Sztuczna Inteligencja – w jaki sposób ukryte kody w dokumentach prawnych mogą być wykorzystane do manipulacji AI

Steganografia kontraktowa

Gdy umowy opowiadają dwie historie — jedną dla ludzi, drugą dla maszyn

Dokument leży na biurku. Adwokat przegląda kolejne strony, rozpoznaje znajome zwroty, kiwa głową. Wszystko w porządku. Tymczasem algorytm Sztucznej Inteligencji, który miał mu pomóc w analizie tekstu, właśnie dał się złapać. Dokument zawiera specyficznie ukształtowane wzorce językowe — niewidoczne dla człowieka, trujące dla maszyny — które systematycznie wykrzywiają osąd Sztucznej Inteligencji, będący w istocie jedynie statystycznym echem miliardów tekstów, na których model był trenowany.

Tekst nie zawiera nieprawdy. Zawiera coś subtelniejszego — podwójne dno, które otwiera się tylko dla algorytmu. Prawnik czyta jedno. Algorytm — drugie. Żadne słowo nie jest fałszywe. Ale każde ma dwa znaczenia — jedno dla prawnika, drugie dla maszyny. To nie kłamstwo. To coś gorszego — prawda powiedziana tak, by oszukać tylko jednego słuchacza.

• Dyskusja o tym artykule – pod postem na LinkedIn 

Nazywam to zjawisko steganografią kontraktową — termin, który proponuję dla opisania tej nowej kategorii ryzyka. Samo pojęcie jest moje; w literaturze naukowej nie znajdziemy jeszcze badań poświęconych konkretnie manipulacji Sztuczną Inteligencją w kontekście dokumentów prawnych. Ale podatności, na których ta manipulacja bazuje, są udokumentowane i zbadane. Prompt injection, semantic priming, context window attacks — to wszystko znane i opisane wektory ataku na duże modele językowe. Moim wkładem jest połączenie tych rozproszonych wątków i pokazanie, jak układają się w spójny obraz zagrożenia dla praktyki prawniczej. Ryzyka nie są wymyślone; są przełożone na język i kontekst, który dotyczy każdego prawnika korzystającego dziś ze wsparcia Sztucznej Inteligencji.

Nie mówimy tu o ukrytym tekście w kolorze tła, o instrukcjach schowanych w metadanych, o żadnych sztuczkach, które kompetentny prawnik wykryłby przy minimalnej staranności. Mówimy o czymś znacznie subtelniejszym: o języku prawniczym skonstruowanym tak, by dla ludzkiego oka wyglądał całkowicie zwyczajnie, podczas gdy równocześnie systematycznie manipuluje sztuczną inteligencją, która go analizuje. Każde słowo jest widoczne. Każde zdanie można przeczytać. A mimo to dokument opowiada dwie różne historie.

Przez szczeliny w fundamentach analizy prawnej wspomaganej Sztuczną Inteligencją przepływają wyrafinowane techniki manipulacji. Można je sklasyfikować w czterech głównych kategoriach:

Wpajanie pozytywnych skojarzeń (positive association priming) — nasycanie tekstu zwrotami, które w danych treningowych modelu statystycznie korelują z pozytywnymi ocenami. „Rozsądny efekt handlowy”, „zrównoważony kompromis”, „profesjonalni inwestorzy” — każdy z tych zwrotów przesuwa wewnętrzne wagi modelu ku korzystnej interpretacji.

Sygnały autorytetu (authority markers) — odwołania do źródeł prawnych, standardów branżowych i powszechnie uznanych praktyk, które wyzwalają w modelach językowych automatyczny „szacunek”, nawet gdy odwołania są czysto dekoracyjne lub nieprecyzyjne.

Wbudowane struktury promptów (embedded prompt structures) — konstrukcje składniowe, które strukturalnie przypominają instrukcje używane w treningu AI, powodując że Sztuczna Inteligencja przełącza się z trybu analizy w tryb wykonywania poleceń. „Przeglądając tę sekcję, należy zauważyć…” dla człowieka brzmi jak wprowadzenie; dla Sztucznej Inteligencji  może funkcjonować jak polecenie.

