Dzień dobry, nazywam się Marcin Lis i zapraszam do wysłuchania kolejnego odcinka podcastu What the Fox says.

Dzisiaj troszkę o kontrolach instalacji fotowoltaicznych, o odpowiedzialności za przestrzeganie lub bardziej nie przestrzeganie zasad RODO, o odpowiedzialności social media, a raczej ich braku,

o open source, najbardziej w kontekście niemieckim, ale też o tym, jaki to ma wpływ na resztę Unii Europejskiej i kilka tematów już bardziej naukowych niż technologicznych.

Zapraszam do wysłuchania.

Na początek o fotowoltaice.

Enea, jeden z największych dystrybutorów energii w Polsce, rozpoczęła falę kontroli przydomowych instalacji fotowoltaicznych w północno-zachodniej części kraju.

Właściciele paneli, u których wykryto niezgodności z dokumentacją, dostają pismo, w którym mają 14-dniowy termin na naprawę uchybień, a jeżeli tego nie zrobią, operator grozi im odłączeniem od sieci.

To bezprecedensowa akcja, przynajmniej na razie, bo jeszcze wcześniej takiej nie było i raczej też sygnał tego, że trzeba się rzekować, że inni operatorzy zrobią to samo.

A dlaczego w ogóle pojawiają się te kontrole?

Chodzi o to, że w regionie Enei działa blisko 200 tysięcy mikroinstalacji OZE, które mają łączną moc prawie 2 GW.

To oznacza, że w niektórych powiatach moc wytwarzana przez panele słoneczne przekracza nawet dziesięciokrotnie lokalne zapotrzebowanie na prąd.

Przy takim nasyceniu sieci każda nieprawidłowość w każdej pojedynczej instalacji może wywołać efekt kaskadowy, czyli przeciążenie, awarie, a nawet zagrożenie dla urządzeń i sąsiadów.

Oczywiście im więcej jest takich problemów, im więcej jest takich instalacji tworzących jakieś niepożądane efekty, tym bardziej te efekty się kumulują.

Operatorzy sprawdzają trzy główne rzeczy.

Zgodność mocy z instalacji z dokumentacją, poziom napięcia oraz legalność prowadzenia energii do sieci.

Podstawą oczywiście są przepisy prawa energetycznego, które dają operatorom prawo do kontroli, a nawet odłączania instalacji, jeżeli według nich zagraża ona stabilności sieci.

No więc po kolei.

Co się dzieje, gdy coś jest nie tak?

Jeżeli ENA wykryje niezgodności, właściciel dostaje pismo.

Tak jak mówiłem, 14-dniowy termin na usunięcie problemów czy awarii.

Jeżeli właściciel tego nie zrobi, grozi po odłączeniu od sieci.

Problemem jest to, że wiele instalacji zostało wykonanych w pośpiechu przez firmy o powiedzmy różnym poziomie kompetencji.

Często zdarza się, że panele lub falowniki mają inną moc niż ta, która została zgłoszona, a niekiedy jest tak, że sami właściciele dokonywali jakiejś modyfikacji bez zgłaszania zmian, a zgodnie z prawem

Coś takiego wiąże się z karą do 1000 zł.

W ostatnich latach mieliśmy korzystne warunki net meteringu, mieliśmy takie programy jak Mój Prąd, w związku z czym rynek fotowoltaiki w Polsce rozwijał się bardzo dynamicznie.

Niestety w związku z tym pojawiło się też dużo różnych mniej lub bardziej uczciwych firm instalacyjnych, które chciały na tym szybko zarobić.

Dochodziło też do niezgodności, żeby nie powiedzieć oszustw dokumentacji.

No i tak jak mówiłem czasami samowolne modyfikacje instalacji przez właścicieli.

No i teraz wszystkie takie rzeczy wychodzą właśnie podczas kontroli.

A co, jeżeli któryś z Was dostanie takie pismo?

Najważniejsze to nie ignorować tego pisma.

14 dni to wydawałoby się krótki termin, ale jest to termin wystarczający, aby np. zgłosić aktualny parametry instalacji, jeżeli coś zostało zmienione, przestawić np. nastawy falownika albo skontaktować się z firmą, która instalowała nam całą instalację fotowoltaiczną.

Jeżeli okazałoby się, że instalacja została wykonana wadliwie, no to macie prawo zgłosić reklamację.

W skrajnych, spornych sytuacjach można nawet iść do prezesa Urzędu Regulacji Energetyki, żeby się odwoływać.

