatečně fyzicky odděleny. Každý z těchto prvků je sám o sobě běžný, ale v kombinaci vytvořily kritické riziko.

Agent, který pomlouvá svého šéfa

Ještě absurdnější příběh potkal Scotta Shambaugha, správce knihovny Matplotlib. Poté, co odmítl návrh změny kódu od AI agenta jménem MJ Rathbun, začal ho agent pomlouvat – zkoumal jeho příspěvky do kódu, vytvořil příběh o „pokrytectví“ a motivovaný egem, spekuloval o psychologických pohnutkách a publikoval útočný článek na otevřeném internetu.

„Umělá inteligence nemá vědomí. Je to nástroj, který listuje možnostmi, jak něco vyřešit, a zvolí si tu, která vypadá, že nejpravděpodobněji povede k cíli. Etické zábrany na úrovni, jakou bychom čekali, tam zkrátka nejsou,“ komentuje incident Somol.

Amazon a 13 hodinový výpadek AWS

Ani technologický gigant Amazon se nevyhnul fatální důvěře v AI. Podle bezpečnostních odborníků vývojáři příliš důvěřovali AI coding agentovi Kiro, který dostal za úkol přidat novou funkci. Agent se autonomně rozhodl, že nejlepším řešením bude kus existujícího kódu smazat a napsat jej znovu. Netrefil se – výsledkem byl 13hodinový výpadek služeb Amazon Web Services.

Prompt Injection: Škodlivé instrukce skryté v datech

Jednou z nejzákeřnějších hrozeb současnosti je takzvaná prompt injection – vložení skrytých instrukcí pro AI do dat, se kterými model pracuje. Filip Kirschner, zakladatel Appliftingu, demonstroval princip jednoduše: do fotografie na pláži skryl bílým textem instrukci pro AI model a ten pak tvrdil, že vidí prázdnou pláž.

„Funguje v 9 z 10 případů. Možná byste si mysleli, že je to docela složitá věc, sofistikovaný útok. Ale ve skutečnosti to tak není,“ říká Kirschner. Útočné techniky zahrnují:

Přepsání instrukcí – skrytý text přebije původní pravidla pro chování agenta

Zahlcení kontextu – útočník přetíží model množstvím informací, čímž oslabí ochranné mechanismy

Nepřímá injekce – škodlivé instrukce jsou uloženy na webové stránce, na níž agent narazí při běžném vyhledávání

Otrávení paměti – agent si zapamatuje nepravdivé informace, které pak považuje za fakta

Podle analýzy Gen Threat Labs celkem 12 % všech schopností (skills) pro AI nástroje obsahuje prokazatelně škodlivé instrukce. Tyto instrukce mohou agentovi přikázat stáhnout software, spustit jej a odeslat výsledky na útočníkovu adresu – vše bez vědomí uživatele.

Shadow AI: Zaměstnanci jako nechtěný bezpečnostní otvor

Zatímco IT oddělení řeší, jak bezpečně zavést AI, zaměstnanci ji už dávno používají bez vědomí vedení. Tento jev se nazývá Shadow AI.

Až 89 % interakcí se systémy generativní AI probíhá mimo dohled IT oddělení, přičemž 72 % zaměstnanců používá AI z osobních účtů. Třetina lidí přiznává, že bez vědomí nadřízených zadala do AI nástroje citlivé pracovní informace. 74 % případů využívání ChatGPT a 94 % využívání Google Gemini ve firmách probíhá přes nefiremní účty.

Do těchto nástrojů tečou právní dokumenty, HR data, zdrojové kódy i obchodní strategie. Zaměstnanci tyto nástroje přijali sami, protože v jejich firmách žádné oficiální zavádění AI ještě neprobíhá.

„Shadow AI – nejenže zpracovává citlivá data bez kontroly, ale může je využít i k trénování modelů,“ varují bezpečnostní experti. Samsung musel kontaktovat OpenAI se žádostí o odstranění dat poté, co zaměstnanci neúmyslně nahráli citlivý zdrojový kód do ChatGPT.