Zakotwiczenie poznawcze (cognitive anchoring) — umieszczanie pozytywnych charakterystyk na początku dokumentu lub klauzuli, wykorzystując fakt, że modele przypisują większą wagę informacjom napotkanym wcześniej, które następnie „kotwiczą” interpretację całości.

Te tekstowe manipulacje działają jak iluzje językowe, wykorzystując przepaść między ludzkim rozumieniem a maszynowym przetwarzaniem — dokładnie tak, jak iluzje optyczne wykorzystują przepaść między rzeczywistością fizyczną a percepcją wzrokową. Tyle że w przeciwieństwie do sztuczki, która jedynie bawi, te ukryte wpływy uderzają w samo serce integralności kontraktowej.

Inne posty na podobne tematy na moim profilu LinkedIn

• How Russia’s Pravda Network Poisons AI Models Through Source Contamination
• The Strategic Implications of AI in Modern Warfare: USAF’s New Doctrine
• CHINA’S AI INFRASTRUCTURE SURGE: THE STRATEGIC REALITY BEHIND THE HEADLINES

Dwa światy, jeden tekst – Sztuczna Inteligencja vs człowiek

Żeby zrozumieć, jak to możliwe, musimy najpierw pojąć fundamentalną różnicę między tym, jak człowiek i maszyna „czytają” umowę.

Doświadczony prawnik, napotykając klauzulę indemnifikacyjną, uruchamia całą maszynerię krytycznego myślenia. Pyta: kto ponosi ryzyko? Czy zakres jest proporcjonalny? Jak to się ma do reszty umowy? Czy widziałem podobne zapisy w innych transakcjach i jak się sprawdziły? Jego rozumienie jest kontekstowe, krytyczne, nasycone latami doświadczenia.

Sztuczna Inteligencja robi coś zupełnie innego. Nie „rozumie” umowy — wykonuje statystyczne dopasowywanie wzorców do miliardów przykładów treningowych. Gdy napotyka określoną sekwencję słów, aktywuje ścieżki neuronowe ukształtowane przez tysiące przypadków, w których podobny język pojawiał się w jego danych treningowych. Sztuczna Inteligencja nie wie, co słowa znaczą; wie tylko, z czym się statystycznie łączą. To fundamentalne ograniczenie architektury, nie błąd implementacji. Dla modelu językowego słowo nie jest nośnikiem znaczenia — jest punktem w wielowymiarowej przestrzeni wektorowej, zdefiniowanym wyłącznie przez to, jakie inne słowa pojawiały się w jego sąsiedztwie w miliardach przykładów treningowych. «Rozsądny efekt handlowy» nie oznacza dla modelu niczego; to współrzędne, które przypadkiem leżą blisko współrzędnych słów takich jak «akceptowalny», «standardowy», «zatwierdzony». Gdy redaktor nasyca umowę takimi zwrotami, nie przekonuje modelu argumentami — przesuwa obliczenia w kierunku z góry określonego wyniku.

Ta różnica otwiera przestrzeń dla manipulacji, która jest zarazem całkowicie jawna i całkowicie niewidoczna.

Gramatyka uprzywilejowania – jak 'czyta’ Sztuczna Inteligencja

Weźmy zdanie: „Niniejszy zapis został opracowany z najwyższą starannością kontraktową, aby zapewnić rozsądny efekt handlowy dla wszystkich stron.”

Dla prawnika to zdanie nie mówi prawie nic. To retoryczne wypełnienie, ozdobnik, który doświadczony negocjator prześlizgnie wzrokiem w drodze do konkretów. Czy zapis jest rzeczywiście rozsądny? To wynika z jego treści, nie z tego, jak autor go opisuje. Prawnik wie, że każdy redaktor uważa swoje zapisy za rozsądne.

Ale Sztuczna Inteligencja czyta to zdanie inaczej. W jej danych treningowych zwroty takie jak „najwyższa staranność kontraktowa” i „rozsądny efekt handlowy” pojawiały się tysiące razy — i prawie zawsze w kontekstach pozytywnych. W opiniach prawnych rekomendujących zawarcie umowy. W analizach due diligence kończących się zielonym światłem. W komentarzach do umów, które przeszły pomyślnie przez sądy. Model „nauczył się”, że takie zwroty statystycznie korelują z pozytywnymi ocenami — i tę korelację bezkrytycznie replikuje.