W przypadku bezpodstawnego odłączenia można się też ubiegać o odszkodowanie.

Czy takie kontrole oznaczają, nie wiem, powiedzmy koniec ery fotowoltaiki w Polsce?

Na pewno nie.

Bardziej pokazują, że posiadanie własnej mikroinstalacji to jest nie tylko korzyść, ale wiążą się z tym też pewne obowiązki.

Dlatego warto regularnie sprawdzać, czy parametry instalacji zgadzają się z dokumentacją, czy nic się nie zmieniło i pamiętać o tym, że każda zmiana w instalacji musi zostać zgłoszona operatorowi.

Kolejny temat to temat Vanity Fair.

Pokazuje on, jak poważnie traktowane są kwestie prywatności w internecie i jak drogo może kosztować ich ignorowanie.

Francuskie CNIL, czyli odpowiednik polskiego UODO, nałożyło na wydawcę magazynu Vanity Fair karę w wysokości 750 tys. euro.

Dlaczego?

Dlatego, że firma systematycznie lekceważyła decyzje użytkowników w kwestii prywatności i stosowała zwodnicze praktyki.

To tak naprawdę ma być nie tylko kara, ale też sygnał dla całej branży, że z prywatnością użytkowników nie ma żartów.

Wszystko zaczęło się w 2019 roku.

Wtedy to właśnie organizacja NOIB, która jest znana z walki o prawa użytkowników sieci, złożyła skargę do SNIL.

Wydawca, czyli francuska firma Les Publications Condrenast, przepraszam za wymowę, otrzymała nakaz poprawy swoich praktyk już w 2021 roku.

Formalnie postępowanie zamknięto rok później, ale kolejne kontrole w 2023 i 2025 wykazały, że problem nadal istnieje.

Firma nie tylko nie wprowadziła niezbędnych zmian, ale wręcz kontynuowała swoje niecne praktyki.

W związku z tym SNIL nie pozostało obojętne.

No i stąd ta kara w wysokości 750 tys. euro.

A co było nie tak?

No cóż, nie był to przypadek, nie był to też błąd techniczny, co można się domyślić po tym, że firma przez lata nie zrobiła nic, mimo że była zobowiązana do usunięcia tego, co robi, zaprzestania tego, więc była to świadoma strategia mająca na celu wymuszenie śledzenia użytkowników.

A co było nie tak?

No cóż, już mówię.

Ale trzeba zaznaczyć, że patrząc na to, że wydawca miał kilka lat na zaprzestanie swoich praktyk, jeżeli byłby to błąd albo przypadek, to raczej by się to stało.

Więc można wnosić, że była to świadoma strategia, mająca na celu umożliwienie sobie śledzenia użytkowników.

W praktyce chodziło o to, że umieszczano ciasteczka śledzące na urządzeniach użytkowników jeszcze zanim użytkownicy zdążyli zobaczyć baner z prośbą o zgodę.

Czyli nieważne czy się zgodziliśmy czy nie, cookies już były.

Wiele cookies służących do personalizacji reklam było oznaczonych jako techniczne lub niezbędne.

Chodziło o to, że mieliśmy informację, że te ciasteczka są wymagane, aby strona działała, więc nie możesz ich wyłączyć, a tak naprawdę chodziło właśnie o śledzenie i zbieranie danych.

Dodatkowo nawet gdy użytkownik kliknął, że się nie zgadza, to skrypty śledzące i tak były uruchamiane.

I według analizy NOIB dane o zachowaniu użytkowników były przesyłane do 375 zewnętrznych partnerów reklamowych i to mimo braku zgody użytkowników.

Więc widać, że tutaj nie chodziło o jakiś przypadek jednostkowy.

tylko po prostu o świadome, zorganizowane działanie, które miało na celu handel danymi użytkowników.

Sprawa Vanity Fair to tak naprawdę nie tylko kara dla jednego wydawcy, ale też przypomnienie dla całej branży, że prywatność w internecie to nie jest jakiś pusty frazes, ale realne prawo i związane z tym realne konsekwencje dla tych, którzy to prawo łamią.

A teraz o social mediach, a dokładniej o odpowiedzialności gigantów technologicznych za uzależnienie od social media.

Niedawno sąd w Los Angeles wydał wyrok w sprawie, w której 20-letnia kobieta, znana jako Kaylee, pozwała Meta i YouTube za uzależnienie od mediów społecznościowych, którego doświadczyła jako dziecko.

