Bezpečnostní experti ze společnosti ESET zveřejnili zprávu o globálních kybernetických hrozbách Threat Report za období od prosince 2025 do května 2026. První polovina roku 2026 ukázala, jak útočníci nadále zvyšují efektivitu a škálovatelnost svých operací a stále významnější roli hraje v tomto vývoji umělá inteligence.
Společnost ESET analyzovala téměř 900000 AI skillů (dovedností) - malých funkčních komponent využívaných AI agenty. Identifikovala desítky tisíc podezřelých a tisíce jednoznačně škodlivých vzorků. Umělá inteligence se navíc začíná objevovat přímo v malwaru - v únoru roku 2026 experti varovali před škodlivým kódem PromptSpy, první známým malwarem pro platformu Android, který využívá generativní AI.
"Útočníci se nespoléhají na zcela nové metody a nástroje, ale rychle přizpůsobují osvědčené techniky novým platformám, technologiím a chování uživatelů. Počet AI skillů v tomto novém ekosystému aktuálně rychle roste, čímž se dále rozšiřuje útočný prostor. Na druhou stranu případ malwaru PromptSpy ukazuje, jak by mohly být budoucí hrozby flexibilnější, i když ochranná opatření proti zneužití, která jsou součástí velkých jazykových modelů, pravděpodobně zpomalují jejich zavádění," říká Jiří Kropáč, vedoucí výzkumné pobočky společnosti ESET v Brně.
AI skilly jsou malá rozšíření nebo sady instrukcí. AI agentům určují, jak mají vykonávat konkrétní úkoly, včetně toho, jaké služby či nástroje použít a k jakým datům přistupovat.
Ve zprávě ESET popisuje škodlivé AI skilly využívající útočné nástroje třetích stran, jako jsou Mimikatz nebo Impacket, i podezřelé skilly se schopností se samy modifikovat, které jsou navržené pro vytváření mechanismů perzistence (souborů JSON) a nástrojů pro vlastní modifikaci (kód v jazyce Python).
Výše popsané skutečnosti mohou vést k nepředvídatelnému chování AI agentů nebo k jejich zneužití. Experti ve zprávě popisují také neškodné, avšak problematické AI skilly.
Jedná se např. o dovednosti, které jsou propagovány jako bezpečnostní skenery, ale vytvářejí falešný pocit bezpečí, protože implementují pouze základní kontrolní mechanismy připomínající antivirové nástroje z 90. let, nebo se omezují na ověřování reputace hashů, URL adres a IP adres prostřednictvím služby VirusTotal.
Technika sociálního inženýrství ClickFix, ve které útočníci využívají chybové hlášky, se mezitím rozšířila daleko za hranice podvodných výzev CAPTCHA. Nově se objevuje také na stránkách, které nabízejí nápovědu pro práci s AI nástroji, v rozšířeních internetových prohlížečů či při ověřování přístupu do cloudového prostředí.
Případ AI-fix ukazuje, jak útočníci zneužívají důvěru uživatelů v generativní AI. Vkládají kompromitované řetězce ClickFix do obsahu vygenerovaného nástroji umělé inteligence. Na webových stránkách, které zneužívají domény předních poskytovatelů AI služeb, tak útočníci nabízí uživatelům a uživatelkám řešení neexistujících problémů.
ConsentFix zase představuje posun směrem ke krádežím tokenů. Kombinuje útok ClickFix se zneužitím autorizace OAuth. Tím útočníkům umožňuje převzít cloudové účty bez nutnosti krádeže přihlašovacích údajů. Útočníci tak často dokážou obejít vícefázové ověřování (MFA) a spoléhají se výhradně na legitimní přihlašovací procesy.
Detekce této techniky se v systémech společnosti ESET mezi druhým pololetím roku 2025 a prvním pololetím roku 2026 více než zdvojnásobily, což potvrzuje její trvalé využívání a další vývoj.
V reakci na změny v chování uživatelů se vyvíjejí i phishingové kampaně. Phishing prostřednictvím QR kódů, známý také jako quishing, dosáhl v telemetrii společnosti ESET rekordních hodnot.
Útočníci vkládají škodlivé odkazy do QR kódů, aby obešli kontrolní mechanismy. Zneužívají přitom důvěru, kterou mnoho lidí k těmto čtvercovým kódům chová. Přibližně 11 % všech phishingových e-mailů, které byly detekovány v prvním pololetí roku 2026, obsahovalo QR kódy.
