Supply Chain KRYTYCZNE
Supply Chain Vulnerabilities · OWASP 2025
Łańcuch dostaw LLM jest podatny na ataki na wielu poziomach: dane treningowe, modele bazowe, biblioteki ML, platformy wdrożeniowe. Specyficzne dla AI ryzyka to zatrute modele pre-trained, podatne adaptery LoRA, manipulacja przy merge'owaniu modeli na platformach jak Hugging Face oraz podatności modeli on-device.
Zatrute dane treningowe
Backdoor w modelu pre-trained
Podatny adapter LoRA
Fałszywy model na HuggingFace
Niejasne T&C dostawcy
Przykład: Firma pobiera popularny model open-source który był fine-tuned z backdoorem — przy określonych frazach ujawnia dane lub zachowuje się inaczej niż dokumentacja. Realny atak: PoisonGPT na Hugging Face.
Mitygacja: Weryfikuj źródła modeli (hashes, signing). Sprawdzaj T&C dostawców. Utrzymuj Software Bill of Materials (SBOM / AI BOM). Red teaming modeli przed wdrożeniem. Pinuj konkretne wersje.
🔴 Realny przypadek — kwiecień 2026
Ktoś kupił 30 wtyczek WordPress i zasadził backdoor we wszystkich
Nabywca o pseudonimie "Kris" kupił na platformie Flippa portfel 30+ wtyczek WordPress za sześciocyfrową kwotę. Pierwszym commitem po przejęciu był backdoor ukryty w pliku logowania zmiany jako "kompatybilność z WordPress 6.8.2". Złośliwy kod spał przez 8 miesięcy, po czym w ciągu jednej nocy (6 IV 2026) zainfekował strony wszystkich użytkowników tych wtyczek — wstrzykując spam SEO widoczny tylko dla Googlebota, sterowany przez adres zakodowany w smart kontrakcie Ethereum (odporny na standardowe blokowanie domen). WordPress.org zamknął wszystkie 31 wtyczek w ciągu jednego dnia.
LLM03 Supply Chain
Backdoor w kodzie
Przejęcie przez M&A
8 miesięcy uśpiony
Lekcja dla menedżera: Każde narzędzie które instalujesz — wtyczka, biblioteka, model AI z repozytorium — ma historię własności. Zmiana właściciela to moment najwyższego ryzyka. Twój "zaufany dostawca" wczoraj może być podmiotem ataku dziś.
Źródło: anchor.host · Austin Ginder · 9 kwietnia 2026
🟡 Realny przypadek — marzec 2024
XZ Utils — backdoor budowany przez 2 lata cierpliwości
Atakujący o pseudonimie "Jia Tan" przez dwa lata budował zaufanie w projekcie XZ Utils — pomagał, commitował, recenzował kod innych. Gdy zdobył prawa do merge'owania, wstrzyknął backdoor w bibliotekę kompresji będącą częścią praktycznie każdego systemu Linux. Odkryty przypadkowo przez inżyniera Microsoftu który zauważył że SSH loguje się o 500ms wolniej niż powinien. Gdyby trafił do produkcji — potencjalny dostęp do milionów serwerów.
LLM03 Supply Chain
Social engineering
2 lata budowania zaufania
Lekcja: "Zaufany kontrybutor" to nie to samo co "bezpieczny kod". Im popularniejszy projekt, tym bardziej atrakcyjny cel długoterminowego ataku.
Źródło: Openwall, Ars Technica · Andres Freund (Microsoft) · marzec 2024
🔵 Realny przypadek — styczeń 2022
colors.js / faker.js — autor sabotuje własny projekt z frustracji
Marak Squires, autor bibliotek z milionami pobrań tygodniowo, celowo wprowadził infinite loop do colors.js zastępując output komunikatem "LIBERTY LIBERTY LIBERTY". Powód: frustracja że korporacje zarabiają na jego darmowej pracy bez wsparcia finansowego. Tysiące projektów produkcyjnych przestało działać z dnia na dzień — bez żadnego zewnętrznego atakującego. Wystarczyła decyzja jednej osoby.
LLM03 Supply Chain
Sabotaż przez właściciela
Natychmiastowy efekt
Lekcja: Atakujący to nie zawsze zewnętrzny haker. Wypalony twórca open source to też ryzyko. Zależność od jednej osoby bez planu ciągłości to luka architektoniczna.
Źródło: GitHub Issues, Snyk Blog · Marak Squires · styczeń 2022
Trzy twarze ataku na łańcuch dostaw
Przejęcie M&A
WordPress plugins
8 miesięcy
Social engineering
XZ Utils
2 lata
Sabotaż właściciela
colors.js
natychmiastowy
Jeden wspólny mianownik: zaufałeś — i nie sprawdziłeś. W świecie AI dochodzi model pre-trained, adapter LoRA, dataset z Hugging Face — każdy z nich to potencjalny wektor tego samego ataku.