_CORE
Služby
AI & Agentic Systems Core Information Systems Cloud & Platform Engineering Data Platform & Integration Security & Compliance QA, Testing & Observability IoT, Automation & Robotics Mobile & Digital
Odvětví
Banking & Finance Insurance Public Administration Defense & Security Healthcare Energy & Utilities Telco & Media Manufacturing Logistics & E-commerce Retail & Loyalty
Reference Technologie
Lab
Blog Know-how Nástroje
O nás Spolupráce Kariéra
Jazyk
CS EN
Pojďme to probrat

Agentic AI a bezpečnost: Nový attack surface pro podniky v roce 2026

21. 02. 2026 8 min čtení CORE SYSTEMSsecurity
Agentic AI a bezpečnost: Nový attack surface pro podniky v roce 2026

Klasický software dělá přesně to, co mu řeknete. AI agent dělá to, co pochopí, že má dělat — a pak si sám vybere nástroje, data a kroky, kterými toho dosáhne. Právě tato autonomie z něj dělá zásadně odlišný bezpečnostní problém. Nejde o další endpoint, který stačí opatřit firewallem. Jde o entitu, která se pohybuje uvnitř vaší infrastruktury, má přístup k nástrojům a datům, a rozhoduje se způsobem, který není deterministický.

V tomto článku se podíváme na čísla, reálná rizika a konkrétní kroky, které by měl každý podnik zvážit ještě v první polovině roku 2026.

Proč je agentic AI jiný risk

Tradiční bezpečnostní model počítá s tím, že software je předvídatelný. Víte, jaké API volá, jaká data čte, kam zapisuje. Můžete ho otestovat, certifikovat a nasadit s jistotou, že se bude chovat stejně jako v testu.

AI agent tuto premisu rozbíjí. Má tři vlastnosti, které z něj dělají unikátní bezpečnostní výzvu:

  1. Autonomní rozhodování — agent si sám volí postup, nástroje a pořadí kroků. Dva stejné požadavky mohou vést k různým execution paths.
  2. Přístup k nástrojům (tool use) — agent volá API, čte databáze, spouští kód, odesílá emaily. Každý nástroj je potenciální attack surface.
  3. Nedeterministické chování — výstup závisí na kontextu, promptu a aktuálním stavu modelu. Klasické unit testy nestačí.

IBM ve svém výzkumu přirovnává AI agenty k „digital insiders” — mají přístup jako zaměstnanec, ale chybí jim lidský úsudek, loajalita a schopnost rozpoznat sociální manipulaci. McKinsey jde ještě dál a doporučuje zacházet s AI agenty jako s insider threats — tedy aplikovat stejný threat model jako na potenciálně kompromitovaného zaměstnance.

Čísla a trendy: Kam se trh posouvá

Adopce agentic AI je masivní a zrychluje:

  • 79 % organizací již nasazuje AI agenty v nějaké formě (PwC 2026 AI Business Predictions).
  • 88 % vedoucích pracovníků plánuje navýšit rozpočty na AI v roce 2026 (PwC).
  • AI agenti přestávají být experimentem — stávají se součástí core business procesů od zákaznické podpory přes finanční analýzu po DevOps automatizaci.

Současně ale roste povědomí o rizicích:

  • 48 % bezpečnostních profesionálů označuje agentic AI za hlavní attack vector pro rok 2026 (DarkReading / Gartner survey). To je výrazný posun — ještě před rokem dominovaly obavy z ransomware a supply chain attacks.
  • NIST prostřednictvím NCCoE (National Cybersecurity Center of Excellence) zveřejnil roadmap pro rok 2026, kde AI security figuruje jako jeden ze čtyř strategických pilířů vedle post-quantum kryptografie, zero-trust architektury a software supply chain security.

Jinými slovy: podniky nasazují agenty rychleji, než stíhají řešit jejich bezpečnost. A to je přesně ta mezera, kterou útočníci využijí.

Hlavní bezpečnostní rizika

Tool poisoning

Agent pracuje s nástroji — API, databázemi, file systémy. Útočník nemusí kompromitovat samotný model. Stačí otrávit nástroj, který agent používá. Představte si agenta, který čte data z externího API. Pokud útočník modifikuje odpovědi tohoto API, agent na základě manipulovaných dat provede akce, které by jinak nikdy neudělal.

Tool poisoning je zákeřný, protože agent důvěřuje svým nástrojům implicitně — nemá důvod pochybovat o datech, která dostane z nakonfigurovaného zdroje.