Ławnicy sądowi uznali, że zarówno Meta, który jest właścicielem Instagrama, Facebooka, Whatsappa, jak i Google, który jest właścicielem YouTube'a, świadomie stworzyli platformy, które uzależniają i szkodzą zdrowiu psychicznemu młodych użytkowników.

Kaylee uzyskała odszkodowanie w wysokości 6 milionów dolarów, 3 miliony jako zadośćuczynienie, a 3 miliony jako odszkodowanie karne.

Sąd uznał, że obie firmy działały z premedytacją i tutaj firmy oczywiście zapowiedziały, że odwołają się od wyroku, ale wiadomo czego można by się spodziewać.

Co ciekawe, meta podkreśla, że zdrowie psychiczne nastolatków jest złożonym problemem i nie można go łączyć z jedną aplikacją.

Z kolei Google twierdzi, że YouTube to odpowiedzialnie zbudowana platforma streamingowa, a nie serwis społecznościowy.

Jednakże sąd uznał, że obie firmy ponoszą odpowiedzialność za szkody wyrządzone Kaylee.

Kaylee rozpoczęła korzystanie z YouTube'a w wieku 6 lat, a z Instagrama w wieku 9 lat.

Abstrahując od pytania, gdzie byli i co robili rodzice, to jest inna sprawa.

Kwestia jest taka, że...

Jak sama zeznała, nie napotkała żadnych blokad związanych z jej wiekiem.

Jej prawnicy argumentowali, że funkcje takie jak nieskończone przewijanie na Instagramie zostały zaprojektowane tak, aby uzależniać i nie pozwolić się oderwać od ekranu.

Kaylee opowiadała, że w wieku 10 lat zaczęła odczuwać lęk i depresję, a także obsesyjnie skupiać się na swoim wyglądzie, co w efekcie doprowadziło do diagnozy zaburzenia, które sprawia, że osoba nie jest w stanie realistycznie postrzegać swojego ciała.

W trakcie procesu ujawniono wewnętrzne dokumenty Mety, które pokazują, że firma była świadoma, iż dzieci poniżej 13 roku życia korzystają z jej platform, mimo oficjalnego zakazu.

Mark Zuckerberg, prezes Mety, przyznał, że chciałby szybszych postępów w identyfikowaniu takich użytkowników, ale twierdzi, że firma z czasem osiągnęła właściwe miejsce.

Szef Instagrama stwierdził, że 16-godzinne korzystanie z platformy przez nastolatka jest problemowe,

Ale wcale nie jest dowodem na uzależnienie.

Nie, nie w ogóle wcale.

Wyrok ten, tak czy siak, może mieć konsekwencje dla setek podobnych spraw dotączych się w amerykańskich sądach.

Wiadomo, w Stanach jest prawo oparte na precedensach, więc tam bardzo często...

W jednej sprawie szuka się podobnej sprawy i opiera się na jej wyroku, dlatego taki wyrok może być wzorem dla sędziów, którzy pracują nad podobnymi sprawami.

W Nowym Meksyku na przykład, dzień przed ogłoszeniem werdyktu w Kalifornii, sąd uznał metę winną narażania dzieci na niebezpieczne treści, w tym materiały o charakterze seksualnym i kontrakt z zabieżnikami seksualnymi.

Więc nie jest to jedyny przypadek.

Zaczyna to być taka fala i może to mieć bardzo ciekawe konsekwencje dla tych firm.

ale mówimy tutaj Meta i Google.

Tak naprawdę na początku pozwane były jeszcze TikTok, Snap, tyle że obydwie firmy zawarły poufne ugody Scaly jeszcze przed rozpoczęciem procesu.

Sprawy w sądach takie jak ta pokazują, że zmienia się relacja pomiędzy społeczeństwem a firmami technologicznymi.

Chodzi o to, że już od dawna było negatywne nastawienie do mediów społecznościowych wśród mądrzejszych, rozumiejących, co się dzieje ludzi.

Ale w tym momencie przestaje to być tylko teorią spiskową czy marudzeniem jakiegoś małego procenta ludzi.

Teraz coraz więcej krajów zaczyna myśleć lub wprowadzać ograniczenia.

Australia już wprowadziła ograniczenie dla dzieci skorzystając z mediów społecznościowych.

Wielka Brytania testuje program pilotażowy, więc jest tu pewien postęp.

A co to oznacza dla przyszłości mediów społecznościowych?

No cóż, tak naprawdę się okaże, aczkolwiek

Mam pewne wątpliwości czy dużo się zmieni.

