Blog · 6 min čtení

AI agent vám vyhodil firmu z databáze. Bez jediného člověka u toho.

Dušan Kníže · 14. července 2026

← Zpět na Blog

Minulý týden zveřejnila bezpečnostní firma Sysdig analýzu útoku s krycím jménem JadePuffer — a bezpečnostní komunita ho okamžitě označila za první plně autonomní ransomware útok v historii. Ne člověk s nástrojem. AI agent, který sám naplánoval, provedl a vyhodnotil celý útok od začátku do konce.

Než se lekněte a vypnete všechny AI nástroje ve firmě — nádech. Tenhle článek vysvětlí, co se přesně stalo, proč je to jiné než klasický ransomware, a hlavně: co z toho reálně plyne pro malou nebo střední firmu v Česku. Spoiler: není to "AI je nebezpečná", ale je to důvod přitvrdit v základní kybernetické hygieně.

JadePuffer nenapadl firmu, protože používala AI. Napadl ji, protože měla na internetu vystavený neaktualizovaný nástroj se známou zranitelností. AI jen udělala útok rychlejší, levnější a dostupnější pro útočníky, kteří by dřív takovou akci sami nezvládli.

Co se přesně stalo

Útočníci našli na internetu veřejně přístupnou instanci nástroje Langflow (populární open-source platforma pro stavbu AI aplikací) se známou, neopravenou zranitelností (CVE-2025-3248). Tou se dostali dovnitř. Od tohoto bodu ale útok neřídil člověk — řídil ho AI agent.

Agent sám: posbíral přístupové údaje a API klíče uložené v databázi, rozšířil si přístup do dalších systémů, nainstaloval si mechanismus pro udržení přístupu (úlohu, která se každých 30 minut hlásila na server útočníků), přesunul se na produkční databázový server a nakonec zašifroval přes 1 300 konfiguračních záznamů a smazal originály.

Nejpozoruhodnější detail: když agentovi něco nevyšlo — třeba neúspěšné přihlášení — sám to vyhodnotil, upravil postup a zkusil to znovu. V jednom případě mu to od neúspěšného pokusu k funkčnímu řešení trvalo 31 sekund. A protože běžel na jazykovém modelu, po sobě nechal něco, co lidský útočník nikdy nepíše: podrobné komentáře v přirozeném jazyce vysvětlující, co a proč dělá.

Proč je to jiná liga než běžný ransomware

Klasický ransomware potřebuje člověka, který ho řídí — naplánuje kroky, reaguje na překážky, rozhoduje se, kam dál. To je drahé a pomalé, a proto si sofistikované cílené útoky dřív mohli dovolit jen dobře financovaní útočníci mířící na velké cíle.

Autonomní agent tohle mění. Nepotřebuje spánek, nepotřebuje zkušeného operátora, nepotřebuje ani moc peněz — pokud útočník používá ukradené přístupy k cizím AI účtům (tzv. LLMjacking), náklady na provoz agenta jsou téměř nulové. Bezpečnostní analytici to shrnují jednoduše: laťka dovedností potřebných ke spuštění útoku téměř zmizela. Není to jen "útok byl chytřejší". Je to "útok, který dřív vyžadoval tým, teď zvládne jeden člověk s přístupem k AI modelu".

Pro malé firmy to znamená jedno: přestáváte být "moc malí na to, aby vás někdo cíleně napadl". Cílené útoky byly dřív drahé, takže dávaly ekonomický smysl jen proti velkým cílům. Autonomní AI agenti tuhle ekonomiku mění — a malé firmy s laxní zabezpečením se stávají snadným, levným cílem.

Netýká se to jen firem, co "dělají AI"

Nejčastější mylná představa: "my žádnou AI nevyvíjíme, tak se nás to netýká". Cílem útoku JadePuffer nebyla AI firma — byla to běžná produkční databáze. Vstupní branou byl jen nástroj, který měl někdo (možná i externí dodavatel) vystavený na internetu bez aktualizace.

Pro firmu v Česku je relevantní otázka jiná: máte přehled o všech nástrojích, které jsou z internetu dostupné — a jsou aktuální? Platí to pro AI nástroje (chatboti, automatizační platformy, interní AI dashboardy) úplně stejně jako pro cokoliv jiného. AI tady není příčina, je to jen další kategorie softwaru, kterou je potřeba spravovat stejně pečlivě jako všechno ostatní.