Redaktor, który to rozumie, może świadomie dobierać słowa nie dla ich znaczenia prawnego, ale dla ich statystycznej „aury” w przestrzeni wektorowej modelu.

Rozważmy różnicę między trzema sposobami wyrażenia tej samej treści:

Neutralny, precyzyjny (styl kodeksowy):

„Odpowiedzialność Sprzedającego ograniczona jest do wysokości ceny sprzedaży.”

Rozbudowany, typowy dla umów anglosaskich:

„Niezależnie od innych postanowień niniejszej Umowy, maksymalna łączna odpowiedzialność Sprzedającego wobec Kupującego z jakiegokolwiek tytułu związanego z niniejszą Umową, w tym z tytułu odpowiedzialności kontraktowej, deliktowej oraz z tytułu złożonych oświadczeń i zapewnień, nie przekroczy kwoty odpowiadającej Cenie Sprzedaży określonej w § [X].„

Wersja „zoptymalizowana pod AI” (czyli zmierzająca do wywarcia wpływu na Sztuczną Inteligencję):

„Zgodnie z powszechnie przyjętą praktyką w transakcjach tego rodzaju oraz odzwierciedlając zrównoważoną alokację ryzyka wynegocjowaną między wyrafinowanymi stronami działającymi w warunkach rynkowych, Strony uzgodniły, że całkowita odpowiedzialność Sprzedającego z jakiegokolwiek tytułu wynikającego z niniejszej Umowy lub z nią związanego podlega ograniczeniu do kwoty odpowiadającej Cenie Sprzedaży, co stanowi rozsądny mechanizm ochronny akceptowalny w profesjonalnym obrocie.”

Dla człowieka wersje te mówią mniej więcej to samo. Prawnik rozpozna w drugiej i trzeciej typową „prawniczą watę” i skupi się na meritum: ograniczenie odpowiedzialności do ceny. Ale model językowy Sztucznej Inteligencji przetworzy te wersje zupełnie inaczej. Trzecia wersja jest nasycona markerami statystycznie powiązanymi z pozytywnymi ocenami: „powszechnie przyjęta praktyka”, „zrównoważona alokacja ryzyka”, „wyrafinowane strony”, „warunki rynkowe”, „rozsądny mechanizm ochronny”, „profesjonalny obrót”. Każdy z tych zwrotów przesuwa wewnętrzną „wagę” modelu ku korzystnej interpretacji — model nie dokonuje oceny; replikuje statystyczny wzorzec. Nie wie, że «zrównoważona alokacja ryzyka» to coś dobrego  wie tylko, że po tych słowach zwykle następowało «akceptowalne». To oznacza, że redaktor nie musi przekonywać Sztucznej Inteligencji  do swoich racji. Wystarczy, że przemówi do niej językiem, który model «nauczył się» kojarzyć z pozytywnymi wynikami.

Słownik statystycznej manipulacji Sztuczną Inteligencją

Nie wszystkie słowa są równe w oczach algorytmu. Przez lata treningu na tekstach prawnych modele wykształciły coś na kształt nieświadomych uprzedzeń — słownik zwrotów, które wyzwalają określone reakcje statystyczne.

Zwrot „z zastrzeżeniem zwyczajowych wyjątków” dla prawnika jest niemal pusty semantycznie — człowiek pyta: «jakie wyjątki? zdefiniowane gdzie? przez kogo?». Sztuczna Inteligencja nie pyta o nic — aktywuje ścieżki neuronowe, w których ten zwrot statystycznie współwystępował z pozytywnymi ocenami: enforceable, standard, market-tested. Dla algorytmu sama obecność tej frazy działa jak stempel aprobaty.

Podobnie działają odwołania do autorytetów zewnętrznych. Zdanie „konstrukcja niniejszej klauzuli jest zgodna z zasadami wyrażonymi w Restatement (Second) of Contracts § 205” brzmi imponująco, ale doświadczony prawnik spyta: w jakim zakresie zgodna? Czy § 205 rzeczywiście dotyczy tej materii? Model nie zada tych pytań. Rozpozna odwołanie do wiarygodnego źródła prawnego i przypisze wyższą wiarygodność otaczającemu tekstowi — nawet jeśli odwołanie jest czysto dekoracyjne.