Za duże pieniądze za tym stoją, żeby te firmy sobie po prostu odpuściły.

Na pewno będą...

PR-owo działać, żeby pokazać, że coś zmieniają, ale wątpię, czy naprawdę coś zrobią, bo bezpieczeństwo dzieci raczej nigdy nie było dla tych firm priorytetem.

Było co najwyżej jakimś dodatkiem do strategii biznesowej, jeżeli w ogóle było uwzględniane.

Więc wydaje mi się, że właśnie takie wyroki i zmuszenie tych firm do płacenia olbrzymich kar, ale też zmuszenie ich do zmiany swojego postępowania i to zmuszenie, naprawdę zmuszenie, nie że poproszenie ich o to, żeby to zrobili, tylko po prostu nakazanie im tego, może być jedyną nadzieją na zmianę, aby...

poczynione zostały jakiekolwiek kroki, żeby chronić dzieci i młodzież w internecie, bo bez tego, bez tego to słabo to widzę.

No dobra, to było na tyle takich pesymistycznych tematów.

Teraz coś bardziej optymistycznego, związanego też z tematem, który jest bliski mojemu sercu, czyli open source.

Chodzi o decyzję Niemiec, która może zmienić sposób, w jaki administracje publiczne w całej Unii Europejskiej podchodzą do dokumentów elektronicznych.

Niemiecki rząd wprowadził obowiązkowe otwarte standardy dokumentów w ramach tzw. Deutschlandstag, czyli nowego systemu cyfrowego dla całej administracji publicznej.

Jeżeli zastanawiacie się, dlaczego to jest ważne, to chodzi o to, że to nie jest tylko kwestia formatu plików.

To jest kwestia niezależności, bezpieczeństwa, przyszłości cyfrowej, więc jest to bardzo poważny temat.

No dobra, ale przejdźmy do szczegółów.

Deutschlandstag to nowy zunifikowany system cyfrowy, który ma służyć przede wszystkim niemieckim urzędom.

I gdy mówię urzędom mam na myśli od ministerstw federalnych aż po lokalne samorządy.

Celem tego systemu jest stworzenie wspólnej, interoperacyjnej i suwerennej infrastruktury IT, która ułatwi wymianę danych pomiędzy instytucjami, ale też obniży koszty i zmniejszy zależność od dostawców oprogramowania.

W praktyce oznacza to, że wszystkie dokumenty w niemieckiej administracji publicznej będą musiały być zapisywane w dwóch ściśle określonych formatach.

Albo ODF, czyli Open Document Format, albo PDF-UI, czyli PDF Universal Accessibility.

A dlaczego to takie ważne i co to za formaty?

ODF to jest otwarty, oparty na XML standard dla dokumentów biurowych, czyli dla tekstów, arkuszy kalkulacyjnych, prezentacji itd.

Jest on utrzymywany przez organizację Oasis i jest standardem ISO, co oznacza, że nie jest kontrolowany przez żadną pojedynczą firmę.

PDF UA z kolei to standard dostępności dla plików PDF, który zapewnia, że dokumenty są czytelne dla wszystkich, w tym dla osób z niepełnosprawnościami.

A dlaczego to takie ważne?

Bo jak mówiłem, to nie jest zalecenie, to nie jest prośba, to jest obowiązek.

Niemiecki rząd tutaj nie sugeruje czy nie zachęca, on po prostu nakazuje używania tych dokumentów, co oznacza, że od teraz w urzędach nie będzie można korzystać z zamkniętych własnościowych formatów takich jak DOC, DOCX czy XLSX, tym podobne rzeczy.

No dobrze.

A poza oczywiście zmianą formatu, co nam to jeszcze daje?

Pierwsze, moim zdaniem najważniejsze, suwerenność cyfrowa.

Wiele administracji publicznych w Europie było lub jest uzależnionych od oprogramowania i formatów kontrolowanych przez pojedyncze, najczęściej zagraniczne, w domyśle amerykańskie korporacje.

To powodowało, że był bardzo duży możliwy efekt czy ryzyko takiego vendor lock-in, czyli sytuacji, w której zmiana dostawcy staje się praktycznie niemożliwa ze względu na koszty związane z migracją z jednego formatu dokumentów na drugi, bo byłoby to wymagane przy zmianie oprogramowania.

Deutschlandstag ma to zmienić.

Właśnie dzięki temu, że stawia na otwarte standardy, więc tutaj możemy używać różnorakiego oprogramowania, ale w efekcie zawsze mamy ten sam format wynikowy pliku.

