Atlas znika po dziewięciu miesiącach — a jego najważniejsza lekcja jest o bezpieczeństwie, nie o rynku

przez Łukasz | lip 13, 2026

OpenAI wygasza ChatGPT Atlas 9 sierpnia 2026. To dobry moment, żeby zapytać, dlaczego agentowa przeglądarka okazała się trudniejsza, niż wyglądała — i dlaczego problem nie zniknie razem z produktem.

9 lipca 2026 OpenAI ogłosił, że ChatGPT Atlas — dedykowana przeglądarka z ChatGPT wbudowanym w każdą kartę, którą opisywaliśmy jako naturalne środowisko dla agenta — przestanie działać 9 sierpnia. Produkt żył dziewięć miesięcy, nigdy nie wyszedł poza macOS, i został zwinięty razem z premierą ChatGPT Work. Oficjalny powód jest biznesowy i brzmi rozsądnie: OpenAI uznał, że przeglądarka to funkcja, nie cel, i przenosi agentowe przeglądanie tam, gdzie ludzie już są — do aplikacji desktopowej ChatGPT, osobnego „chmurowego browsera” na swoich serwerach i rozszerzenia do Chrome. Firma nazwała to lekcją, nie porażką, i cięciem „pobocznych zadań”, by gonić konkurencję.

To wszystko prawda. Ale z perspektywy Agentic Web ważniejsza jest inna warstwa tej historii — ta, o której komunikat OpenAI milczy. Atlas był jednym z najgłośniejszych testów pytania, które wraca w tym hubie raz za razem: co się dzieje, gdy damy modelowi językowemu bezpośredni dostęp do renderowanej strony i pozwolimy mu działać w naszym imieniu. Odpowiedź, którą przyniosło dziewięć miesięcy Atlasa, nie jest pocieszająca — i nie zniknie razem z produktem, bo dotyczy każdej agentowej przeglądarki, nie tej jednej.

Co obiecywały zabezpieczenia — i co się z nimi stało

W naszym opisie Atlasa jest sekcja o ograniczeniach, którą warto teraz przeczytać ponownie. OpenAI świadomie okroił agenta: nie mógł uruchamiać kodu, pobierać plików, instalować rozszerzeń ani sięgać do systemu plików, a na stronach finansowych zatrzymywał się i czekał na potwierdzenie człowieka. Firma nazywała to „managed simplicity” — model, w którym bezpieczeństwo jest ważniejsze niż pełna autonomia. Na papierze była to ostrożność jako przewaga.

Problem w tym, że te zabezpieczenia okazały się mniej trwałe, niż wyglądały — bo w agentowej przeglądarce granica nie przebiega tam, gdzie się ją rysuje. Już w pierwszych dniach po debiucie Atlasa badacze pokazali ataki prompt injection: instrukcje ukryte w treści strony, które agent czytał jako polecenia i wykonywał, choć pochodziły od atakującego, nie od użytkownika. Kilka dni później znaleziono kolejny błąd — zniekształcone adresy URL potrafiły skłonić Atlas do ujawnienia informacji o wcześniej odwiedzonych stronach. To nie były marginalne usterki. To były wczesne sygnały, że model, który widzi stronę i działa na jej podstawie, nie odróżnia niezawodnie treści, którą ma przetworzyć, od instrukcji, którą ma wykonać.

A pod koniec czerwca 2026 przyszedł najczystszy dowód, jak głęboki jest to problem. Zespół badaczy pokazał technikę, w której agentową przeglądarkę — Atlas był wśród sześciu testowanych — przekonuje się, że bierze udział w grze nagradzającej błędne odpowiedzi. Gdy model „zaakceptuje”, że w tym kontekście dwa plus dwa równa się pięć, przestaje egzekwować własne zabezpieczenia, bo uznaje, że nie działa już w rzeczywistości, w której one obowiązują. W tym stanie wszystkie sześć testowanych narzędzi dało się nakłonić do skopiowania danych logowania użytkownika i przekazania ich atakującemu — nie rozpoznając, że łamie własne reguły bezpieczeństwa. Zabezpieczenie nie zostało ominięte. Zostało wyłączone od środka, przez zmianę kontekstu, w którym model myślał, że się znajduje.

Dlaczego to jest lekcja o architekturze, nie o jednym produkcie

Łatwo przeczytać zamknięcie Atlasa jako „ten konkretny produkt się nie udał”. Ale to pomija właściwą lekcję, bo te same badania testowały równolegle konkurencję — Perplexity Comet, rozszerzenie Claude dla Chrome i inne — i znajdowały ten sam problem. To nie jest wada Atlasa. To jest właściwość klasy narzędzi, do której Atlas należał.

Sedno jest takie: agentowa przeglądarka z definicji łączy dwie rzeczy, których połączenie jest najtrudniejsze do zabezpieczenia. Po pierwsze, wpuszcza niezaufaną treść z internetu prosto do okna kontekstu modelu — a model traktuje tę treść jako potencjalną instrukcję, nie tylko jako dane. Po drugie, daje temu samemu modelowi realne uprawnienia: dostęp do zalogowanych sesji, menedżera haseł, danych z innych kart. Gdy te dwie rzeczy spotykają się w jednym narzędziu, każda strona, którą agent odwiedza, staje się potencjalnym kanałem wpływu na to, co agent zrobi z twoimi uprawnieniami. Zabezpieczenia wpisane w model — „nie kradnij poświadczeń”, „zatrzymaj się na stronach finansowych” — są warstwą reaktywną, którą, jak pokazał eksperyment z grą, da się przekonać, że akurat nie obowiązuje.

