Kyberhrozby v roce 2026: Nebezpeční AI agenti a boj o drony

Rok 2026 bude z pohledu kybernetické bezpečnosti ve znamení několika klíčových témat, která mají být zdrojem rizik jak pro jednotlivce, tak pro firmy a velké společnosti. Hackerské skupiny budou pokračovat ve své snaze ukrást technologie pro výrobu dronů. V prostředí platformy Android lze pak očekávat nárůst propracovanějších útoků a firmy by měly mít také na paměti, že ransomwarové gangy udělají letos vše proto, aby se pokusily vypnout nasazené obranné technologie.

Rizika přitom nebudou přicházet pouze zvenčí – bezpečnostní experti předpokládají, že v roce 2026 nás ve firmách čeká masivní nasazení autonomních AI agentů bez dostatečného dohledu, což otevře dveře novým typům hrozeb.

Drony v hledáčku hackerských skupin

Letošek přinese v oblasti pokročilých trvalých hrozeb (tzv. APT) významný posun v cílech útočníků. Pozornost hlavních aktérů – Číny, Ruska, Íránu a Severní Koreji – přitáhne rozmach bezpilotních letounů (UAV) ve vojenské i komerční sféře. Tyto státy se budou snažit ukrást duševní vlastnictví a shromažďovat vojensko-zpravodajské informace s cílem urychlit modernizaci svého arzenálu.

„Rusko se nově zaměří na Evropu, konkrétně na země jako Německo, Francie a Polsko, které zahajují programy přezbrojení. Zároveň očekáváme, že běloruské APT skupiny, které se stávají agresivnějšími, by mohly s Ruskem vytvořit integrovanou zpravodajskou alianci ‚2 Eyes‘. Čína mezitím prohloubí své angažmá v Latinské Americe v reakci na přítomnost USA a doma zpřísní dohled nad zahraničními návštěvníky. Severní Korea a Írán budou muset reagovat na mezinárodní tlak – zatímco Pchjongjang se pravděpodobně zaměří na ransomware jako nový zdroj příjmů, Írán bude hledat nové cesty v regionech, kde byli jeho tradiční spojenci oslabeni,“ varuje Robert Šuman z ESETu.

Rok 2026 ve znamení zaměstnanců bez manažera

Oblast AI (umělé inteligence) projde v roce 2026 dramatickým vývojem, který přinese nová rizika pro firmy i jednotlivce. Experti očekávají, že tzv. AI agenti budou hluboce integrováni do firemní infrastruktury, avšak jejich zabezpečení bude alarmujícím způsobem slabé.

„Situaci lze popsat metaforou továrny plné nově najatých dělníků, kde chybí manažeři, kteří by kontrolovali nejen kvalitu jejich práce, ale i to, aby nejednali škodlivě. To dramaticky rozšíří útočnou plochu, jelikož i základní chyby v konfiguraci mohou způsobit vážné úniky dat,“ říká Juraj Jánošík, vedoucí AI oddělení ve společnosti ESET.

Rizika se skrývají i v samotných modelech a jejich možném zneužití. Podle Janošíka bude ekosystém veřejně dostupných AI modelů zažívat další rozmach popularity, ale mnohé budou distribuovány s neznámou vnitřní logikou. To zvyšuje riziko útoků přes dodavatelský řetězec. V oblasti sociálního inženýrství pak dle něj uvidíme nárůst vysoce kvalitního deepfake obsahu a AI generovaných podvodů, které umožní i méně zdatným útočníkům provádět masivní kampaně. Velkou výzvou budou také pokročilí online boti, schopní ovlivňovat veřejné mínění, volby či automatizované náborové procesy.

Mobilní kybernetické hrozby se proměňují

V oblasti mobilních zařízení se musíme připravit na sofistikovanější útoky. Bezpečnostní specialisté očekávají rostoucí počet rodin malwaru zejména pro mobilní platformu Android, které budou využívat nástroje generativní AI.

„Vyloučit letos bohužel nemůžeme ani zapojení generativní umělé inteligence – jak do přípravy útoků, tak do jejich průběhu. Existují již náznaky, že velké jazykové modely pomáhají generovat škodlivý kód, což snižuje vstupní bariéru pro kyberzločince, kteří nemají takové zkušenosti a vědomosti, aby útok sami připravili,“ říká Martin Jirkal z ESETu.