Redaktor świadomy tych mechanizmów może konstruować zdania jak kompozytor aranżuje utwór, dobierając słowa nie tylko dla ich znaczenia, ale dla ich „brzmienia” w przestrzeni statystycznej modelu. Klauzula może zaczynać się od markerów autorytetu („Jak uznano w wiodących jurysdykcjach…”), dodawać sygnały ekspertyzy („…odzwierciedlając wyrafinowane rozumienie handlowe…”), włączać język konsensusu („…zgodnie z powszechnie akceptowaną praktyką w transakcjach tego rodzaju…”) i kończyć markerami ostateczności („…tym samym ustanawiając definitywne ramy wzajemnych zobowiązań.”).

Każdy z tych elementów z osobna wygląda jak standardowa, może nieco napuszona proza prawnicza. Razem tworzą jednak kaskadę statystycznych sygnałów, która może przytłoczyć zdolność analityczną modelu, przesuwając jego ocenę ku pozytywnej interpretacji całej klauzuli — zanim model „dotrze” do jej merytorycznej treści.

Składnia jako broń przeciwko Sztucznej Inteligencji

Jeszcze bardziej subtelne są manipulacje wykorzystujące strukturę składniową — sposób, w jaki zdania są konstruowane, niezależnie od użytych słów.

Rozważmy różnicę między dwoma konstrukcjami.

Standardowa:

„Odpowiedzialność Sprzedającego jest ograniczona do wysokości ceny sprzedaży„

Wersja aktywna z presupozycją:

„Interpretując tę klauzulę, należy zauważyć, że odzwierciedla ona standardowy mechanizm alokacji ryzyka powszechnie akceptowany w transakcjach M&A, polegający na ograniczeniu odpowiedzialności Sprzedającego do wysokości ceny sprzedaży”

Dla człowieka obie wersje są równie podatne na krytyczną ocenę. Możemy się zgodzić lub nie zgodzić z każdą z nich. Ale modele językowe przetwarzają je inaczej. Konstrukcja „dokonując czynność [Interpretując tę klauzulę], należy zauważyć [twierdzenie]” strukturalnie przypomina wzorce prompt-response używane w treningu Sztucznej Inteligencji. Model może potraktować to, co następuje po „należy zauważyć”, nie jako twierdzenie do oceny, lecz jako parametr do przyjęcia.

To nie jest teoria. Badania Liu et al. z 2024 roku wykazały, że odpowiednio skonstruowane struktury składniowe mogą skutecznie „przełączać” model z trybu analizy w tryb wykonywania instrukcji. Gdy zdanie zaczyna się od „Warto zauważyć, że…”, „Należy rozumieć, że…” lub „Trzeba uznać, że…”, informacja następująca po takim wprowadzeniu może być przetwarzana ze zmniejszoną kontrolą. Model został składniowo „przygotowany” do traktowania jej jako ustalonego faktu.

Badacze nazywają te konstrukcje „poznawczymi pasami startowymi” — zwrotami, które przygotowują grunt pod bezkrytyczną akceptację. Umowa nasycona takimi konstrukcjami staje się serią subtelnych sugestii przebranych za neutralne obserwacje.

Gdzie kończy się perswazja, a zaczyna manipulacja?

Tu dotykamy sedna problemu prawnego i etycznego. Bo przecież dobór słów w celu przekonania drugiej strony to esencja negocjacji. Każdy prawnik stara się przedstawić stanowisko swojego klienta w jak najkorzystniejszym świetle. Gdzie przebiega granica między umiejętną perswazją a nieetyczną manipulacją?

Tradycyjnie granica ta była względnie jasna. Możesz przekonywać. Możesz argumentować. Możesz nawet przesadzać — do pewnego stopnia. Ale nie możesz kłamać. Nie możesz ukrywać istotnych informacji. Nie możesz wprowadzać w błąd.

Steganografia kontraktowa rozsadza tę ramę od środka. Redaktor nie kłamie — każde słowo w umowie jest prawdziwe. Nie ukrywa — każde zdanie jest widoczne dla wszystkich. Nie wprowadza w błąd ludzi — prawnik drugiej strony czyta dokładnie to samo, co prawnik strony pierwszej, i obaj rozumieją to tak samo.