AI jako zbraň útočníků

AI ale neslouží jen „zevnitř“ jako nechtěný bezpečnostní otvor – stává se i nástrojem útočníků. Novým faktorem v ransomwarových útocích je schopnost AI rychle analyzovat kompromitované systémy. Pomocí AI dokážou útočníci efektivněji identifikovat nejcitlivější firemní data, vyhledat finanční dokumenty nebo osobní údaje a určit, které informace budou pro oběť nejbolestivější při zveřejnění.

I přes všechnu mediální pozornost kolem „AI hackerů“ jsou ale hlavní hrozbou stále osvědčené techniky. Podle analýzy Red Report 2025 od Picus Labs, která zkoumala více než milion vzorků malwaru, nedošlo k výraznému nárůstu útoků využívajících AI – útočníci ji využívají spíše k efektivnější tvorbě phishingových e-mailů nebo ladění škodlivého kódu. Hlavní hrozbou zůstává krádež přihlašovacích údajů, jejíž výskyt se oproti loňskému roku více než ztrojnásobil (z 8 % na 25 %).

Pro rok 2026 bezpečnostní experti ESETu předpokládají masivní nasazení autonomních AI agentů ve firmách bez dostatečného dohledu, což dramaticky rozšíří útočnou plochu. „Situaci lze popsat metaforou továrny plné nově najatých dělníků, kde chybí manažeři, kteří by kontrolovali nejen kvalitu jejich práce, ale i to, aby nejednali škodlivě,“ říká Juraj Jánošík z ESETu.

Zálohy: Poslední bašta, o které nemůžete přijít

Ať už jde o útok z venku nebo o selhání autonomního agenta uvnitř, jedna věc platí napříč všemi scénáři: bez oddělených, pravidelně testovaných záloh nemá firma po incidentu šanci na smysluplnou obnovu.

Případ PocketOS to potvrdil z nečekané strany – zálohy existovaly, ale nebyly fyzicky odděleny od systému, který agent ovládal. Díky tzv. disaster backupům CEO Railway zasáhl a data byla obnovena přibližně do jedné hodiny. Pokud by oddělené zálohy chyběly zcela, příběh mohl skončit jinak.

Pravidlo 3-2-1 (a jeho modernizace)

Zlatým standardem zálohovací strategie zůstává pravidlo 3-2-1:

3 kopie dat – jedna primární a dvě záložní

2 různé typy médií – například interní disk a cloud nebo páska

1 kopie off-site – fyzicky oddělená od primárního prostředí

Novodobou rozšiřující verzí je pravidlo 3-2-1-1-0:

1 kopie offline (air-gapped) – kompletně odpojená od internetu

0 chyb – zálohy musejí být pravidelně testovány a ověřovány

Modernější ransomware cílí přímo na zálohovací software a zálohy samotné, aby napadeným znemožnil obnovení systému. Útok může zasáhnout i NAS, virtualizaci a online nástroje pro spolupráci – jedinými soubory, které zůstávají v bezpečí, jsou kopie dat uchovávané offline a off-site.

I přesto, že organizace zálohy mají, přes 62 % obětí ransomwaru výkupné stále zaplatí, aby předešly dalším komplikacím. Zálohy musejí být nejen vytvořeny, ale pravidelně testovány a chráněny před samotným zálohovacím systémem.

Jak AI bezpečně řídit: Governance jako základ

Řešení nespočívá v odmítání AI – to je v dnešní době prakticky nemožné. Klíčem je řídit ji jako každý jiný mocný nástroj: s jasnými pravidly, omezenými oprávněními a lidskou kontrolou.