Kyberhrozby pro platformu Android v Česku

Dlouhodobě převládající riziko v podobě adwaru je v případě platformy Android v Evropě již několikátým měsícem na ústupu. V čele pravidelné statistiky kyberhrozeb se pak v prosinci umístil nový typ škodlivého kódu s funkcemi spywaru, který sbírá informace o napadeném mobilním telefonu. Útočníci jeho prostřednictvím dokážou zjistit například výrobce a model zařízení, IP adresu, operátora nebo jaký typ internetového připojení využíváme. Získaná data pak mohou prodávat na černém trhu nebo využívat k přípravě dalších útoků.

V prosinci šířili tento škodlivý kód ve falešných verzích celé řady populárních streamovacích aplikací – Netflix, Spotify či Amazon Prime. Malware se ale objevil také ve škodlivé aplikaci WhatsApp či VPN zdarma. Ačkoli se vyskytoval především ve Španělsku a Nizozemsku, případy experti z ESETu zachytili i v České republice. Varováním pro nás by dle nich měl být široký záběr útočníků napříč zeměmi a fakt, že už jen v průběhu prosince se škodlivý kód několikrát vyvíjel.

Mezinárodní geopolitické aliance versus kyberzločinci

Pro vlády a veřejný sektor bude rok 2026 znamenat nutnost posílení mezinárodní spolupráce.

„Aktivita státních aktérů i kyberzločineckých skupin zůstane nadále vysoká. V Evropě bude dominovat ruská kybernetická aktivita, která pravděpodobně nepoleví ani v případě příměří na Ukrajině. Státy budou čelit také kybernetickým žoldákům a komerčním firmám nabízejícím své služby k provedení útoků,“ komentuje situaci Andy Garth, ředitel pro vládní záležitosti v ESETu.

V reakci na tyto hrozby, včetně útoků na dodavatelské řetězce a kritickou infrastrukturu, očekává prohloubení spolupráce mezi NATO a EU v oblasti kybernetické obrany. Důraz bude kladen na digitální odolnost, technologickou suverenitu a legislativní rámce, které umožní efektivnější boj proti kyberkriminálním skupinám.

Ransomware cílí na vypnutí obrany

Podle nejnovější zprávy ESET Threat Report H2 2025, která mapuje globální vývoj kybernetických hrozeb za období od června do listopadu loňského roku, dominují aktuálně na trhu ransomware-as-a-service skupiny Akira a Qilin. Ransomware-as-a-service je model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům.

Bezpečnostní experti však upozorňují i na novou, uzavřenou ransomwarovou skupinu Warlock. Útočníci z tohoto gangu využívají inovativní techniky obcházení detekce škodlivého kódu.

„V případě poměrně nového ransomwaru Warlock jsme v loňském roce zaznamenali několik obětí i v Česku. Nejvíce se však na nás v loňském roce zaměřoval ransomwarový gang Qilin. Ten aktuálně také dominuje globální ransomwarové scéně a na kontě má jen za poslední kvartál roku 2025 celosvětově více než 500 obětí. Takových čísel přitom nedosahoval ani nechvalně proslulý ransomwarový gang LockBit, který byl dominantním hráčem před mezinárodní operací Cronos,“ říká Jakub Souček z ESETu.

Pro následující rok očekávají bezpečnostní experti pokračující nárůst aktivity ransomwarových gangů a vývoj nových nástrojů. Zatímco mediální pozornost přitahují dle nich například útoky typu Zero day, většina incidentů bude letos stále spoléhat na tradiční zranitelnosti, jako jsou slabá hesla nebo neaktualizované systémy. Kromě celkové statistiky je pak třeba podle nich sledovat inovativní techniky nových hráčů, jako je právě zmiňovaný Warlock.

Významným trendem, který má s námi zůstat i v letošním roce, je rostoucí popularita takzvaných ‚EDR killers‘ – nástrojů určených k vypnutí bezpečnostních řešení pro detekci a reakci na koncových zařízeních uživatelů. To podle Součka jen potvrzuje, že kvalitní ochrana je pro útočníky překážkou, kterou se snaží aktivně eliminovat.