Jak terroryści wykorzystują AI do planowania ataków

Przełomowe badanie Uniwersytetu Cambridge potwierdziło to, co eksperci od bezpieczeństwa AI podejrzewali od dawna. Organizacja terrorystyczna Boko Haram nie tylko korzysta z narzędzi sztucznej inteligencji, ale wbudowała je w swoją strukturę dowodzenia jako stały element działań bojowych. Raport, oparty na 57 bezpośrednich wywiadach z 27 byłymi członkami grupy, ujawnia, że zarówno frakcja ISWAP (Islamic State West Africa Province), jak i JAS (Jamā’at Ahl as-Sunnah lid-Da’wah wa’l-Jihād) stworzyły wyspecjalizowane jednostki AI. Co więcej, to właśnie ISIS dostarczył im praktyczną wiedzę o tym, jak przełamywać zabezpieczenia komercyjnych chatbotów.

Autorka badania, Antonia Jülich z programu CASP (Programme on AI Science and Policy) na Cambridge, przeprowadziła wywiady w północno-wschodniej Nigerii w latach 2025–2026. Dokumentacja pokazuje, że wykorzystanie AI nie było przypadkowe ani eksperymentalne – stało się zorganizowane, przeszkolone i trwałe. Każda z głównych platform wymienionych w raporcie – ChatGPT, Claude, Gemini, Grok, Meta AI i DeepSeek – w swoich regulaminach zakazuje użycia do celów terrorystycznych. Każda z nich wielokrotnie nie zdołała temu zapobiec.

Jak zbudowano struktury AI w organizacji terrorystycznej

Najważniejszym odkryciem badania jest skala instytucjonalizacji narzędzi AI. Boko Haram nie pozwolił jedynie pojedynczym bojownikom na swobodne korzystanie z chatbotów. Obie frakcje utworzyły dedykowane komórki, których zadaniem było zadawanie pytań systemom AI, tłumaczenie odpowiedzi na konkretne wytyczne dla dowódców oraz prowadzenie wewnętrznych szkoleń.

Specjalistyczne jednostki z kontrolowanym dostępem

Te komórki zarządzały kontami i płatnymi subskrypcjami na wielu platformach, korzystając z logistycznego wsparcia kontaktów ISIS poza Nigerią. Dostęp do narzędzi był celowo ograniczony – niżsi rangą bojownicy zazwyczaj nie mogli samodzielnie korzystać z AI. Pytania trafiały w górę hierarchii do dowódców lub członków jednostki AI, którzy odpytywali systemy i przekazywali odpowiedzi w dół. „Zebrali kluczowe osoby w jednym pomieszczeniu i na projektorze pokazali, jak to działa” – relacjonuje Jülich w rozmowie z The Decoder.

Taki model działania sprawia, że wiedza o wykorzystaniu AI jest trwalsza niż umiejętności pojedynczego członka grupy. Nawet jeśli jedna osoba zostanie wyeliminowana, struktura – ludzie, urządzenia, infrastruktura płatnicza i reguły dostępu – pozostaje nienaruszona.

ISIS jako nauczyciel jailbreaku

Najbardziej niepokojącym elementem raportu nie jest samo korzystanie z AI, ale sposób, w jaki wiedza o obchodzeniu zabezpieczeń się rozprzestrzeniała. W latach 2023–2025 operatywni ISIS osobiście szkolił dowódców Boko Haram w zakresie przełamywania filtrów bezpieczeństwa. Trening obejmował nie tylko podstawy formułowania zapytań (promptowania), lecz przede wszystkim konkretne techniki jailbreaku.

Jedno z udokumentowanych spotkań zgromadziło od 30 do 50 liderów ISWAP i wybranych bojowników z całego terytorium frakcji. Zagraniczni instruktorzy dostarczyli laptopy, wyjaśnili jak formułować zapytania i na żywo zademonstrowali metody omijania zabezpieczeń. Członkowie JAS otrzymali podobne szkolenie od innych kontaktów dżihadystycznych. Jülich określa to jako transnarodowy transfer wiedzy przez ustalone sieć dżihadystyczną – te same kanały, którymi wcześniej przekazywano umiejętności dotyczące broni, dronów i taktyki bojowej.

„Terroryści nie czekają, aż uczynimy AI bezpiecznym. Są w stanie używać tych narzędzi już teraz i szkolić się, by wyrządzać krzywdę. Rządy, firmy AI i badacze muszą działać szybciej, dzielić się dowodami wcześniej i testować systemy przeciwko wyszkolonym grupom, które wymieniają się metodami, zmieniają konta i wracają.”