Po drugie, w związku z tym oszczędności.

Możemy wybrać dostawcę oprogramowania jakiego tylko chcemy.

Nie musi to być np. zawsze Microsoft, bo tylko on ma swojego Office'a, tylko możemy wybrać każde możliwe oprogramowanie, które działa z otwartymi plikami.

A to oznacza oszczędności.

Mamy przykład niemieckiego landu Schleswig-Holstein, który pokazuje, że migracja z oprogramowania Microsoftu na LibreOffice zaoszczędziła im ponad 15 milionów euro rocznie na samych tylko licencjach.

I to jest tylko jeden land.

To pomyślcie sobie, jaka to będzie oszczędność w skali kraju.

Kolejna sprawa to, jak już mówiłem, bezpieczeństwo.

Otwarte formaty gwarantują, że dokumenty takie będą czytelne za 5, 10, 20 lat.

I to niezależnie od tego, czy dany producent do programowania będzie istnieć, czy nie.

A to jest bardzo ważne właśnie z punktu widzenia administracji, która często ma obowiązek przechowywania czy archiwizacji dokumentów przez wiele lat.

No i co też bardzo ważne, to jest dostępność i inkluzywność, czyli właśnie tutaj dochodzimy do tego PDF UA, który standard ten zapewnia, że dokumenty są dostępne dla osób z różnymi niepełnosprawnościami, czy to ruchowymi, czy wzrokowymi, więc tutaj mamy do czynienia nie tylko z kwestią prawną, ale też po prostu...

Po pierwsze etyczną, a po drugie takim ludzkim podejściem do obywateli.

Bo pokazuje to, że nikogo nie wykluczamy i że wszyscy mogą korzystać z tych dokumentów tak samo.

A dlaczego to jest takie ważne?

Chodzi o to, że decyzja Niemiec może być sygnałem dla całej Unii Europejskiej.

Już teraz inne kraje, np. Francja czy Dania chcą wprowadzić podobne rozwiązania.

Tyle, że w Niemczech jest to system wprowadzony najbardziej kompleksowo i też wiążąco.

Tutaj nie ma zachęt, tutaj nie ma próśb, tutaj jest po prostu nakaz.

Więc przykład Niemiec może przyspieszyć podobne zmiany w innych państwach Unii Europejskiej.

Florian Effenberger, czyli dyrektor wykonawczy The Document Foundation podkreśla, że nie można mówić o suwerenności cyfrowej, dopóki dokumenty są zamknięte we własnościowych formatach kontrolowanych przez jednego, najczęściej zagranicznego dostawcę.

Deutschlandstag to potwierdzenie, że otwarte standardy nie są jakąś fanaberią entuzjastów technologicznych, jakichś geeków, ale po prostu podstawą czy fundamentem takiej nowoczesnej, demokratycznej administracji.

Co więcej, zastosowanie otwartych standardów to szansa dla europejskiego rynku IT, bo otwarte standardy sprzyjają konkurencji, sprzyjają innowacji.

Każda firma może tworzyć oprogramowanie kompatybilne z tymi formatami i nie musi się obawiać o naruszenie patentów czy licencji, więc tutaj jest miejsce i potencjał dla europejskich firm,

by stworzyć np. własne pakiety biurowe, czy własne oprogramowanie dla administracji i nie być zmuszonym do płacenia licencji dla amerykańskich korporacji.

Czy taka decyzja to same plusy?

Oczywiście, że nie.

Zawsze są jakieś ryzyka.

Pierwszy to koszty migracji, no bo trzeba przeszkolić pracowników z użytkowania nowego oprogramowania, czasami trzeba dostosować systemy istniejące, rozwiązać ewentualne problemy z kompatybilnością i tym podobne rozwiązania.

Ale, koniec końców, ryzyko podjęcia takiej zmiany jest mniejsze niż ryzyko związane z pozostaniem i byciem uzależnionym od zagranicznej korporacji.

Dodatkowo długoterminowe korzyści, czyli właśnie bezpieczeństwo, niezależność, ale też bardzo wymierna korzyść, czyli oszczędność, znacznie przewyższają takie krótkoterminowe trudności związane z samym procesem migracji.

Czy inne kraje Unii Europejskiej pójdą za przykładem Niemiec?

Nie wiem.

Bardzo bym chciał, jak chyba już wiecie słuchając tego, co mówię, jestem wielkim fanem oprogramowania open source i uważam, że jest to oprogramowanie, na którym

można się bawić, można go używać, ale można też na nim zarabiać.