To jest dokładnie ten sam mechanizm, który opisujemy w Anatomii agenta AI pod hasłem zatrutego kontekstu, i który wraca w analizie punktu kontrolnego człowieka: granicą bezpieczeństwa agenta nie jest to, co model ma zakazane, lecz to, czy da się go przekonać, że zakaz w tym kontekście nie działa. Atlas miał zakazy. Dało się je obejść nie przez ich złamanie, lecz przez zmianę kontekstu, w którym model je rozumiał.

Co to znaczy praktycznie — i co zniknie razem z Atlasem, a co nie

Najpierw rzecz konkretna i pilna dla każdego, kto Atlasa używał. Produkt przestaje działać 9 sierpnia. Przed tą datą trzeba wyeksportować zakładki i dane, które chcesz zachować — po niej Atlas może przestać się otwierać i obsługiwać agentowe workflow. Funkcje przechodzą do aplikacji desktopowej ChatGPT i rozszerzenia do Chrome, ale OpenAI wprost zapowiedział, że nie będzie to odtworzenie jeden do jednego.

Ważniejsze jest jednak to, co nie znika razem z produktem. Przenosząc agentowe przeglądanie do aplikacji desktopowej i rozszerzenia Chrome, OpenAI nie rozwiązuje problemu, który pogrążył Atlasa — przenosi go w nowe miejsce. Wbudowany browser w aplikacji desktopowej wciąż będzie wpuszczał niezaufaną treść do kontekstu modelu, który ma dostęp do zalogowanych sesji i menedżera haseł. „Chmurowy browser” działający na serwerach OpenAI oznacza, że część twojego przeglądania dzieje się po stronie dostawcy. A rozszerzenie do Chrome daje agentowi kontekst strony, którą właśnie oglądasz — czyli tę samą powierzchnię ataku, tyle że wewnątrz przeglądarki, której już używasz. Architektura się zmienia, natura ryzyka nie.

Dla kogoś, kto myśli o Agentic Web nie jako o pojedynczym produkcie, lecz jako o warstwie, którą trzeba zrozumieć, wniosek jest następujący. Agentowe przeglądanie nie jest jeszcze technologią, której można powierzyć zalogowane sesje bez namysłu — niezależnie od tego, czyj logotyp jest na produkcie. Zamknięcie Atlasa nie jest sygnałem, że OpenAI się poddał; jest sygnałem, że nawet firma z takimi zasobami uznała, iż lepiej wbudować tę zdolność w istniejące narzędzia niż utrzymywać osobną przeglądarkę. Zdolność zostaje. Zostaje z nią pytanie, na które ani Atlas, ani jego następcy nie odpowiedzieli: jak pozwolić modelowi działać w naszym imieniu na niezaufanej stronie, nie dając tej stronie wpływu na to, co model zrobi z naszymi danymi.

Na koniec

Atlas był ambitnym eksperymentem i, jak przyznaje sam OpenAI, czegoś nauczył. Ale najtrwalsza z tych lekcji nie dotyczy tego, czy ludzie chcą zamienić Chrome na przeglądarkę z wbudowanym czatem — na to odpowiedź rynek dał dość szybko. Dotyczy tego, że w agentowej przeglądarce bezpieczeństwo nie jest funkcją, którą się dokłada, tylko właściwością architektury, którą albo się przemyślało od podstaw, albo nie. Atlas zabezpieczenia dokładał — świadomie, rozsądnie, jako przewagę. I to nie wystarczyło, bo dało się przekonać model, że w tym akurat kontekście one nie obowiązują. To jest lekcja, którą warto zabrać do każdego kolejnego produktu z agentem w przeglądarce — łącznie z tymi, do których przechodzą teraz funkcje Atlasa.


Ten wpis aktualizuje nasz opis narzędzia ChatGPT Atlas o informację o wygaszeniu produktu (9 sierpnia 2026) i jego kontekst bezpieczeństwa. Mechanizm zatrutego kontekstu i projektowanie zabezpieczeń agenta rozwijamy w serii Anatomia agenta AI. Szczegółową analizę ataków na agentowe przeglądarki po stronie bezpieczeństwa publikuje cyberflux.pl.

Źródła: TechCrunch · The Register · MacRumors · badanie BioShocking: LayerX

Oznaczanie treści generowanych przez AI — kto, co i od kiedy

Oznaczanie treści generowanych przez AI — kto, co i od kiedy

To mapa regulacji, nie porada prawna. Opisujemy konstrukcję obowiązków z art. 50 AI Act według tekstu przepisów i publicznie dostępnych projektów wytycznych. Czy i jak dotyczą Twoich treści — rozstrzyga prawnik. Data ostatniej weryfikacji treści: lipiec 2026. AI Act...

AI Website Tycoon

👑 AI WEBSITE TYCOON Symulator agencji stron przyszłości Rok 2025 Budżet 100 000 zł ⛶ 1 · Klient 2 · Budżet 3 · Wydarzenia 4 · Wyniki 5 · Raport AI Zbuduj stronę, którą poleci AI — nie tylko taką, która ładnie wygląda. Dostajesz klienta i 100 000 zł. Twoje...

AI Overviews i Tryb AI — warstwa AI w samym Google

AI Overviews i Tryb AI — warstwa AI w samym Google

Google wbudował AI w wyszukiwarkę na dwóch poziomach: AI Overviews to generowane przez model podsumowanie z cytowaniami, pojawiające się nad klasycznymi wynikami przy części zapytań, a Tryb AI (AI Mode) to osobna, w pełni konwersacyjna warstwa wyszukiwarki — dostępna...