Prompt injection

Nejznámější attack vector pro LLM systémy, ale u agentů má daleko závažnější důsledky. Zatímco u chatbota prompt injection vede k nežádoucí odpovědi, u agenta vede k nežádoucí akci. Injektovaný prompt může agenta přimět, aby:

  • Odeslal citlivá data na externí endpoint
  • Změnil konfiguraci systému
  • Eskaloval vlastní oprávnění
  • Ignoroval bezpečnostní guardrails

Indirect prompt injection — kdy je škodlivý prompt ukrytý v datech, která agent zpracovává (email, dokument, webová stránka) — je obzvláště nebezpečný, protože ho žádný perimetrový firewall nezachytí.

Privilege escalation

Agent potřebuje oprávnění, aby mohl plnit své úkoly. Problém nastává, když získá více oprávnění, než potřebuje — ať už špatným návrhem, nebo aktivní exploitací. Typický scénář: agent má přístup k API pro čtení zákaznických dat. Útočník přes prompt injection přiměje agenta, aby použil jiný endpoint téhož API — tentokrát pro zápis nebo mazání.

V tradičních systémech řešíme privilege escalation přes RBAC a least privilege. U agentů je to složitější, protože rozsah akcí, které agent potřebuje, se mění dynamicky podle kontextu.

Data exfiltration

Agent má přístup k datům a zároveň má schopnost komunikovat s externími službami. To je kombinace, která dělá data exfiltration triviální — pokud chybí správné kontroly. Agent může být instruován (přímo nebo přes injection), aby:

  • Vložil citlivá data do svého výstupu, který je dostupný třetí straně
  • Zavolal webhook s interními daty jako payload
  • Zapsal data do sdíleného úložiště, ke kterému má přístup útočník

Na rozdíl od zaměstnance, který si uvědomí, že „tohle asi nemám posílat ven”, agent takový úsudek nemá.

Best practices: Jak zabezpečit AI agenty

Sandboxing

Každý agent by měl běžet v izolovaném prostředí s jasně definovanými hranicemi. To znamená:

  • Síťová izolace — agent nemá přístup k celé síti, pouze k explicitně povoleným endpointům.
  • File system izolace — agent vidí pouze adresáře, které potřebuje.
  • Procesní izolace — kontejnerizace (Docker, gVisor) nebo VM-level izolace pro kritické workloady.

Sandboxing není jen o prevenci útoků. Je to pojistka proti chybám — a agenti chybují často, protože jsou nedeterminističtí.

Human-in-the-loop (HITL)

Ne každá akce agenta musí projít lidským schválením — to by porazilo účel automatizace. Ale kritické akce ano:

  • Operace s finančním dopadem (platby, schvalování faktur)
  • Přístupy k citlivým datům (PII, zdravotní záznamy, obchodní tajemství)
  • Změny konfigurace infrastruktury
  • Komunikace s externími stranami

Implementujte tiered approval — agent může provádět rutinní úkoly autonomně, ale eskaluje k člověku, jakmile překročí definovaný risk threshold.

Least privilege

Princip nejmenších oprávnění není nový, ale u agentů vyžaduje specifický přístup:

  • Dynamická oprávnění — agent dostane přístup k nástroji pouze na dobu trvání konkrétního tasku, ne permanentně.
  • Scoped tokens — místo jednoho API klíče s plným přístupem používejte tokeny omezené na konkrétní operace a resources.
  • Explicitní allow-listy — definujte, co agent smí, ne co nesmí. Deny-by-default.

Monitoring a audit trail

Každá akce agenta musí být logována s dostatečným kontextem pro forenzní analýzu:

  • Jaký prompt agent dostal
  • Jaké nástroje zavolal a s jakými parametry
  • Jaká data četl a kam zapisoval
  • Jak se rozhodl a proč (chain-of-thought logging)

Monitorujte anomálie: neobvyklé vzorce volání API, přístupy k datům mimo normální rozsah, pokusy o komunikaci s nepovolenými endpointy. Behavioral monitoring je klíčový — jak zdůrazňuje IBM, threat modeling u AI agentů musí být behaviorální, nejen technologický.

Zero-trust pro agenty

Zero-trust architektura není jen pro lidské uživatele. Aplikujte ji i na AI agenty:

  • Nikdy nedůvěřuj, vždy ověřuj — každý request agenta se autentizuje a autorizuje individuálně.
  • Microsegmentace — agent má přístup pouze k mikrosegmentu infrastruktury, který potřebuje pro aktuální task.
  • Continuous verification — oprávnění se průběžně ověřují, ne jednorázově při startu agenta.
  • Assume breach — navrhujte systémy s předpokladem, že agent může být kompromitován.