Może niekoniecznie bezpośrednio, bo może nie zarabiamy na sprzedaży licencji, w przypadku uruchomienia open source, ale można zarabiać na wdrożeniach, szkoleniach, serwisie,

konsultingu, więc jest to jak dla mnie miejsce, gdzie nadal można robić biznes i bardzo bym chciał, żeby europejskie rządy poszły w tym kierunku, a europejskie firmy weszły na rynek ze swoimi rozwiązaniami, pomysłami i zarabiały na tym.

A jak wyjdzie w praktyce, no to się okaże.

Okej, kolejny temat to temat technologiczno-naukowy, a dokładniej komputery kwantowe.

Rząd UK ogłosił właśnie gigantyczną inwestycję w tą technologię.

Ale tak tytułem wstępu, gdyby ktoś nie wiedział.

Komputery kwantowe to nie są takie zwykłe komputery, które znamy na przykład z domów, tylko komputery działające na troszkę innej zasadzie.

Wykorzystują one zjawiska kwantowe, takie jak superpozycja czy splątanie kwantowe i dzięki temu potrafią one rozwiązywać problemy, z którymi tradycyjne komputery sobie nie radzą.

Dlatego właśnie rząd Wielkiej Brytanii postanowił postawić na tą technologię.

Według najnowszych informacji w ciągu najbliższych czterech lat Wielka Brytania zainwestuje ponad miliard funtów w badania i rozwój komputerów kwantowych.

A dlaczego postanowili to zrobić?

No cóż, odpowiedź wydaje się prosta.

Komputery kwantowe to nie tylko przyszłość technologii, ale też kwestia bezpieczeństwa narodowego.

Rządy na całym świecie zdają sobie sprawę, że ten, kto opanuje technologię komputerów kwantowych, ten zyska ogromną przewagę.

I to nie tylko w dziedzinie nauki, ale też obronności.

A co konkretnie chce uzyskać rząd brytyjski?

Według oficjalnego komunikatu pieniądze zostaną przeznaczone na kilka kluczowych obszarów.

Najważniejsze to zbudowanie prototypów kwantowych maszyn, które będą testowane i oceniane.

Celem tego jest stworzenie w ciągu najbliższych 10 lat dużych, bardzo zaawansowanych komputerów kwantowych, które będą mogły być wykorzystywane nie tylko przez naukowców, ale też w praktyce przez sektor publiczny i prywatny.

A dlaczego?

Dlatego, że komputery kwantowe właśnie przez to jak działają mogą zrewolucjonizować wiele dziedzin.

Na przykład medycyna.

Dzięki komputerom kwantowym potencjalnie będziemy mogli szybciej i dokładniej analizować na przykład dane genetyczne, co może przyspieszyć odkrywanie nowych terapii.

W logistyce mogą pomóc w optymalizacji tras transportu, więc mniej korków, mniejsze zużycie paliwa, mniejsze zanieczyszczenia.

A co bardzo ważne dla rządów, komputery kwantowe potrafią łamać obecne standardy szyfrowania, więc jest to

związane z wojskowym bezpieczeństwem komunikacji przechowywania danych szyfrowania, bo wiadomo, że żaden rząd i żadne wojsko nie chciałoby, żeby ich komunikacja mogła zostać łatwo odszyfrowana przez wroga.

Podsumowując, Wielka Brytania postanowiła postawić na przyszłość, inwestując ten miliard funtów w komputery kwantowe.

Dzięki temu mogą przyspieszyć rozwój technologii i sprawić, że stanie się ona dostępna nie tylko dla rządów wielkich korporacji, ale też bliższa zwykłym ludziom.

Czy się to uda?

Jak zwykle czas pokaże.

Ale muszę przyznać, kibicuję im trochę.

Mam nadzieję, że to pójdzie do przodu.

No i...

Mam nadzieję, że za kilka lat będę mógł powiedzieć w którymś odcinku z podcastów, że dokonano tego.

Sekcja newsowa powiedzmy, ale związana z bezpieczeństwem.

24 marca, czyli 3 dni przed dniem kiedy to nagrywam, na oficjalnym repozytorium PP pojawiła się złośliwa wersja niezwykle popularnej biblioteki nazywającej się LiteLLM.

Ta biblioteka to open source'owa bramka powiedzmy, która ułatwia programistom łączenie się z wieloma modelami językowymi za pomocą jednego interfejsu API.

I żeby to było jasne, to nie jest jakiś malutki niszowy projekt.