Kyberbezpečnostní analytici tyto hrozby nejčastěji zaznamenali ve Spojených státech (19 % detekcí), ve Španělsku (17 %) a Mexiku (6 %).
Globální prostředí ransomwaru nevykazovalo během sledovaného období žádné známky útlumu. Útočníci nadále využívají takzvané EDR killery - nástroje určené k vypnutí bezpečnostního softwaru během útoků. Bezpečnostní experti z ESETu zdokumentovali více než 100 různých EDR killerů používaných v reálných útocích a pravidelně se objevují jejich nové varianty.
Počet ransomwarových útoků v prvním pololetí roku 2026 dále rostl, avšak počet obětí ochotných zaplatit výkupné klesl na historické minimum. Tento klesající trend potvrdily také další tři kyberbezpečnostní zprávy, podle nichž výkupné zaplatilo pouze 14 až 28 % napadených organizací.
Článek ESET software spol. s r. o. ze dne pondělí 13. července 2026
Kyberútočníci díky AI zlepšují své útoky
Ransomwarový gang Gentlemen využívá pro obcházení zabezpečení EDR killery
Český ESET se podílel na zásahu proti botnetu Amadey a infostealeru Stealc
Jak přemýšlíme nad volbou operačního systému svého telefonu v kontextu kybernetické bezpečnosti
Finančními výsledky české pobočky ESET za rok 2025
ESET vstupuje do strategického partnerství s NATO
ESET investuje do inovací v oblasti AI
Modulární řešení ESET PRIVATE pro velké firmy, vládní sektor a kritickou infrastrukturu
Nové funkce v platformě ESET PROTECT pro bezpečné firemní používání AI nástrojů
Malware NGate zneužívá NFC při kyberútocích v Česku stále častější
eCrime reporty o kybernetické kriminalitě
Akční nabídka kybernetické ochrany ESET pro domácnosti a koncové uživatele
Platforma ESET PROTECT minimalizuje rizika kybernetických hrozeb
Jak Češi využívají komunikační platformy
Malware PromptSpy pro platformu Android zneužívá generativní AI
Pražská výzkumná pobočka ESET slaví 15 let
ESET komentuje zpřístupnění dat uživatelů sociální sítě Moltbook pro AI agenty
Polský energetický sektor byl cílem ruských hackerů
Ransomwarová scéna ve světě a Česku za rok 2025
Předpověď kybernetických hrozeb pro rok 2026
Chytré telefony na svátky odkládáme a preferujeme fyzické dárky
Roste obliba online nákupů ze zemí EU a Asie
Analýza phishingových útoků na Českou republiku
Výrobci dronů v Evropě čelí útokům severokorejských hackerů
Malware se maskuje za aplikaci ČNB, útočníci pak pomocí NFC technologie vybírají peníze z bankomatů
ESET posiluje nabídku řešení pro domácnosti
Windows 10 aktuálně využívá třetina českých uživatelů
APT skupiny s napojením na ruskou FSB zaútočili na vysoce postavené cíle na Ukrajině
Ransomware PromptLock řídí umělá inteligence
Tři roky ochrany v online světě za cenu dvou let pro domácnosti i firmy
ESET se zapojuje do programu CIEP v boji proti kyberkriminalitě
ESET posiluje investice do výzkumu a vývoje
Chytrý telefon je přirozenou součástí letního cestování
Jan Urbík - nový Country manažer ESET v České republice
Růst zájmu o služby spravované detekce a reakce ESET MDR
Jak se vyhnout kybernetickým rizikům během letních festivalů
ESET věnuje tři miliony eur na projekt lorAI - Low Resource AI
Phishingové útoky jsou nedílnou součástí kybernetických rizik
Zpráva o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby
Pozor na kybernetická rizika při nákupu kryptoměn
Změny v ekosystému ransomwarových gangů
Platforma ESET PROTECT posiluje kybernetickou bezpečnost firem
Útočná skupina DeceptiveDevelopment cílí na vývojáře softwaru
Jak bezpečně stahovat a spravovat aplikace v chytrém mobilním telefonu
Michal Červenka - nový marketingový ředitel české pobočky ESET
ESET Threat Report H2 2024 analyzuje globální vývoj kybernetických hrozeb
Roste obliba nákupů prostřednictvím chytrého telefonu a mimo klasické české e-shopy
ESET objevil zranitelnosti v produktech Mozilla a Windows