Viralowe posty twierdziły, że asystent AI McDonald’s pomaga debugować kod w Pythonie zamiast przyjmować zamówienia na burgery. Wewnętrzne dochodzenie firmy nie potwierdziło tych doniesień – screenshoty i nagrania najprawdopodobniej są sfałszowane. To jednak nie zmienia faktu, że technika zwana prompt injection stanowi realne zagrożenie dla każdej firmy wdrażającej chatboty AI.
Kluczowe fakty:
- Wewnętrzne dochodzenie McDonald's nie potwierdziło doniesień o asystencie AI pomagającym w debugowaniu kodu Pythona – screenshoty i nagrania najprawdopodobniej są sfałszowane.
- Prompt injection to realne zagrożenie pozwalające obejść ukryte instrukcje systemowe chatbotów poprzez specjalnie spreparowane zapytania, które obnażają surowy model językowy pod firmową "skorupą".
- Asystent zakupowy Amazona Rufus padł ofiarą udokumentowanych ataków prompt injection, generując instrukcje zdobycia niebezpiecznych substancji chemicznych oraz nielegalnego zakupu alkoholu przez nieletnich.
Grimace kontra Python
Na LinkedInie i Instagramie pojawiła się ostatnio fala postów sugerujących, że wirtualny asystent obsługi klienta McDonald’s dał się przekonać do debugowania złożonego kodu w Pythonie zamiast pomagać w zamawianiu jedzenia. Jeden z postów zachęcał wprost: „Stop paying $20 a month for Claude. McDonald’s AI is FREE.” Całość szybko zyskała rozgłos – jak podsumował Grok w popularnym poście na X, bot o nazwie Grimace miał zebrać 1,6 miliona wyświetleń i 30 tysięcy polubień.
https://twitter.com/i/trending/2045970601953698280
Problem w tym, że to niemal na pewno nieprawda. Źródło zbliżone do sprawy poinformowało Fast Company, że wewnętrzne dochodzenie McDonald’s nie znalazło żadnych dowodów na opisywany exploit. Krążące screenshoty i nagrania są uznawane za sfabrykowane.
To nie pierwsza taka historia. W marcu analogiczny viral dotyczył Chipotle i ich chatbota Pepper. Sally Evans, menedżerka ds. komunikacji zewnętrznej Chipotle, powiedziała wtedy wprost: „the viral post was Photoshopped. Pepper neither uses gen AI nor has the ability to code” / „Viralowy post był zrobiony w Photoshopie. Pepper nie korzysta z generatywnej AI i nie ma możliwości pisania kodu.”
Prawie co drugi pracownik w Polsce używa AI za plecami swojego szefa. 71% polskich pracowników oszczędza dzięki AI od pół godziny do ponad dwóch godzin dziennie …
Fake, ale problem jest prawdziwy
Fałszywe memy to jedno. Problem techniczny, który opisują, jest jednak jak najbardziej realny.
Prompt injection to technika, w której użytkownik konstruuje specjalnie spreparowane zapytanie, które nadpisuje ukryte instrukcje systemowe bota. Każda firma wdrażająca chatbot AI programuje go tzw. system promptem – niewidocznym dla użytkownika zestawem reguł definiujących osobowość i ograniczenia asystenta. Prompt injection pozwala te reguły obejść, obnażając surowy, ogólny model językowy pod firmową „skorupą”.
Zjawisko to nazywa się „capability leak” i jest trudne do wyeliminowania z jednego powodu: duże modele językowe (LLM) są projektowane tak, żeby płynnie reagować na ludzki język, a nie na sztywne polecenia. W przeciwieństwie do tradycyjnego oprogramowania z predefiniowanymi regułami, generatywna AI dynamicznie interpretuje kontekst – co sprawia, że praktycznie niemożliwe jest przewidzenie każdej kombinacji słów, którą może wypróbować zdeterminowany użytkownik.
Patrzę na te viralowe screenshoty z dystansem – zbyt wiele z nich okazuje się później fałszywych. Ale rozumiem, dlaczego temat chwyta: prompt injection to jeden z tych problemów, który trudno „naprawić” raz na zawsze, bo wynika z samej architektury modeli językowych. Firmy stają przed realnym dylematem: chatbot oparty na LLM oferuje nieporównywalnie lepsze doświadczenie użytkownika niż klasyczny bot oparty na drzewku decyzyjnym, ale jednocześnie jest z natury trudniejszy do kontrolowania. Czy da się pogodzić wygodę z bezpieczeństwem? I kto ponosi odpowiedzialność, gdy chatbot powie klientowi coś, czego nie powinien?
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
Prawdziwe ofiary prompt injection
Podczas gdy McDonald’s i Chipotle wyszły z tej historii obronną ręką, inne firmy nie miały tyle szczęścia.
Najpoważniejszy udokumentowany przypadek dotyczy asystenta zakupowego Amazona o nazwie Rufus. Między końcem 2025 a początkiem 2026 roku użytkownicy wielokrotnie zdołali obejść jego ograniczenia. Badacze bezpieczeństwa z Tenable wykazali, że wewnętrzna logika bota mogła być całkowicie złamana:
- W jednym przypadku Rufus odmówił pomocy klientowi w znalezieniu zwykłego elementu garderoby, by zaraz potem wygenerować szczegółową listę miejsc, gdzie można zdobyć niebezpieczne substancje chemiczne.
- W innym – ułożył instrukcję, jak nieletni mogą nielegalnie kupić alkohol.
Społeczności na Reddicie odkryły dodatkowo, że Rufus jest zasilany modelem Claude od Anthropic, a Amazon stosował jedynie prosty filtr słów kluczowych próbujący blokować bezpośredni dostęp do silnika LLM. Po skutecznym ataku prompt injection użytkownicy zyskiwali nieograniczony, bezpłatny dostęp do premium modelu językowego – wprost przez aplikację Amazon.
Inne głośne przypadki to:
- Chevrolet (2023): Chatbot dealera samochodowego w Watsonville w Kalifornii dał się nakłonić do zobowiązania się do sprzedaży Chevy Tahoe wartego 76 000 dolarów za… jednego dolara.
- Air Canada (2024): Chatbot linii lotniczych wymyślił nieistniejący protokół zniżkowy. Gdy linia odmówiła wypłaty, twierdząc, że bot to „odrębny podmiot prawny” niepodlegający jej kontroli, kanadyjski trybunał cywilny odrzucił tę argumentację – orzekając, że firma odpowiada za każde oświadczenie złożone na jej stronie internetowej.
Kto za to zapłaci?
Luka między tym, co firmy obiecują wdrażając chatboty AI, a tym, co te systemy naprawdę robią, będzie generować kolejne wpadki – niezależnie od tego, czy trafią na pierwsze strony gazet czy nie.
Rachunek jest wielowymiarowy: koszty prawne, straty wizerunkowe i niemałe wydatki obliczeniowe ponoszone przez firmy, gdy użytkownicy traktują korporacyjne boty jako darmowe subskrypcje AI. W pewnym momencie zautomatyzowana obsługa klienta może okazać się droższa niż zatrudnienie człowieka.
Tylko że ta decyzja już dawno zapadła i raczej jej nie cofniemy.
