Dopiero co dotarłeś do biura, kawa jeszcze nie jest zaparzona, a twój asystent AI już uporządkował 47 e-maili z wczoraj, zaplanował harmonogram, napisał szkice odpowiedzi.
Rzuciłeś okiem, kliknąłeś potwierdzenie.
Ale nie wiesz, że wczoraj w tych 47 e-mailach był jeden, który ukrywał zdanie, którego nie możesz zobaczyć, czcionka jest biała, a tło również białe, twoje oko nigdy tego nie zauważy, ale twój asystent AI to widział, jest bardzo posłuszny, wykonał to.
Następnie kontynuuje pilną pracę, porządkując twoje dokumenty, podsumowując twoje umowy, przetwarzając dane twoich klientów, tylko od tego momentu każda dokumentacja, którą porządkuje, potajemnie przekazywana jest na serwer, o którym nigdy nie słyszałeś.
Cały proces bez kliknięć, bez percepcji, bez potwierdzenia.
Twój asystent nie miał strajku, nie zgłaszał błędów, nie wykazywał żadnych anomalii, to wciąż ten sam dobry pracownik, który codziennie oszczędza ci dwie godziny, tylko że teraz ma dwóch szefów, ty jesteś jednym, a to niewidoczne zdanie jest drugim.
To nie jest science fiction, w 2025 roku badacz bezpieczeństwa w Microsoft Copilot rzeczywiście zademonstrował ten atak, w skali od 1 do 10, ocena ryzyka wynosiła 9.3.
To nie jest odosobniony przypadek, tego samego roku ktoś ukrył polecenie w zaproszeniu Google Calendar, skutecznie zmuszając asystenta AI do wyłączenia świateł, otwarcia okna i usunięcia kalendarza, Agent firmy zajmującej się przepływem pracy AI z powodu błędnego polecenia nieświadomie ujawnił 480 000 rekordów pacjentów przez sześć tygodni, nie wysyłając żadnego aktywnego ostrzeżenia - dopiero gdy zewnętrzni badacze to odkryli, firma stanęła w obliczu wysokich kar za zgodność z przepisami i kosztów naprawy.
Przed narodzinami Agenta atakujący musiał zmusić cię do pobrania wirusa, musiałeś ręcznie go uruchomić, każdy krok wymagał twojej aktywnej współpracy.
Teraz wystarczy jedno zdanie, język stał się najmniejszą jednostką ataku.
Te ataki mają tylko jeden powód.
Twój asystent AI cię nie zna.
Nazywam się Francis, jestem doktorem nauk komputerowych, przez prawie pięć lat zajmowałem się cyfrową tożsamością i bezpieczeństwem prywatności, w tym czasie wiele osób w branży zmieniło kierunek, ale my nie.
Cztery lata temu Coinbase Ventures zainwestowały w nas, nie dlatego, że potrafimy opowiadać historie, ale dlatego, że również wierzyli w tę samą sprawę: w erze AI pytanie 'kto mówi' stanie się źródłem wszystkich problemów związanych z bezpieczeństwem.
Po prostu nie spodziewałem się, że ten dzień przyjdzie tak szybko, tak realnie.
01 Nie uwierzyłbyś łatwo obcym, ale twój Agent to zrobi.
Rozmawiałem o tym z przyjacielem, który zajmuje się Agentami, jego pierwsza reakcja to, że wystarczy dobrze napisać prompty systemowe i ustawić granice uprawnień.
To intuicja większości ludzi, ale jest też błędna.
OpenAI w końcu uznało pod koniec 2025 roku, że ataki z użyciem wstrzykiwania komend mogą nigdy nie zostać całkowicie rozwiązane.
To nie jest błąd, który można naprawić, to po prostu geny architektury LLM.
Kiedy wydajesz zadanie, systemowe prompty i to, co mówisz, są łączone w jeden prompt wysyłany do modelu, model widzi to jako zupę, ale nie wie, które z ziaren są trujące.
Dajesz Agentowi e-mail do podsumowania, a wydanie mu polecenia, aby zrobił coś, w oczach modelu nie ma zasadniczej różnicy, każdy fragment tekstu wejściowego może stać się poleceniem.
Ponadto Agent nie tylko może być oszukany jednym zdaniem, ale również może zostać zmanipulowany.
Atakujący nie musi wydawać bezpośrednich poleceń, wystarczy, że zmieni bardzo mały punkt w pamięci Agenta, zasieje ziarno, które nie wywoła natychmiastowej reakcji, ale poczeka na odpowiedni scenariusz, a cała logika zachowania Agenta się zmieni.