To jest paczka, która ma ponad 97 milionów pobrań.

Atakujący wykorzystali mechanizm ukrywania kodu w plikach z rozszerzeniem PTH, czyli tak zwany Python Startup Hooks.

Wrzucony przez nich do zatrutej paczki plik był automatycznie wykonywany przy każdym uruchomieniu interpretora Pythona.

Oznacza to, że programiści nie musieli nawet pisać polecenia, żeby zaimportować LiteLLM w swoim kodzie.

Wystarczyło, że zainstalowali paczkę, np. przez pobranie innego projektu, który używał LiteLL jako zależności, a złośliwy skrypt uruchamiał się w tle przy każdym wywołaniu.

A co robił ten kod?

No, to jest właśnie ciekawe.

Kod wykradał z systemu klucze SSH, zmienne środowiskowe, a więc np. klucze API oraz pliki z konfiguracją Dockera.

Kradzione były też dane uwierzytelniające do chmur takich jak AWS, Google, Azure, a także całe konfiguracje klastrów Kubernetes.

Nie uszczędzono też prywatnych kluczy TLS, haseł do baz danych, a także portfeli plików kryptowalutowych.

Dodatkowo zbierane były też historie powłoki, czyli np. Bash History czy ZSH History.

gdzie często są możliwe do podejrzenia hasła wpisywane po prostu tak z palca, a nie przez pliki ENF.

Wszystkie takie dane były pakowane do archiwum, szyfrowane i wysyłane na serwer napastników.

Szacuje się, że ofiarom tego ataku mogło paść nawet pół miliona urządzeń.

I tutaj to jest w ogóle ciekawostka.

Pół miliona tylko dzięki temu, że atakujący popełnili błąd.

Chodziło o to, że wstrzyknięty kod u niektórych użytkowników zachowywał się jak tak zwana forkbomba, czyli po prostu skrypt uruchamiał w tle kolejny skrypt, który uruchamiał kolejny skrypt i tak się zapętlał.

I u niektórych programistów, zwłaszcza używających środowisk takich jak kursor, powodowało to natychmiastowe zużycie pamięci RAM i zawieszenie komputera.

Dzięki temu właśnie, że ten kod wywalał sprzęt, szybko zauważono, że z paczką coś jest nie tak.

Usunięto ją z repozytorium, tak naprawdę usunięto ją bardzo szybko, bo po niespełna 3 godzinach.

Ale te 3 godziny wystarczyły, żeby zainfekować te pół miliona urządzeń.

Za atak odpowiada grupa Team PCP, która dostała się do infrastruktury LiteLLM poprzez wcześniejsze schakowanie skanera podatności.

To jest dopiero ciekawe.

To taki, można powiedzieć, klasyczny przykład ataku na łańcuch dostaw.

Co zrobić, jeżeli używasz pytona?

No cóż, sprawdź, czy w Twoim systemie albo w Twoich kontenerach nie zainstalowała się ta zainfekowana wersja.

A jeżeli okaże się, że ją masz, no to niestety, musisz założyć, że wszystkie hasła, klucze, tokeny, które znajdowały się na tej maszynie, również te w plikach ENF, są w rękach włamywaczy, więc należy je jak najszybciej unieważnić i zrotować, zamienić innymi.

Incydent ten pokazuje jak ważne jest monitorowanie zależności zwłaszcza tych używanych w procesach automatyzacji ponieważ tutaj mamy do czynienia z atakiem na łańcuch dostaw i tak naprawdę to jakie narzędzia czy jakich bibliotek używamy w swoich projektach może czynić tą małą różnicę czy zostaniemy zhakowani czy nie.

Na przykład tutaj właśnie w tym przypadku.

Szybka reakcja społeczności i błędy po stronie atakujących ograniczyły szkody, jeżeli można tak powiedzieć, i doprowadziły tylko do zainfekowania pół miliona urządzeń.

Ale był to tylko szczęśliwy traf.

Na koniec temat, który łączy sztuczną inteligencję, Kubernetes i open source.

Chodzi mi dokładnie o projekt LLMD, projekt, który niedawno dołączył do inkubatora Cloud Native Computing Foundation, czyli CNCF.

LLM&D to skrót od Large Language Model Demon, czyli usługa działająca w tle, która ma za zadanie usprawnić proces interferencji, czyli wyciągania wniosków z modeli językowych w środowisku Kubernetes.

O co w tym chodzi?