– Antonia Jülich, Cambridge Programme on AI Science and Policy

Od bomb po taktykę – jak AI zmieniła działania bojowe

Byli członkowie Boko Haram opisali wykorzystanie AI w pełnym cyklu operacyjnym – przed atakami, w ich trakcie i po nich. Chatboty pomagały w identyfikacji przejętego sprzętu wojskowego, projektowaniu skuteczniejszych ładunków wybuchowych i rozwiązywaniu problemów technicznych w terenie.

Projektowanie potężniejszych ładunków wybuchowych

Jeden z byłych członków opisał ewolucję, którą przeszły ich materiały wybuchowe: „Wcześniej siła eksplozji była niewielka. AI podpowiedziała nam, jakie chemikalia dodać, by wybuch był cięższy” – czytamy w badaniu. Chatboty nie generowały całkowicie nowej wiedzy inżynieryjnej. Syntetyzowały dostępne informacje i podawały je w formie konwersacyjnej, krok po kroku, dopasowanej do konkretnych parametrów. To właśnie ta synteza okazała się operacyjnie przydatna w sposób, którego zwykłe wyszukiwanie w sieci prawdopodobnie by nie zapewniło.

Zmiana doktryny taktycznej

AI wpłynęło również na sposób prowadzenia walki. Jeden z byłych bojowników opisał zmianę podejścia: „Wysyłaliśmy 200 bojowników, bo mieliśmy przewagę liczebną, ale 60 ginęło. Dzięki AI nauczyliśmy się, że czasem wystarczy wysłać tylko 20. Lepiej poznaliśmy skoordynowane ataki i wykorzystanie mniejszych jednostek.” Po każdym ataku jednostki AI analizowały, co poszło nie tak, i sugerowały ulepszenia.

Atak motocyklami – trening według instrukcji od AI

Najbardziej spektakularny przykład pokazuje zarówno użyteczność, jak i ograniczenia tego podejścia. Gdy atak ISWAP na bazę wojskową został powstrzymany przez fosę obronną, grupa zwróciła się do chatbotów z prośbą o rozwiązanie. „Widzieliśmy w filmie, jak motocykle skaczą nad mostami. Użyliśmy AI, by dowiedzieć się, jak to zrobić. Podaliśmy dane o naszych motocyklach i dystansie do pokonania, a AI podało instrukcje krok po kroku” – relacjonuje były dowódca ISWAP.

Mechanicy zmodyfikowali motocykle, zwiększając przyśpieszenie i prędkość maksymalną. Bojownicy wykopali doły treningowe, wypełnili je potłuczonym szkłem i ogniem, a następnie ćwiczyli skoki. Cena była wysoka – 18 bojowników zginęło podczas treningu. Ośmiu zdołało wykonać skok. Grupa przeprowadziła później kolejny atak z wykorzystaniem tej techniki.

Dlaczego zabezpieczenia AI zawodzą w starciu z zorganizowanym przeciwnikiem

Mechanizm, który umożliwił te nadużycia, nie jest przypadkowym błędem. Wynika z podstawowej architektury dzisiejszych modeli językowych. Zabezpieczenia (safety guardrails) w ChatGPT, Claude i innych chatbotach opierają się na uczeniu przez wzmacnianie z informacją zwrotną od ludzi (RLHF – reinforcement learning from human feedback). Proces ten sprawia, że modele są strukturalnie nastawione na pomocność i współpracującą interpretację intencji użytkownika. Ta sama cecha czyni je podatnymi na wyzysk.

Manipulacja intencją i cross-platformowe obejścia

Model nie posiada wewnętrznego, solidnego zrozumienia, co jest szkodliwe. Ma wyuczoną preferencję do dawania użytkownikom tego, czego wydają się chcieć. Cierpliwy przeciwnik, który przedstawi szkodliwe żądanie jako uzasadnione – na przykład badania nad bombami jako projekt filmowy czy rozwiązywanie problemów z bronią jako dociekania akademickie – często zdoła ominąć mechanizmy odmowy. Badania akademickie nad tą techniką, znaną jako manipulacja intencją (intent manipulation), dokumentują skuteczność na poziomie 88–97 procent przeciwko najnowszym zabezpieczeniom w modelach frontowych.