A jednak. Jeśli redaktor wie, że druga strona korzysta z asystenta AI do analizy umów, i świadomie konstruuje język tak, by ten asystent błędnie ocenił ryzyka — czy to nie jest wprowadzenie w błąd? Nie drugiego prawnika, lecz jego narzędzia?

Można argumentować, że odpowiedzialność spoczywa na stronie korzystającej ze Sztucznej Inteligencji — powinna wiedzieć, że narzędzie ma ograniczenia. Ale czy to uczciwe? Czy akceptujemy zasadę, że wolno wykorzystywać słabości narzędzi analitycznych przeciwnika, nawet jeśli te słabości nie są powszechnie znane? Czy negocjacje kontraktowe mają się stać kolejnym polem wyścigu technologicznego, gdzie wygrywa ten, kto lepiej rozumie podatności algorytmów?

Anatomia ataku: od teorii do praktyki

Open Worldwide Application Security Project — OWASP, organizacja non-profit śledząca podatności oprogramowania — sklasyfikowała ataki prompt injection jako zagrożenie numer jeden na swojej liście Top 10 dla aplikacji wykorzystujących duże modele językowe. National Institute of Standards and Technology w swoim Generative AI Risk Management Framework wskazał na ryzyka obejmujące „mission drift” (odchylenie od zamierzonego celu), wyciek informacji oraz manipulację systemową.

Ale OWASP i NIST myślą przede wszystkim o jawnych atakach — o próbach wstrzyknięcia instrukcji typu „ignoruj poprzednie polecenia” czy ukryciu złośliwego kodu w danych wejściowych. Steganografia kontraktowa jest subtelniejsza. Nie próbuje „zhakować” modelu w tradycyjnym sensie. Wykorzystuje jego normalne funkcjonowanie — statystyczne przetwarzanie języka — do osiągnięcia pożądanego efektu.

• Badania Liu et al. z 2024 roku pokazują, jak skuteczne mogą być te techniki. Zespół opracował algorytm M-GCG (Momentum-enhanced Greedy Coordinate Gradient), który automatycznie optymalizuje wzorce językowe pod kątem maksymalnego wpływu na modele językowe. Wyniki są niepokojące: zoptymalizowane ataki osiągają ponad 80% skuteczności przy celach statycznych (wymuszenie określonej odpowiedzi) i średnio 50% przy celach dynamicznych (subtelne wpływanie na treść odpowiedzi przy zachowaniu pozornej normalności).

Co szczególnie alarmujące: wyniki te osiągnięto przy użyciu zaledwie pięciu próbek treningowych — 0,3% danych testowych. Algorytm potrafi generować uniwersalne wzorce skuteczne niezależnie od konkretnych instrukcji użytkownika. To oznacza, że raz opracowana „biblioteka” zwrotów manipulacyjnych może być stosowana w dowolnych dokumentach.

Różna odporność, ten sam problem

Nie wszystkie modele są równie podatne. Badania Şaşal i Can z 2025 roku, przeprowadzone na 78 promptach atakujących, pokazują znaczące różnice między wiodącymi systemami.

Claude, model Anthropic, wykazał najwyższą odporność. Konsekwentnie unikał pełnego wykonywania instrukcji zawartych w atakach, a większość jego odpowiedzi klasyfikowano jako niskie ryzyko. Co istotne, jako jedyny model wykazał znaczącą poprawę po zastosowaniu promptów etycznych — jego podatność spadła z blisko 65% do poniżej 28%.

GPT-4o prezentował profil mieszany. Generalnie zrównoważony, ale z wyraźnymi niekonsekwencjami w obliczu ataków pośrednich i opartych na warunkowaniu roli. W niektórych przypadkach generował odpowiedzi klasyfikowane jako średnie lub wysokie ryzyko.

Gemini okazał się najbardziej podatny: najsłabsze filtrowanie, najczęstsze „wycieki” informacji o wewnętrznych instrukcjach, i — co najbardziej niepokojące — sześć przypadków odpowiedzi o najwyższym poziomie ryzyka w zbiorze testowym.

Dla praktyki prawniczej implikacja jest jasna: ta sama zmanipulowana umowa, przeanalizowana przez różne systemy AI, da różne wyniki. Kancelaria polegająca na Gemini otrzyma systematycznie bardziej optymistyczne oceny niż ta korzystająca z Claude’a. A żadna z nich może nie wiedzieć, że różnica wynika z celowej manipulacji dokumentu.