Regulační rámec: EU AI Act a NCCoE

EU AI Act — Článek 14: Human oversight

EU AI Act, plně účinný od února 2025, v článku 14 explicitně vyžaduje human oversight pro vysokorizikové AI systémy. To zahrnuje:

  • Schopnost člověka porozumět výstupům AI systému
  • Možnost ignorovat, přepsat nebo zastavit rozhodnutí AI
  • Schopnost zasáhnout v reálném čase (stop button)

Pro agentic AI to má přímé důsledky: pokud váš agent zpracovává data v regulovaném odvětví (finance, zdravotnictví, HR), musíte implementovat HITL mechanismy, které splňují požadavky článku 14. Plná autonomie bez lidského dohledu je v těchto případech non-compliant.

NCCoE (NIST) roadmap 2026

Americký National Cybersecurity Center of Excellence pod NIST zveřejnil strategický plán pro rok 2026, kde AI security stojí jako jeden ze čtyř pilířů:

  1. AI & Machine Learning Security — bezpečnost AI systémů včetně agentních architektur
  2. Post-Quantum Cryptography
  3. Zero-Trust Architecture
  4. Software Supply Chain Security

NCCoE pracuje na praktických referenčních architekturách a guidelines, které budou přímo aplikovatelné na enterprise nasazení AI agentů. Pro české podniky, které operují globálně nebo dodávají do US trhu, je to relevantní regulatory signal.

Co doporučujeme: Pohled CORE SYSTEMS

Na základě naší praxe s enterprise klienty vidíme jasný vzorec: organizace, které řeší bezpečnost AI agentů proaktivně, mají výrazně nižší rizikový profil než ty, které reagují až po incidentu. Zde jsou naše doporučení:

1. Proveďte AI agent threat assessment

Než nasadíte dalšího agenta, zmapujte: - Jaké agenty máte v provozu (včetně shadow AI) - K jakým datům a systémům mají přístup - Kdo je vlastníkem (accountability) - Jaký je worst-case scénář při kompromitaci

2. Implementujte agent governance framework

Definujte pravidla pro celý lifecycle AI agenta: - Schvalování — kdo může nasadit nového agenta a za jakých podmínek - Oprávnění — jak se přidělují, revidují a odebírají - Monitoring — co se loguje a kdo to sleduje - Incident response — co se stane, když se agent „zblázní”

3. Začněte se sandboxingem a least privilege

Nemusíte implementovat vše najednou. Dva kroky s nejvyšším ROI: - Izolujte agenty do sandboxů (kontejnery, síťové segmenty) - Omezte oprávnění na minimum potřebné pro daný use case

4. Nasaďte behavioral monitoring

Tradiční WAF a IDS nevidí, co agent dělá uvnitř vaší infrastruktury. Potřebujete: - Logging všech tool calls a rozhodnutí agenta - Anomaly detection na vzorcích chování - Alerting na neobvyklé data access patterny

5. Připravte se na regulaci

EU AI Act a NCCoE roadmap jasně ukazují směr. Připravte si: - Dokumentaci HITL mechanismů - Audit trail pro všechny high-risk AI operace - Plán pro compliance s článkem 14 EU AI Act

6. Adoptujte zero-trust mindset pro AI

Přestaňte přemýšlet o agentovi jako o důvěryhodném nástroji. Je to entita s přístupem — a každá entita s přístupem musí být průběžně ověřována, monitorována a omezována.

Závěr

Agentic AI je transformativní technologie. Ale transformativní technologie přinášejí transformativní rizika. Rok 2026 je inflexní bod — většina podniků už agenty má nebo je nasazuje, ale jen zlomek z nich je má skutečně zabezpečené.

Čísla jsou jasná: 48 % bezpečnostních profesionálů vidí agentic AI jako top attack vector, 79 % organizací už agenty nasazuje a regulátoři zpřísňují pravidla. Okno pro proaktivní přípravu se zavírá.

Bezpečnost AI agentů není technický nice-to-have. Je to business-critical priorita. A čím dříve ji začnete řešit, tím méně to bude stát — v penězích i v reputaci.

Potřebujete pomoc s bezpečnostním auditem AI agentů ve vaší organizaci? Kontaktujte nás — pomůžeme vám identifikovat rizika a navrhnout řešení na míru.

Sdílet:

CORE SYSTEMS

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Potřebujete pomoc s implementací?

Naši experti vám pomohou s návrhem, implementací i provozem. Od architektury po produkci.

Kontaktujte nás

Související články

SSL/TLS certifikaty v Java aplikacich

Sprava SSL certifikatu v Java keystores. Keytool, truststore, mutual TLS a caste problemy s HTTPS.

Apache HTTP Server jako reverse proxy

Apache HTTP jako reverse proxy pro Tomcat/GlassFish. SSL termination, security headers, staticke soubory.

OWASP Top 10 — bezpecnost webovych aplikaci

OWASP doporuceni v Java EE. SQL injection, XSS, CSRF a jak se branit.