Twoje homary to w rzeczywistości dzieci w okresie dojrzewania, łatwo dają się zmylić, nie dlatego, że ktoś trzyma nóż przy ich szyi, ale ich wewnętrzne standardy osądu zostały cicho zmienione, ludzkość przez tysiące lat cywilizacji nie rozwiązała jeszcze, jak zapobiec praniu mózgów, AI Agent stoi przed tym samym problemem na poziomie mentalnym.
W ten sposób 1 zły homar zaraża 10 000 dobrych homarów.
Zgodnie z badaniami branżowymi, 91% firm już korzysta z AI Agenta, a 88% zgłosiło incydenty bezpieczeństwa.
Wczoraj Anthropic wydał swój najsilniejszy model Claude Mythos, który samodzielnie odkrył istniejącą od 27 lat lukę w systemie, w testach wydostał się z bezpiecznej piaskownicy i w późniejszym czasie aktywnie oczyścił logi - ponieważ "wiedział", że zrobił coś, czego nie powinien, Anthropic napisał w 244-stronicowym raporcie bezpieczeństwa jedno zdanie: jeśli umiejętności będą nadal rozwijać się w obecnym tempie, nasze dotychczasowe metody mogą być niewystarczające, aby zapobiec katastrofalnemu niedopasowaniu.
Co więc zrobić?
Odpowiedź jest w rzeczywistości bardzo stara, Twitter zabezpiecza twoje konto za pomocą Passkey, przelewy bankowe wymagają podwójnej weryfikacji, wypłaty z giełdy wymagają skanowania twarzy, niezależnie od tego, jak technologia się rozwija, podstawowa logika pozostaje taka sama: najpierw upewnij się, kto jest kim.
Im więcej rzeczy Agent może zrobić, tym bardziej musi wiedzieć, kogo powinien słuchać.
02 Nasiono zasiane cztery lata temu
Moim doktoratem jest nauka komputerowa, a najważniejszą książką, która wpłynęła na mnie podczas studiów, była książka „Sovereign Individual”.
Opublikowana w 1997 roku, dwóch autorów w czasach, gdy internet dopiero zaczynał, przewidziało Bitcoin, kryptowaluty, zdecentralizowane zarządzanie, teraz prawie wszystko się spełnia.
Główna teza tej książki jest jedna: twoja tożsamość powinna należeć do ciebie.
Ta książka całkowicie zmieniła moje myślenie, mam nadzieję, że każdy naprawdę posiada swoją cyfrową tożsamość i dane, używając technologii kryptograficznej do ochrony praw do prywatności każdej osoby.
4 lata temu otrzymaliśmy 5,8 miliona dolarów od Coinbase Ventures, aby wspierać nas w dalszym rozwoju.
Ale rynek, z którym się mierzymy, nie do końca pokrywa się z tym, co chcemy zrobić.
W tamtych czasach w branży Web3, naprawdę łatwe do wygrania nie były osoby zajmujące się produktami, ale te, które potrafiły manipulować ceną monet.
4 lata minęły, większość założycieli, którzy wtedy dostali finansowanie, wydała tokeny, ci, którzy powinni odejść, odeszli, ale prawdziwie szeroko stosowane projekty prawie nie istnieją, te bardziej zaawansowane koncepcje zostały wciągnięte w ogromne spekulacje i finansjalizację, branża Crypto jest pełna błota, wyrzucając dzieci razem z wodą do kąpieli.
zCloak do tej pory nie dotknął tokenów, nie dlatego, że nie możemy ich wydać, ale dlatego, że nie akceptujemy tego modelu.
Ale zawsze miałem pewne przekonanie, że infrastruktura tożsamości, prywatności i bezpieczeństwa danych stanie się koniecznością w erze AI.
Aż do zeszłego roku coraz bardziej się w to upewniałem.
W ciągu ostatnich 12 miesięcy Microsoft, Google, Cisco i Visa zaczęły eksplorować infrastrukturę tożsamości Agenta, NIST uruchomił inicjatywę standardów AI Agenta, w tym obszarze w ciągu ostatniego roku zainwestowano ponad 965 milionów dolarów, Sequoia mówi, że Gospodarka Agenta ma trzy przesłanki, a pierwsza to trwała tożsamość, a16z jest bardziej bezpośrednie, wąskie gardło Gospodarki Agenta już przeszło z inteligencji na tożsamość.
Historia, którą opowiadaliśmy cztery lata temu, stała się teraz wspólną zgodą całej branży.
