Netko u vašem timu je prošli tjedan dao AI agentu pristup cijelom repozitoriju — čitanje, pisanje, pokretanje skripti, možda čak i deploy. Nitko nije potpisao nikakav formular. Jednostavno se dogodilo, jer je alat bio koristan i nitko nije stigao razmišljati o tome što točno znači dati modelu jezika prava koja bi inače dobio samo stariji inženjer nakon mjeseci provjere.
To pitanje više nije hipotetsko. Prema Gartneru, do kraja 2026. čak 40 posto poslovnih aplikacija bit će integrirano s AI agentima specifičnim za zadatak — lani ih je bilo manje od 5 posto. Površina napada raste eksponencijalno, a većina tvrtki to još nije stigla ni izmapirati.
Što se točno mijenja kad AI dobije "ruke" u repozitoriju
Razlika između AI-ja koji predlaže kod i AI-ja koji ga i izvršava zvuči tehnička, ali je ogromna. Agent koji samo predlaže izmjenu čeka čovjeka koji će je pregledati. Agent s pristupom terminalu, git-u i CI/CD sustavu može sam čitati tajne iz environment varijabli, instalirati pakete, mijenjati konfiguraciju i pushati — sve u istom koraku u kojem "samo pokušava riješiti zadatak".
Upravo tu nastaje novi tip rizika: alat koji je koristan zato što je autonoman postaje opasan iz istog razloga.
Prompt injection: napad koji ne cilja vas, nego model
Najozbiljniji vektor napada 2026. nije klasični hakiranje servera, nego prompt injection — tekst skriven u fajlu, issue-u, komentaru ili README-u koji instruira AI agenta da napravi nešto što developer nikad ne bi odobrio. Istraživači su u lipnju 2026. dokumentirali slučaj u kojem su tri različita AI coding agenta iscurila tajne kroz jedan jedini prompt injection napad — u sva tri slučaja preko sadržaja koji je agent "pročitao" tijekom rutinskog zadatka, a ne kroz izravan pristup napadača.
Mozilla-in tim za istraživanje prijetnji (0Din) objavio je krajem lipnja 2026. detalje napada koji iskorištava upravo tu granicu — trenutak u kojem agent ne razlikuje instrukciju vlasnika repozitorija od instrukcije koja se slučajno našla u podatku koji obrađuje.
Tajne cure u razmjerima kakve prije nismo vidjeli
GitGuardian je u izvještaju "State of Secrets Sprawl 2026" izbrojao 28,65 milijuna novih hardkodiranih tajni u javnim GitHub commitovima tijekom 2025. — a broj tajni vezanih uz same AI servise porastao je 81 posto. Commitovi nastali uz pomoć AI alata cure tajne u otprilike 3,2 posto slučajeva, naspram 1,5 posto kod ručno pisanog koda. To više nije statistička greška, nego ponovljiv obrazac: model koji "brzo riješi zadatak" rijetko stane i zapita se je li API ključ trebao ostati u kodu.
Poseban je nalaz da je otkriveno 24.008 tajni u MCP konfiguracijskim datotekama na javnom GitHubu — kategorija koja prije godinu dana praktički nije ni postojala, jer sam Model Context Protocol još nije bio raširen.
Konkretni propusti, ne samo teorija
Ovo nije apstraktna prijetnja iz budućnosti. U sedam dana do 29. lipnja 2026. objavljeno je pet neovisnih otkrića strukturnih sigurnosnih problema u AI coding agentima, uključujući CVE-2026-12957 u Amazon Q Developeru — propust ocjene 8,5 na CVSS ljestvici koji je omogućavao automatsko izvršavanje zlonamjernih MCP konfiguracijskih datoteka bez odobrenja korisnika — te CVE-2026-12958, propust temeljen na symlink manipulaciji koji je agentu omogućavao pristup datotekama izvan predviđenog direktorija.
Jaz između osjećaja sigurnosti i stvarnosti
Najzanimljiviji je podatak iz jedne poslovne ankete provedene 2026.: 88 posto organizacija prijavilo je potvrđene ili sumnjive sigurnosne incidente vezane uz AI agente, dok istovremeno 82 posto rukovoditelja vjeruje da ih postojeće politike štite. Taj raskorak — gotovo svi imaju problem, gotovo svi misle da su zaštićeni — pokazuje da tvrtke agente uvode brže nego što uspijevaju izgraditi nadzor nad njima.
Što stvarno pomaže
Rješenje nije "ne koristiti AI agente u kodu" — ta je bitka već izgubljena. Ono što stvarno smanjuje rizik su konkretne, dosadne mjere: pristup po principu najmanje privilegije (agent ne treba produkcijske tajne da bi popravio typo), sandboxing izvršavanja izvan glavnog repozitorija, obavezan code review prije mergea čak i za "trivijalne" AI izmjene, te automatsko skeniranje tajni na svakom commitu, ne samo na produkciji. Nijedna od ovih mjera nije nova — sve su postojale i prije AI agenata. Razlika je što ih sad stvarno treba primijeniti, jer broj aktera koji dodiruju vaš kod odjednom je puno veći, a nijedan od njih nije čovjek koji će zastati i posumnjati.
Najbolja usporedba koju sam čuo: davanje AI agentu pune pristupne moći repozitoriju liči na zapošljavanje izuzetno brzog pripravnika koji nikad ne spava, ali ni ne pita "je li ovo sigurno da napravim". Brzina je stvarna prednost. Ali netko u sustavu i dalje mora igrati ulogu onoga tko pita.
Izvori i dodatno čitanje
- Three AI coding agents leaked secrets through a single prompt injection — VentureBeat
- The State of Secrets Sprawl 2026 — GitGuardian Annual Report
- AI Coding Agent Horror Stories: Security Risks Explained — Docker
- Top AI Security Vulnerabilities to Watch out for in 2026 — Cycode
- AI Agent Security Risks 2026: MCP, OpenClaw & Supply Chain — CyberDesserts




