
Uniunea Europeană riscă să rămână cu reguli prea lente pentru o nouă generație de atacuri cibernetice conduse de agenți AI autonomi, avertizează un raport Carnegie Europe semnat de Raluca Csernatoni și Patryk Pawlak. Autorii spun că problema nu mai este doar folosirea inteligenței artificiale de către hackeri, ci apariția unor sisteme capabile să acționeze singure, să combine instrumente, să învețe din rezultate și să continue operațiuni la viteză de mașină.
Pe scurt
-
Raportul Carnegie Europe analizează trecerea de la instrumente AI asistive la agenți AI capabili să conducă operațiuni cibernetice cu intervenție umană limitată.
-
Autorii spun că agenții AI pot face recunoaștere, identifica vulnerabilități, genera exploit-uri, executa atacuri și ajusta pașii următori în funcție de rezultat.
-
UE are reguli importante prin AI Act și pachetul de securitate cibernetică, dar acestea nu tratează agentic AI ca o categorie distinctă.
-
Raportul avertizează că sistemele autonome creează riscuri noi în interiorul organizațiilor, pentru că acționează cu permisiuni legitime, nu doar prin atacuri externe.
-
Carnegie Europe cere monitorizare în timp real, loguri pentru acțiunile agenților, reguli pentru acces, raportare de incidente și reducerea dependenței Europei de modele AI americane.
Raportul pornește de la cazul Moltbook, o platformă lansată în ianuarie 2026 ca rețea socială pentru agenți AI, nu pentru oameni. În câteva zile, peste 1,5 milioane de conturi de agenți au fost create. O eroare de configurare a expus 1,5 milioane de tokenuri API, zeci de mii de adrese de e-mail și comunicații private între agenți.
Pentru autori, incidentul arată ce se schimbă când agenții AI nu mai sunt instrumente izolate, ci devin o populație digitală. În spatele celor peste 1,5 milioane de conturi se aflau doar 17.000 de operatori umani, fiecare controlând în medie aproape 90 de agenți. Într-un asemenea sistem, identificarea autorului, a responsabilului și a intenției devine mult mai dificilă.
Agentic AI înseamnă sisteme care combină modele lingvistice mari cu memorie, acces la instrumente, capacitate de planificare și bucle de feedback. Un agent poate observa mediul, alege o acțiune, o executa, evalua rezultatul și decide următorul pas fără instrucțiuni umane pentru fiecare etapă.
În securitate cibernetică, acest lucru schimbă structura atacului. Un operator uman nu mai trebuie să facă manual fiecare pas al lanțului de atac. Poate lansa zeci, sute sau mii de agenți care lucrează simultan, testează ținte, caută vulnerabilități, scriu cod și încearcă metode de intruziune.
Raportul descrie trei schimbări majore. Prima este autonomia: atacatorii pot delega decizii către agenți software. A doua este scara: un singur operator poate coordona un număr mare de agenți. A treia este apariția unor suprafețe cognitive de atac, prin care adversarii nu mai exploatează doar erori de software, ci comportamentul sistemelor AI prin prompt injection, jailbreak-uri sau manipularea datelor.
Un exemplu analizat este operațiunea dezvăluită de Anthropic în noiembrie 2025, în care un grup susținut de China ar fi folosit modelul Claude ca element central într-o campanie de intruziune cibernetică. Potrivit raportului, sistemul ar fi realizat 80-90% din operațiune fără ghidaj uman substanțial, de la recunoaștere și detectarea vulnerabilităților până la dezvoltarea exploit-urilor, acces inițial și exfiltrare de date.
Raportul menționează și alte cazuri de utilizare a AI de către actori statali sau criminali. Grupuri asociate Rusiei, Chinei, Iranului și Coreei de Nord au experimentat cu modele AI pentru recunoaștere, phishing, dezvoltare de infrastructură de comandă și control sau sprijin pentru exfiltrarea datelor. Pentru autori, folosirea modelelor comerciale în operațiuni ofensive devine o problemă structurală, nu o excepție legată de o singură companie.
O vulnerabilitate importantă este iluzia că modelele se pot controla singure prin reguli de siguranță. Raportul arată că safety alignment, adică antrenarea modelelor să refuze cereri periculoase, nu este suficientă împotriva adversarilor care folosesc prompturi persistente, jailbreak-uri sau instrucțiuni ascunse în documente, e-mailuri sau pagini web.
Cazul Microsoft 365 Copilot este folosit pentru a arăta riscul din mediul corporativ. În februarie 2026, Microsoft a confirmat că o eroare a permis asistentului AI să rezume e-mailuri confidențiale timp de săptămâni, ocolind politici de prevenire a pierderii de date și etichete de sensibilitate. Sistemul nu a fost instruit să facă rău, dar avea acces semantic larg la e-mailuri și documente interne.
Pentru organizații, pericolul este că un agent AI acționează din interiorul unui mediu de încredere. El poate avea acces la e-mailuri, fișiere, baze de date, conversații, parole, aplicații interne și servicii externe. Dacă întâlnește o instrucțiune rău intenționată într-un document sau pe o pagină web, o poate interpreta ca parte a sarcinii sale și poate trimite date în afara organizației.