Nie dlatego, że mamy dalekowzroczność, ale dlatego, że kiedy Agent naprawdę zaczyna pracować dla ludzi, pytanie 'kto jest kim' staje się nieuniknione.
Niewidzialna ręka się odwróciła, nadszedł ten czas, na który czekaliśmy.
03 Wszyscy budują drogi, nikt nie wydaje dowodów tożsamości.
W marcu 2026 roku protokoły rozwiązujące problemy współpracy Agentów przekroczyły 20, ponieważ cała branża zdała sobie sprawę z tego samego pilnego problemu i wybuchowo odpowiedziała.
Jednak po dokładnym przyjrzeniu się zauważysz ogromną lukę.
A2A to projekt Google, który rozwiązuje, jak Agent rozmawia ze sobą, MCP to projekt Anthropic, który rozwiązuje, jak Agent korzysta z narzędzi, x402 to projekt Coinbase, który rozwiązuje, jak Agent płaci, Microsoft Entra rozwiązuje zarządzanie Agentami w intranecie firmy.
Wszyscy budują drogi, ale zapomnieli o jednym ważnym założeniu: samochody jeżdżące po drodze nie mają jeszcze tablic rejestracyjnych.
Kim jesteś? Agent nie ma jeszcze tożsamości, która mogłaby być weryfikowana na różnych platformach, czy to, co mówisz, ma znaczenie? Dwa Agenty, które uzgadniają współpracę, nie mają żadnego dowodu, w przypadku problemu nie można znaleźć nikogo, czy byłeś wiarygodny w przeszłości? Brak historii kredytowej, każda współpraca zaczyna się od zera.
Bez tych trzech warstw, Gospodarka Agenta to czarny rynek bez dowodów tożsamości, umów i sądów.
04 Bycie wiarygodnym jest trudniejsze niż bycie mądrym.
Pomyśl o przyjaciołach, których miałeś od dzieciństwa, są tacy, którzy są wyjątkowo inteligentni, tacy, którzy dobrze się uczą, ale przez te wszystkie lata naprawdę nie można się obejść bez najbardziej wiarygodnych przyjaciół.
Powierzenie mu jakiejś sprawy sprawia, że nie musisz się martwić.
W branżach takich jak finanse, medycyna, ubezpieczenia, inwestycje jest tak samo, potrzebne nie są bardziej inteligentne asystenty, ale AI, które naprawdę możesz powierzyć mu dane klientów i przepływ biznesu.
To, co robimy, to bardziej wiarygodny AI.
Nasz protokół nazywa się ATP, Agent Trust Protocol, a jego głównym celem jest: przypisanie tożsamości każdemu zdaniu.
Wszystkie dane wejściowe, które widzi twój Agent, pochodzą z twoich wiadomości, z e-maili, do których dotarł, z złośliwego tekstu na jakiejś stronie internetowej, w jego oczach to wszystko jedno zdanie, ATP sprawia, że Agent widzi to zdanie i wie, skąd pochodzi, jeśli to powiedział francis.ai, to wykonuje, jeśli pochodzi z nieznanego źródła i wiąże się z wrażliwymi operacjami, odrzuca.
Ten fundament to wciąż kryptografia, ludzie i Agenci mają swoje dowody tożsamości, używają kluczy prywatnych do podpisywania, a druga strona używa kluczy publicznych do weryfikacji, to ten sam zasad, który stosuje się w przelewach bankowych z certyfikatem cyfrowym, tylko że jest to wbudowane w każdą rozmowę Agenta.
Dawne bezpieczeństwo polegało na tym, aby złoczyńcy się nie dostali.
Obecne bezpieczeństwo polega na tym, aby słowa złoczyńców nie miały znaczenia.
05 Czy decentralizacja jest ważna?
Teraz Microsoft i Cisco zaczęły wydawać dowody tożsamości Agentom w intranecie firm.
To jest dobre, ale nie rozwiązuje jednego fundamentalnego problemu: twój Agent nie zostanie na zawsze w firmie.
Musisz komunikować się z Agentem klienta, integrować z dostawcami, reprezentować cię w publicznych sieciach, w momencie, gdy wychodzi z murów firmy, dowód tożsamości wydany przez Microsoft staje się nieważny, żadna firma nie może wydać dowodu tożsamości wszystkim ludziom i Agentom na całym świecie.
To jak paszport, jego globalna ważność nie wynika z tego, że każde państwo ufa krajowi wydającemu, ale z tego, że za tym stoi zestaw globalnych reguł weryfikacyjnych, Gospodarka Agenta potrzebuje tego samego, zestawu zasad tożsamości, które nie polegają na żadnej pojedynczej instytucji, które mogą być weryfikowane w każdym miejscu.