Tak prosto mówiąc, wyobraźcie sobie, że macie ogromny model językowy, taki mniej więcej jak te, które stoją za chatbotami, czy tam narzędziami do generowania tekstu i teraz chcemy uruchomić taki model na swoim własnym klastrze Kubernetes.

Tradycyjnie aby to zrobić musielibyśmy przygotować kontenery, skonfigurować je, uruchomić, później monitorować.

To wszystko wymaga czasu, pracy, zwłaszcza gdy mamy wiele modeli lub chcemy je często aktualizować.

I tutaj właśnie wchodzi cały na biało LLMD.

Dlaczego?

Bo LLMD automatyzuje ten proces.

LLMD działa jak menadżer, który zajmuje się uruchamianiem, skalowaniem i monitorowaniem modeli językowych w Kubernetes.

Dzięki temu nie trzeba ręcznie konfigurować każdego kontenera, nie trzeba się martwić o to, czy mamy wystarczająco dużo zasobów, czy wszystko działa poprawnie.

LLMD robi to za nas.

Optymalizuje on wykorzystanie zasobów, dbaj o to, żeby model działał płynnie,

wydajnie, więc ułatwia nam bardzo pracę.

Czy to jest ważne?

No cóż, wraz z rosnącym zapotrzebowaniem na AI coraz więcej firm chce uruchamiać modele językowe w swoich własnych środowiskach ze względu na prywatność, bezpieczeństwo, czasami na to, że są zobowiązane prawnie, że nie mogą wysyłać swoich danych poza własne środowisko, a Kubernetes jest standardem w zarządzaniu kontenerami w biznesie.

Jednakże do tej pory brakowało tam narzędzia, które ułatwiałoby zarządzanie modelami AI.

I teraz skąd się w ogóle wziął LLMD?

Ano na CubeCon Europe 2026 w Amsterdamie.

IBM Research, Red Hat i Google Cloud ogłosiły, że darują LLM MD właśnie, żeby stało się ono własnością Cloud Native Computing Foundation.

Co ciekawe, ten ruch był wspierany przez firmy takie jak Nvidia, AMD, Cisco, Intel, Mistral, więc ma to szansę stać się naprawdę takim standardem.

Oczywiście, co mnie cieszy, ma to stać się szansę standardem, który będzie oparty na otwartym kodzie źródłowym.

A to w efekcie powoduje, że możemy spodziewać się większej integracji między AI a środowiskami chmurowymi, bo w tym momencie Kubernetes stanie się bardziej przyjazny dla obciążeń związanych z AI, a to daje nowe możliwości dla firm i deweloperów.

Bo może jeszcze nie w tym momencie, ale możemy sobie wyobrazić sytuację, że uruchamianie modeli językowych Kubernetes stanie się tak proste, jak uruchamianie zwykłych aplikacji w kontenerach.

A to może przyspieszyć adopcję AI.

Dodatkowo, dzięki temu, że jest to open source, LLMD zachęca do współpracy i do uskonalania tego narzędzia przez społeczność deweloperów.

A to w efekcie może dać szybsze wprowadzanie innowacji, nowych pomysłów, nowych feature'ów.

ale też lepsze zabezpieczenia czy większą elastyczność, no bo jednak ten kod będzie przeglądany przez większą ilość osób.

Dodatkowo dla firm, które chcą wykorzystywać AI, ale nie chcą używać zamkniętych własnościowych rozwiązań,

tutaj można sobie przypomnieć podejście np. administracji niemieckiej do zamkniętych rozwiązań w przypadku dokumentów, to właśnie LLMD może być świetną alternatywą.

Więc jest to krok w kierunku takiego bardziej przyjaznego ekosystemu dla AI w chmurze.

A dzięki wsparciu CNCF, czyli właśnie Cloud Native Computing Foundation,

Może to być standard taki branżowy, który ułatwi życie wielu zespołom deweloperskim.

Więc uważam, że jest to bardzo fajny krok w bardzo dobrym kierunku.

I to by było tyle na dzisiaj.

Dziękuję wszystkim za wysłuchanie.

Zapraszam oczywiście do kolejnego odcinka.

Zachęcając mogę powiedzieć, że na kolejny odcinek planuję opowiedzieć o tym, jak działają agenci AI, ale też o alternatywnych systemach mobilnych na urządzeniach, czyli na telefonach i też o tym, że

A, może nie, może to zostawię jako niespodziankę.

Tak czy siak, dziękuję jeszcze raz za wysłuchanie i zapraszam do usłyszenia za tydzień.