Raportul folosește conceptul de „lethal trifecta” pentru agenți AI: acces la date private, contact cu conținut neîncredibil și capacitate de comunicare externă. Când aceste trei elemente apar împreună, un agent poate fi manipulat să preia date interne și să le transmită în exterior sub aparența unei sarcini legitime.
Această problemă nu este acoperită complet de instrumentele clasice de securitate cibernetică. Apărările tradiționale caută intruziuni din exterior, fișiere suspecte, malware, conturi compromise sau trafic anormal. Agenții AI pot însă acționa cu permisiuni reale, în interiorul sistemelor, iar comportamentul lor poate devia lent sau în pași distribuiți, fără un singur eveniment ușor de detectat.
Carnegie Europe avertizează că actualul cadru european nu este adaptat suficient. AI Act reglementează anumite utilizări și contexte, dar nu tratează agentic AI ca o categorie separată. În plus, sistemele folosite exclusiv în scop militar, de apărare sau securitate națională sunt în afara domeniului principal de aplicare al legii, deși unele dintre cele mai importante capabilități autonome cibernetice pot apărea tocmai acolo.
Pachetul UE de securitate cibernetică întărește reziliența, lanțurile de aprovizionare, coordonarea în crize și protecția infrastructurilor critice. Raportul spune însă că acest cadru rămâne legat de un model mai vechi al amenințării: componente nesigure, furnizori externi, atacuri de rețea și reacție după incident. Agenții AI aduc un risc diferit: sisteme autorizate care pot fi orientate în direcția greșită.
Autorii cer ca supravegherea să nu se oprească la certificarea produsului înainte de lansare. Un sistem autonom poate trece un test de securitate într-un mediu și se poate comporta diferit mai târziu, când primește noi instrumente, acces la alte date sau întâlnește conținut ostil.
Raportul propune monitorizare la momentul rulării, nu doar verificare înainte de piață. Organizațiile care folosesc agenți AI ar trebui să știe ce sisteme pot accesa, ce acțiuni pot executa, cum sunt înregistrate acțiunile lor, cine poate autoriza operațiuni sensibile și când un agent trebuie încetinit, suspendat sau blocat.
ENISA ar putea avea un rol important în elaborarea ghidurilor practice, standardelor și canalelor de raportare pentru incidente legate de agenți AI. Raportul cere și cooperare mai puternică între echipele naționale de răspuns la incidente cibernetice, centrele sectoriale de schimb de informații și autoritățile europene.
O altă problemă este dependența Europei de modelele și infrastructura AI din Statele Unite. Raportul arată că SUA integrează mai rapid AI în strategia cibernetică și militară, inclusiv în zona operațiunilor ofensive, în timp ce UE rămâne concentrată pe reguli, reziliență, managementul riscurilor și constrângeri juridice.
Această diferență poate crea o vulnerabilitate strategică pentru Europa. Actorii publici și privați europeni pot ajunge să depindă de modele americane ale căror setări de siguranță, condiții de acces și utilizări în apărare sunt influențate de doctrine, contracte și priorități de securitate națională din SUA.
Raportul menționează cazul în care o directivă a guvernului american a cerut Anthropic să suspende accesul străinilor la unele modele, inclusiv pentru propriii angajați, și disputa dintre companie și Departamentul Apărării privind accesul militar la Claude. Pentru Europa, problema este controlul: furnizorii pot fi presați de statul american, iar condițiile de utilizare pot fi schimbate prin decizii unilaterale.
Carnegie Europe nu cere ca UE să copieze postura ofensivă a Statelor Unite sau a Chinei. Autorii propun mai degrabă o strategie de reziliență asimetrică, bazată pe apărare AI, redundanță, recuperare rapidă și reducerea câștigului strategic al atacatorilor. Spitalele, municipalitățile, utilitățile și operatorii mici de infrastructură critică sunt descriși ca puncte vulnerabile, pentru că au resurse tehnice mai slabe și capacitate redusă de răspuns.
Raportul cere și reguli internaționale mai clare pentru operațiunile cibernetice autonome, mai ales când vizează infrastructură civilă, spitale sau sisteme legate de comandă și control nuclear. Desfășurările cu risc ridicat ar trebui să ceară aprobare politică și evaluări documentate de risc, nu doar decizii operaționale sau angajamente de siguranță din partea furnizorilor.
Autorii concluzionează că UE trebuie să își regândească o parte importantă a cadrului digital, nu doar legislația de securitate cibernetică. Agenții AI pot afecta reglementarea financiară, platformele online, protecția muncii, media și infrastructurile publice, pentru că multe reguli actuale presupun existența unui operator uman identificabil.
Pentru UE, întrebarea centrală devine ce funcții pot fi delegate agenților autonomi, unde autonomia trebuie limitată strict și ce decizii trebuie să rămână sub control uman. Fără reguli de rulare, loguri, autentificare, limite de acces și capacitate proprie de apărare AI, Europa riscă să reglementeze marginile unui ecosistem ale cărui decizii esențiale de securitate sunt luate în altă parte.