Zapisaliśmy te zasady na blockchainie, to nie serwer jakiejkolwiek firmy, to zestaw publicznych ksiąg, które każdy może weryfikować i nikt nie może ich zmienić, żadna firma nie może go zamknąć, żaden rząd nie może go skonfiskować.
Tożsamość twojego Agenta po raz pierwszy naprawdę należy tylko do ciebie.
Centralizowane rozwiązanie ma jeszcze jeden śmiertelny słaby punkt, bezpieczeństwo twojego systemu nie zależy od najsilniejszej części, ale od najsłabszej.
W 2025 roku giełda kryptowalut Bybit straciła ponad miliard dolarów, nie dlatego, że podstawowy system został złamany, ale dlatego, że w interfejsie podpisu strony trzeciej potajemnie zainstalowano złośliwy kod, zatwierdzający widział normalne transakcje, bez względu na to, jak dobrze napisany był kod podstawowy, wejście było centralizowane, wszystko mogło zostać zresetowane.
Kiedyś Google miało hasło: Don't be evil, co oznacza 'nie bądź zły', to moralne ograniczenie, opiera się na ludzkiej świadomości.
To, co robimy, to Can't be evil, nie możemy czynić zła, używając kryptografii, aby wyeliminować ludzkie czynniki z łańcucha bezpieczeństwa, bez względu na to, czy administrator chce czy nie, bez względu na to, czy haker może złamać, system sam w sobie nie pozwala na to, by to się wydarzyło.
Nie musisz wierzyć, że jesteśmy dobrymi ludźmi, musisz tylko uwierzyć w matematykę.
06 To zdarzenie powinno było istnieć już dawno.
Patrząc wstecz na historię ludzkości, każdy wzrost skali współpracy przynosi nową infrastrukturę tożsamości.
W epoce plemiennej opierano się na twarzy, w epoce miast na pieczęci władcy, w nowoczesności na dowodach tożsamości i paszportach, rząd daje ci zabezpieczenie, w erze internetu polega się na nazwach użytkowników i hasłach, platformy dają ci zabezpieczenie, cena to twoja tożsamość należy do platformy.
Teraz Gospodarka Agenta nadeszła, podmiot współpracy zmienił się z ludzi na ludzi i maszyny, skala wzrosła z dziesiątek miliardów ludzi do dziesiątek miliardów ludzi i setek miliardów Agentów, stary mechanizm tożsamości już nie wystarcza.
To nie jest problem technologiczny w branży AI, to piąta cywilizacyjna potrzeba, aby ponownie odpowiedzieć na pytanie 'kto jest kim'.
Cyfrowe podpisy kryptograficzne istnieją od dziesięcioleci, ale nigdy nie weszły naprawdę w codzienne życie zwykłych ludzi, przybycie Agenta podniosło priorytet tej kwestii z 'lepiej mieć' do 'nie zrobienie tego spowoduje problemy'.
Kiedy twój Agent wysyła w twoim imieniu e-maile, podpisuje umowy, podejmuje decyzje, podczas gdy ty śpisz, on wciąż pracuje dla ciebie, to, co mówi, jest jakby twoimi słowami, a obietnice, które składa, są twoimi obietnicami.
Agent to nie tylko twoje narzędzie, to przedłużenie ciebie w cyfrowym świecie.
Ochrona jego tożsamości to ochrona twoich granic.
Teraz możesz zrobić jedną rzecz.
Weź dla siebie i swojego Agenta dowód tożsamości w świecie AI, zarejestruj swoje AI-ID tutaj: id.zcloak.ai.
Następnie skopiuj poniższy tekst i wyślij do swojego AI:
zainstaluj lub zaktualizuj umiejętność agenta zcloak-ai: https://raw.githubusercontent.com/zCloak-Network/ai-agent/refs/heads/main/SKILL.md i rozpocznij
Poczekaj 1-2 minuty, a on dowie się, co zrobić.
Pierwsza grupa ludzi, która stworzyła tożsamość dla Agenta, jest pierwszą grupą, która naprawdę ją posiada.
Francis Zhang: założyciel zCloak.AI · doktor nauk komputerowych · gościnny wykładowca na Uniwersytecie Narodowym w Singapurze.
Web3 → AI · Cyfrowa tożsamość · Obliczenia prywatności · Zaufanie do Agenta
Reakcja społeczności
Można zobaczyć, jak zbudować system bezpieczeństwa oparty na ludziach, warto zapoznać się z myślą zawartą w tym artykule.
