Z tego artykułu dowiesz się:
- W jaki sposób polska technologia AI rewolucjonizuje audyty bezpieczeństwa w oprogramowaniu open-source.
- Jakie krytyczne luki w systemach używanych przez setki milionów ludzi zidentyfikowało polskie narzędzie.
- Dlaczego suwerenność cyfrowa staje się kluczowa dla banków i firm o znaczeniu strategicznym.
Warszawski deeptech Striga, który właśnie pozyskał 1 mln euro w rundzie seed, zaprzągł sztuczną inteligencję do automatycznego audytowania kodów źródłowych. Rozwiązanie to rewolucjonizuje rynek bezpieczeństwa aplikacji, odpowiadając na rygorystyczne unijne regulacje oraz rosnącą potrzebę suwerenności technologicznej.
Szukanie dziury w open-source
W świecie nasilającej się cyberwojny tradycyjne metody ochrony oprogramowania przestają wystarczać. Kluczowe systemy biznesowe i państwowe rzadko są budowane od zera – w przeważającej mierze składają się z darmowych, powszechnie dostępnych komponentów o otwartym kodzie źródłowym (open-source). To właśnie w tym niewidzialnym cyfrowym łańcuchu dostaw kryje się dziś największe zagrożenie. Lukę tę postanowił zapełnić polski deeptech. System stworzony przez zespół kierowany przez Franciszka Kalinowskiego oraz Bartłomieja Dmitruka nie tylko automatycznie przeszukuje cudzy kod źródłowy, ale, co jest jego kluczowym wyróżnikiem w rywalizacji z innymi rozwiązaniami rynkowymi, dla każdego wykrytego błędu dostarcza tzw. działający proof of concept – niepodważalny, namacalny dowód na to, że luka jest realna, a system da się w tym miejscu skutecznie zhakować. To diametralnie skraca czas reakcji działów IT. Osiągnięcia technologiczne warszawskiej firmy zostały już dostrzeżone na arenie międzynarodowej – spółka została zakwalifikowana do globalnego, elitarnego programu startupowego NVIDIA Inception, a jej znaleziska opisały czołowe światowe media branżowe, w tym The Hacker News, Security Affairs oraz Help Net Security. Co więcej, oficjalne i imienne potwierdzenie zgłoszeń Strigi (dotyczących m.in. takich systemów jak Ollama, Logseq czy pac4j) wydał sam CERT Polska. Choć projekt znajduje się w fazie intensywnego rozwoju komercyjnego, system obsługuje już ponad 30 języków programowania i pozyskał pierwszych klientów w Europie i Azji.
Wiele o wyjątkowości polskiego rozwiązania mówi również fakt, że Striga pozyskała właśnie 1 mln euro w rundzie seed (zalążkowej). Pieniądze popłynęły od prywatnego inwestora z branży cyberbezpieczeństwa. Pozyskany kapitał posłużyć ma do rozbudowy zespołu badawczo-inżynierskiego, rozwoju wdrożeń w architekturze chmurowej (cloud) oraz lokalnej (on-premise), a także finansowania dalszych zaawansowanych badań.
Czytaj więcej
Samo wdrożenie dyrektywy NIS2 nie uchroni polskiego biznesu przed rosnącą falą cyberataków, jeśli na rynku wciąż będzie brakować praktyków. Krakows...
AI w służbie etycznego hackingu
Sukces warszawskiego start-upu nie jest dziełem przypadku, lecz efektem specyficznej symbiozy. Striga to tzw. spin-off (firma wydzielona) z warszawskiego ISEC – legendarnej w polskim świecie cyberbezpieczeństwa spółki, która od dwóch dekad zajmuje się testowaniem odporności systemów. O klasie jej ekspertów świadczy fakt, że znajdują się w prestiżowych „galeriach sław” (z ang. hall of fame) takich potentatów jak Apple czy Microsoft oraz instytucjach, jak Departament Obrony USA.
Teraz tę unikalną wiedzę przelano w kod sztucznej inteligencji. Efekt? Tylko w tym roku Striga zgłosiła ponad 20 tzw. podatności CVE. Pod tym skrótem kryją się oficjalne, globalne certyfikaty potwierdzające odkrycie krytycznych dziur w oprogramowaniu. Polskie narzędzie zidentyfikowało je w systemach, z których korzystają setki milionów ludzi. Mowa m.in. o serwerze Apache (napędza co czwartą stronę w sieci), bibliotece axios (ponad 100 mln pobrań tygodniowo), platformie n8n (wielomiliardowy system do automatyzacji procesów w korporacjach) oraz Ollamie – absolutnym fundamencie dzisiejszego biznesowego AI, pobieranym przez programistów ponad 50 milionów razy miesięcznie. Część z odkrytych przez Polaków luk pozwalała cyberprzestępcom na całkowite, zdalne przejęcie kontroli nad zaatakowaną infrastrukturą.
W dobie, gdy rynek bezpieczeństwa aplikacji wycenia się na około 15 mld dol., przy stałym, dwucyfrowym tempie wzrostu, technologia Strigi trafia w idealny moment. Unia Europejska systematycznie dokręca śrubę regulacyjną, wymuszając na sektorze finansowym oraz operatorach infrastruktury krytycznej bezwzględną dbałość o odporność cyfrową. Przepisy takie jak dyrektywa NIS2, unijne rozporządzenie DORA oraz nadchodzący Cyber Resilience Act nakładają na zarządy spółek osobistą i finansową odpowiedzialność za niedopatrzenia w sferze IT.
Gra idzie o suwerenność
W tym miejscu kluczowy staje się aspekt suwerenności cyfrowej, na który mocno stawiają twórcy platformy. Bartłomiej Dmitruk, współzałożyciel i wiceprezes Strigi, stawia sprawę jasno: Bezpieczeństwo, na którym opiera się cały internet, nie powinno zależeć od zamkniętego modelu jednego zagranicznego dostawcy.
– Ponad 20 CVE w oprogramowaniu używanym przez setki milionów ludzi to dowód, że sztuczna inteligencja potrafi znajdować realne, poważne luki. Teraz chcemy, żeby taki audyt był w zasięgu każdego zespołu, a nie tylko tych, których stać na drogich ekspertów, i żeby działał na otwartych modelach, u klienta – podkreśla.
Czytaj więcej
Polska buduje dziś swoją cyfrową suwerenność i bezpieczeństwo, ale jego trwałość zależy od tego, czy jako społeczeństwo zrozumiemy, że w cyberprzes...
Striga została zaprojektowana tak, aby działać na otwartych, transparentnych modelach sztucznej inteligencji (open-source). System może być w całości wdrożony bezpośrednio w wewnętrznej, odizolowanej od świata zewnętrznego infrastrukturze klienta (on-premise), co dla banków, instytucji państwowych czy przedsiębiorstw strategicznych jest kwestią o charakterze fundamentalnym – ich unikalny, chroniony prawem kod źródłowy nie opuszcza bezpiecznej sieci korporacyjnej i nie jest wysyłany do serwerów zewnętrznych dostawców. Jak wskazują twórcy start-upu, zdolność do audytowania i zabezpieczania strategicznych systemów nie może być zależna od humoru czy interesów zagranicznych gigantów technologicznych, którzy – oferując zamknięte modele AI – z dnia na dzień mogą ograniczyć dostęp do swoich usług lub całkowicie je wyłączyć.