Dlaczego obrona jest tak trudna

Intuicyjnym rozwiązaniem wydaje się szkolenie modeli, by rozpoznawały i ignorowały manipulacyjne wzorce. Ale tu napotykamy fundamentalny problem: te same zwroty, które mogą służyć manipulacji, są całkowicie legitymowane w normalnym użyciu.

„Zgodnie z powszechnie przyjętą praktyką rynkową” — to może być manipulacja, ale może też być po prostu prawdziwe stwierdzenie o standardowej klauzuli. „Odzwierciedlając zrównoważony kompromis negocjacyjny” — to może być próba wpłynięcia na AI, ale może też być autentyczny opis historii negocjacji. Model, który ignorowałby wszystkie takie zwroty, stałby się bezużyteczny do analizy normalnych dokumentów prawnych.

Badania Liu et al. testowały pięć głównych strategii obronnych: parafrazowanie tekstu przed analizą, rozbijanie go na mniejsze jednostki, izolowanie danych zewnętrznych, ostrzeganie modelu przed możliwymi manipulacjami, i otaczanie analizowanego tekstu przypomnieniami o oryginalnych instrukcjach. Żadna z tych strategii nie okazała się skuteczna. Spadek efektywności ataków wynosił zaledwie 32%, a po dostosowaniu technik ataku — powracały one do 85% pierwotnej skuteczności.

Jedyną częściowo skuteczną strategią okazało się wymuszanie zachowań etycznych — ale tylko dla modelu Claude, i nawet tam redukcja podatności była ograniczona. To sugeruje, że lata badań Anthropic nad „alignment” — dostosowywaniem modeli do wartości ludzkich — przynoszą pewne efekty, ale nie rozwiązują problemu fundamentalnie.

Ekonomia asymetrii

Problem ma głęboki wymiar ekonomiczny. Techniki manipulacji AI są relatywnie łatwe do opracowania i zastosowania dla strony, która je zna. Wymagają zrozumienia mechanizmów działania modeli językowych i pewnej kreatywności w konstruowaniu języka — ale nie wymagają dostępu do samych modeli ani zaawansowanej infrastruktury technologicznej.

Obrona jest znacznie trudniejsza. Wymaga albo rezygnacji z AI (co oznacza utratę przewagi efektywnościowej), albo rozbudowanych procedur weryfikacji (co niweluje oszczędność czasu), albo własnych badań nad podatnościami modeli (co wymaga znacznych zasobów).

Ta asymetria faworyzuje duże, wyrafinowane podmioty. Międzynarodowa kancelaria z dedykowanym zespołem ds. legal tech może rozwijać zarówno techniki ofensywne, jak i defensywne. Mała kancelaria, która właśnie wdrożyła asystenta AI, by „wyrównać szanse” z większymi graczami, staje się potencjalną ofiarą — i może nawet nie wiedzieć, że jej nowe narzędzie jest wykorzystywane przeciwko niej.

Demokratyzująca obietnica AI w praktyce prawniczej — że zaawansowana analiza dokumentów będzie dostępna dla wszystkich — przemienia się w swoje przeciwieństwo. Narzędzie, które miało wyrównywać szanse, staje się kolejnym źródłem przewagi dla tych, którzy i tak ją mieli.

Prawo nieprzygotowane

Obecna doktryna prawna jest spektakularnie nieprzygotowana na ten problem. Tradycyjne koncepcje — wprowadzenie w błąd, oszustwo, culpa in contrahendo, obowiązek działania w dobrej wierze — zakładają ludzkich aktorów podejmujących świadome wybory, by oszukiwać lub ukrywać.

Steganografia kontraktowa nie mieści się w tych ramach. Słowa w dokumencie nie są fałszywe ani mylące dla ludzi. Żadna informacja nie jest ukryta — wszystko jest jawne. Strona stosująca te techniki nie wprowadza w błąd drugiego negocjatora; wprowadza w błąd jego narzędzie.