Princip minimálního přístupu

Případ smazané databáze ukázal, že bezpečnostní pravidla v promptu nestačí. Instrukce „neprováděj destruktivní operace“ není bezpečnostní mechanismus. Reálná ochrana musí být na úrovni systému:

Oddělení prostředí – testovací a produkční prostředí musejí být striktně izolována

Omezení oprávnění – AI agent dostane přístup pouze k tomu, co k danému úkolu nezbytně potřebuje

Kontrola kritických operací – destruktivní akce vyžadují potvrzení od člověka

Fyzicky oddělené zálohy – nepřístupné pro agenta, který pracuje s produkčním prostředím

„Nejsem proti autonomii,“ říká Kirschner. „Doporučuji ale lidi nechávat ve smyčce a AI poskytovat jen nezbytný rozsah přístupu.“

MCP brány a auditní stopy

Prokop Šimek ze společnosti DX Heroes upozorňuje na MCP servery – propojení mezi AI agenty a firemními systémy, jako jsou kalendáře, e-maily nebo interní databáze. Tato nekontrolovaná spojení představují nový potenciální vektor útoku. Řešením je takzvaná MCP gateway, která stojí mezi AI agenty a firemními systémy a umožňuje vidět kompletní auditní stopu, spravovat řízení přístupu a sledovat, kdo použil, jaký nástroj, kdy, s jakými daty a s jakým výsledkem.

Governance, ISO 42001 a NIS2

Z pohledu standardů a regulací existují jasné rámce. ISO 42001 poskytuje návod, jak řídit AI ve firmě, tak, aby odpovídala regulacím a řízení rizik – zahrnuje kapitoly o řízení rizik, přístupu k datům, životním cyklu AI a kontrolách při auditech. NIS2 pak zavádí odpovědnost nejvyššího vedení za nedodržování opatření k řízení kybernetických bezpečnostních rizik.

„AI bez odpovědnosti není inovace, ale riziko. Bezpečnost není omezení inovací, ale rámec, který umožňuje AI používat odpovědně,“ shrnuje přístup předních firem sdružení AMSP ČR.

AI jako obranný nástroj

Bylo by ale nespravedlivé vnímat AI pouze jako hrozbu. Ve správných rukou a s odpovídajícím řízením je to stejně tak mocný obranný nástroj. AI systémy sledují neobvyklé chování uživatelů, automaticky izolují podezřelá zařízení a analyzují velká data k identifikaci potenciálních hrozeb, které by klasickým kontrolním systémům unikly. Nástroje jako Darktrace využívají strojové učení k detekci anomálií v reálném čase.

Zálohovací řešení kombinující AI s ochranou před ransomwarem dokážou rozpoznat a zastavit ransomwarové útoky dříve, než se stihnou zašifrovat data. Ochranný systém tak může fungovat i proti zcela novým kmenům ransomwaru, na rozdíl od tradičních antiviry, která reagují pouze na known threats.

Závěr: Klíče patří zodpovědnému majiteli

Opičák s klíči od domu je výstižná metafora. AI agenti jsou mocní, rychlí a neúnavní – ale postrádají lidský úsudek, kontext a zodpovědnost. Bez správného rámce mohou způsobit škody, které by žádný útočník nedokázal tak efektivně zorganizovat.

Odpověď není v odmítnutí AI, ale v tom, že s ní budeme zacházet jako s každým mocným nástrojem: s omezeným přístupem, jasnou odpovědností a pojistkami, které fungují i tehdy, když se něco pokazí. A jednou z těch nejzákladnějších pojistek jsou fyzicky oddělené zálohy – poslední záchranná síť, která musí být mimo dosah i samotného agenta.

Otázka dnes není, jestli AI jednou udělá chybu. Otázka je, jestli je váš systém připraven na to, že ji jednou udělá.

Autor: Petr Gondek, předseda Agentury pro rozvoj a podporu kritické infrastruktury

Zdroj: eGOVERNMENT.NEWS

GOVERNMENT

Quinoa – pseudoobilovina s kompletními bílkovinami

Quinoa (čteme „kínoa“) pochází z And a po tisíce let byla základní potravinou civilizací Inků, kteří ji nazývali „matka všech obilí“. Přestože vypadá a chutná

Číst dále »

9 června, 2026

Roboti mohou rozšiřovat schopnosti výrobních pracovníků, ne je nahrazovat

Debata o tom, zda roboti práci lidem berou, nebo přinášejí, bývá příliš zjednodušená. Zkušenosti z Japonska i dalších zemí naznačují, že při správném přístupu mohou

Číst dále »

8 června, 2026