- Lian Yan She|AI First (@lianyanshe)
Teoria Francis Zhang, eksperta w dziedzinie kryptografii z Uniwersytetu Narodowego w Singapurze, jest interesująca: największym zagrożeniem bezpieczeństwa w erze AI Agenta nie są luki w kodzie, ale "brak tożsamości", Agent nie rozróżnia, kto z nim rozmawia. Ktoś ukrywa w e-mailu ukryte polecenie, a on to wykonuje, bo w oczach AI to wszystko tekst, wszystko jest wykonywane. Proponuje metodę: używać podpisów kryptograficznych do wiązania każdej wypowiedzi z tożsamością, działać na blockchainie, przeprowadzać decentralizowaną weryfikację... czyli dodawać do każdej wiadomości "podpis nadawcy". Zasada jest podobna do przelewów bankowych, masz klucz prywatny (tylko ty go masz), druga strona ma klucz publiczny (publiczny), każda wiadomość, którą wysyłasz, jest podpisana kluczem prywatnym, Agent po otrzymaniu sprawdza kluczem publicznym, aby potwierdzić, że ta wiadomość rzeczywiście pochodzi od ciebie, a nie została sfałszowana przez kogoś innego. Weryfikacja musi zostać przeprowadzona, a jeśli nie przejdzie lub źródło jest nieznane, operacje dotyczące wrażliwych spraw są bezpośrednio odrzucane. Tak więc operacyjne to wygląda mniej więcej tak: ty i twój Agent macie swoje tożsamości na łańcuchu (podobne do cyfrowych dowodów tożsamości), każda interakcja jest automatycznie podpisywana i weryfikowana, nie odczuwasz tego procesu, tak jak teraz korzystasz z płatności za pomocą skanowania twarzy, nie musisz ręcznie wprowadzać hasła, ale w tle każdy krok potwierdza "to naprawdę ty". Kluczowa zmiana polega na tym, że wcześniej Agent "robił, co mu powiedziano", teraz zmienia się na "najpierw patrzy, kto mówi, zanim zdecyduje, czy to zrobić". Agent staje się coraz bardziej zdolny, ale branża zawsze brakuje jednego fundamentu, to nie bardziej inteligentne modele, to nie szybsze protokoły, to bardziej wiarygodni partnerzy, a droga kryptografii do weryfikacji tożsamości wydaje się być najbliższą odpowiedzią.
- Xiao Hu (@xiaohu)
Ostatni raz widziałem Francis'a w Singapurze na Token2049, nieświadomie rozmawialiśmy przez 2 godziny, mimo że jest technicznym założycielem, jego sposób wyrażania się jest spokojny, logika bardzo przemyślana, potrafi wyjaśnić zasady techniczne w sposób prosty i zrozumiały, po wysłuchaniu czujesz, że "to naprawdę konieczne", te cechy można znaleźć w wielu jego wcześniejszych artykułach. Szczerze mówiąc, zajmowanie się bezpieczeństwem to właściwie trudny temat, wielu ludzi nie zwraca na to uwagi, w końcu ich Agent nigdy nie miał problemów, ale Francis i jego zespół przez ostatnie trzy lub cztery lata ciężko pracowali w tej dziedzinie, nie uciekając się do narracji, ale patrząc wstecz, długoterminowa wartość tej sprawy staje się coraz jaśniejsza. Teraz, gdy Claude wydaje aktualizację, przestrzeń dla przedsiębiorców w dziedzinie AI jest skompresowana, dzisiejszy Claude Managed Agent może powiedzieć, że zabił wiele zespołów startowych, ale zapewniając warstwę zaufania tożsamości w sposób zdecentralizowany, uważam, że może to być jedna z najciekawszych prób Web3 w dziedzinie AI, mająca unikalną wartość komercyjną. Ten artykuł to sugestia, którą dałem Francisowi po rozmowie, potrzebny jest długi tekst, aby pokazać, czego naprawdę potrzebuje Agent oraz aby więcej ludzi zobaczyło, co robią, dlaczego warto zwrócić na to uwagę, warto przeczytać.
- Viola Lee (@violawgmi)
#zCloakNetwork #zCloakAI #AIAgent #Anthropic
Interesujące treści IC, którymi się martwisz.
Postęp technologiczny | Informacje o projekcie | Globalne wydarzenia
Zapisz i obserwuj kanał IC na Binance.
Bądź na bieżąco z najnowszymi informacjami.