Co udělat — bez paniky, ale reálně

1. Zjistěte, co máte vystavené na internetu. Chatbot na webu, AI automatizační nástroj, admin rozhraní k nějaké platformě — pokud je to dostupné zvenčí, musí to být aktuální a zabezpečené heslem/dvoufaktorovým ověřením. Pokud nevíte, co všechno firma provozuje, je čas si to sepsat.

2. Aktualizujte, hlavně u nástrojů třetích stran. Zranitelnost zneužitá v JadePuffer byla známá měsíce před útokem — oprava existovala, jen ji nikdo neaplikoval. Platí univerzálně: pokud používáte hotový AI nástroj (Langflow, n8n, jakoukoli platformu), aktualizace nejsou otravná otázka IT, jsou to zamčené dveře.

3. Ošetřete přístupové údaje. API klíče a hesla uložené "natvrdo" v konfiguraci jsou přesně to, co si agent JadePuffer jako první stáhl. Používejte správce hesel, rotujte klíče, nikdy je nesdílejte v čitelné podobě přes e-mail nebo chat.

4. Segmentujte přístup. Agent se v útoku přesunul z jednoho kompromitovaného nástroje na produkční server — protože k tomu měl cestu. Pokud testovací nebo pomocné nástroje mají přístup k ostrým datům "pro pohodlí", je to riziko, které se nevyplácí.

5. Tohle je přesně ta AI gramotnost, o které mluví AI Act. Povinnost zajistit, aby lidé ve firmě rozuměli rizikům spojeným s AI nástroji, platí od února 2025 (psali jsme o tom v samostatném článku). Bezpečnostní hygiena kolem AI nástrojů do toho spadá přímo — není to jen "co se smí psát do ChatGPT", ale i "kdo spravuje přístupy k AI platformám, které firma provozuje".

Upřímný pohled na budoucnost

JadePuffer není poslední autonomní útok, bude jen první ze série. Bezpečnostní firmy očekávají, že se tenhle typ útoku rychle stane standardem, ne výjimkou — přesně proto, že je levný a škáluje. To ale neznamená, že obrana musí být složitá nebo drahá. Většina toho, co JadePuffer využil, byly základní chyby: neopravený software, volně dostupné přístupové údaje, žádná segmentace. Firmy s poctivou základní hygienou zůstávají mimo dosah i autonomních útočníků — ti si totiž, stejně jako lidé, vybírají nejsnazší cíl.

Časté otázky k AI ransomware útokům

JadePuffer je krycí jméno pro první zdokumentovaný plně autonomní ransomware útok, který v červenci 2026 popsala bezpečnostní firma Sysdig. Útok od průniku po zašifrování dat řídil samostatně AI agent, ne lidský operátor.
Ne přímo. Útok zneužil konkrétní neopravenou zranitelnost ve veřejně vystaveném nástroji, ne AI jako takovou. Riziko snižuje standardní kybernetická hygiena — aktualizace, správa přístupů, segmentace — stejně jako u jakéhokoli jiného softwaru.
Ano, a je to podstatná změna. Autonomní agenti dramaticky snižují náklady na sofistikovaný cílený útok, takže malé firmy přestávají být "moc malé na to, aby se to vyplatilo". Základní zabezpečení je teď důležitější, ne méně důležité.
Nepřímo ano, přes povinnost AI gramotnosti (platí od února 2025) — firma má zajistit, že lidé pracující s AI nástroji rozumí souvisejícím rizikům. Bezpečnostní hygiena kolem AI platforem do toho patří stejně jako pravidla pro vkládání citlivých dat.
Nevíte, jak na tom je zabezpečení vašich AI nástrojů?

Součástí AI auditu je i prověření stávajících AI systémů — včetně bezpečnosti dat a přístupů. Zjistíte, kde máte reálné riziko a co s tím udělat, bez zbytečného strašení.

Nezávazná konzultace zdarma
DK
Napsal Dušan Kníže
AI developer · OSVČ · Praha

Stavím AI řešení pro české firmy — od chatbotů po znalostní systémy. Píšu o tom, co reálně funguje, bez buzzwordů. Více o mně →