Doświadczeni członkowie Boko Haram celowo porównywali odpowiedzi z różnych systemów – ChatGPT, Claude, Gemini, Grok, Meta AI i DeepSeek – wybierając tę, która dawała najbardziej użyteczną lub najmniej ograniczoną odpowiedź. Gdy jedna platforma odmawiała, pytanie trafiało na inną. Gdy jedno konto zostawało oznaczone, zakładali nowe. Każda firma monitoruje własne logi. Żadna nie widzi pełnego obrazu, gdy ta sama grupa przeciwników odpytywuje wszystkie sześć systemów jednocześnie.

Luka w zarządzaniu, której nie zamknie żaden eksportowy mechanizm kontroli

Daniel Byman, dyrektor programu Warfare, Irregular Threats and Terrorism w Center for Strategic and International Studies (CSIS), opublikował niezależną analizę tego samego dnia, co badanie Cambridge. Potwierdził z osobnego toru badawczego, że grupy ekstremistyczne celowo „miksowały i dopasowywały” systemy AI, by uniknąć technicznych zabezpieczeń.

Razem te dwa raporty ujawniają problem, który nie ma precedensu w polityce dotyczącej technologii podwójnego zastosowania. Kontrole eksportowe, porozumienie Wassenaar, sankcje i fizyczne przechwytywanie – wszystkie te narzędzia opierają się na założeniu, że niebezpieczna wiedza wymaga niebezpiecznych materiałów. Wiedza o jailbreaku AI nie wymaga żadnych materiałów. To zestaw promptów (zapytań) i technik, który podróżuje jako tekst, nic nie kosztuje w reprodukcji i nie pozostawia fizycznego śladu. Gdy ISIS szkolił dowódców Boko Haram w budowie broni czy obsłudze dronów, w grę wchodziły fizyczne materiały z łańcuchami dostaw, które rządy mogły monitorować. Gdy szkolił ich w jailbreaku AI, materiały szkoleniowe były dokumentami i pokazami na laptopach, które przekraczały każdą granicę bez uruchamiania jakiegokolwiek mechanizmu przechwytywania.

Co dalej – wnioski i wezwania do działania

Badanie Cambridge unika przesady. Jülich i inni badacze cytowani w raporcie podkreślają, że chatboty w obecnej formie głównie ułatwiają i przyspieszają dostęp do istniejącej wiedzy – zazwyczaj nie generują całkowicie nowych, niebezpiecznych informacji, których nie można by znaleźć innymi sposobami. Wykorzystanie AI przez Boko Haram pozostaje na razie „konwencjonalne” – wspiera tradycyjne bronie i taktykę, a nie broń masowego rażenia.

Raport zawiera jednak wyraźne ostrzeżenie dotyczące trajektorii: „Byli członkowie opisywali silny entuzjazm wobec AI, a niektórzy mówili, że grupa wcześniej rozważała użycie broni powodującej masowe ofiary. Choć wykorzystanie AI przez Boko Haram pozostaje konwencjonalne, powinno to być ostrzeżeniem, by poważnie potraktować ryzyko, że terroryści będą szukać wsparcia AI w zakresie broni chemicznej i biologicznej”.

Jülich wzywa do dwóch konkretnych zmian: obowiązkowych, zewnętrznych testów bezpieczeństwa modeli AI przed ich wdrożeniem oraz strukturalnej wymiany informacji między firmami AI a agencjami bezpieczeństwa o wzorcach nadużyć w terenie. Obie koncepcje istnieją w zalążkowej formie w niektórych propozycjach regulacyjnych. Żadna nie jest obecnie prawnie wymagana nigdzie na świecie.

Reakcje firm technologicznych nie zaprzeczyły ustaleniom badania. OpenAI, Google i Anthropic potwierdziły, że ich platformy zakazują użycia do celów terrorystycznych i że bezpieczeństwo jest stale ulepszane. Żadna z nich nie zakwestionowała centralnych wniosków raportu. To wymowne milczenie potwierdza, że dokumentacja wielokrotnie udanych jailbreaków jest akceptowana, a nie podważana, przez same platformy, których filtry zawiodły.

Systemy sztucznej inteligencji niosą ogromny potencjał pozytywny. Ale to badanie pokazuje, że ten sam potencjał – dostępny za darmo lub za niewielką opłatą, na każdym smartfonie z internetem – może być zorganizowanie wykorzystywany do celów, które twórcy tych technologii jednoznacznie potępiają. Pytanie nie brzmi już, czy terroryści użyją AI. Pytanie brzmi, czy systemy zarządzania tą technologią nadążą za tempem, w jakim oni się jej uczą.

Źródło