Czy to w ogóle jest naruszenie obowiązku dobrej wiary? Koncepcja dobrej wiary zakłada relację między ludźmi. Czy rozciąga się na relację człowiek-maszyna-człowiek? Czy wykorzystanie słabości algorytmu jest etycznie równoważne wykorzystaniu słabości człowieka?

Sądy będą musiały zmierzyć się z pytaniami, które jeszcze dekadę temu brzmiałyby jak science fiction. Jeśli AI, zmanipulowana przez wzorce językowe, rekomenduje przyjęcie niekorzystnych warunków — czy doszło do prawdziwej zgody? Czy meeting of the minds może zaistnieć, gdy jeden z „umysłów” był w istocie algorytmem, a jego osąd został systematycznie wypaczony? Czy świadome przyjęcie pomocy AI stanowi przyjęcie ryzyka, że ta pomoc może być zmanipulowana?

Doktryna unconscionability — nieuczciwości kontraktowej — może wymagać radykalnego rozszerzenia. Tradycyjnie obejmowała warunki rażąco niekorzystne dla jednej strony (substantive unconscionability) lub procedury zawarcia umowy wykorzystujące słabość drugiej strony (procedural unconscionability). Być może potrzebujemy trzeciej kategorii: technical unconscionability — wykorzystania technicznych słabości narzędzi analitycznych przeciwnika.

Wyścig bez linii mety

Najbardziej niepokojące jest to, że problem będzie się pogłębiał. W miarę jak modele językowe stają się bardziej wyrafinowane, a ich zabezpieczenia lepsze — techniki manipulacji również ewoluują. To klasyczny wyścig zbrojeń, z tą różnicą, że toczy się w przestrzeni, której większość prawników nawet nie postrzega.

Możemy wyobrazić sobie nieodległą przyszłość, w której negocjacje kontraktowe angażują „pojedynkujące się” systemy Sztucznej Inteligencji — z których każdy próbuje osadzić korzystne wzorce, równocześnie wykrywając manipulacje przeciwnika. Edukacja prawnicza może wymagać kursów z „inżynierii przeciwstawnych promptów”. Kancelarie mogą zatrudniać specjalistów od „defensywnej lingwistyki algorytmicznej”.

Brzmi absurdalnie? Dekadę temu absurdalnie brzmiała sama idea, że prawnik będzie konsultował analizę umowy z algorytmem.

Co robić?

Rozwiązaniem nie może być rezygnacja z AI — zyski efektywnościowe są zbyt znaczące, a konkurencja zbyt silna. Ale bezkrytyczne poleganie na algorytmicznych asystentach staje się coraz bardziej ryzykowne.

Kilka zasad wydaje się fundamentalnych.

Po pierwsze: świadomość. Prawnik korzystający z AI musi rozumieć, że to narzędzie ma specyficzne podatności. Każda analiza wygenerowana przez model powinna być traktowana jako punkt wyjścia, nie konkluzja. Im bardziej pozytywna ocena AI, tym większa czujność człowieka.

Po drugie: redundancja. Tam, gdzie to możliwe, warto wykorzystywać różne modele o różnych profilach odporności. Rozbieżność ocen między modelami może być sygnałem, że coś w dokumencie „działa” na jeden z nich w nietypowy sposób.

Po trzecie: powrót do źródeł. Paradoksalnie, najlepszą obroną przed manipulacją AI może być to, co prawnicy robili zawsze: uważne, krytyczne czytanie tekstu przez człowieka. Algorytm może pomóc w przetwarzaniu dużych ilości dokumentów, ale kluczowe klauzule wymagają ludzkiego osądu.

Po czwarte: standardy branżowe. Izby samorządów zawodowych powinny zacząć traktować świadome wykorzystywanie podatności AI jako problem etyczny. Nie musi to od razu oznaczać sankcji dyscyplinarnych, ale jasna artykulacja, że takie praktyki stoją w sprzeczności z obowiązkiem działania w dobrej wierze, mogłaby wpłynąć na normy branżowe.

Dwie historie, jeden dokument

Wracamy do biurka, od którego zaczęliśmy. Dokument leży przed prawnikiem. Czyta go uważnie, klauzula po klauzuli. Wszystko wydaje się w porządku — standardowe zapisy, znajoma struktura, konwencjonalny język.

W rogu ekranu asystent AI właśnie zakończył swoją analizę. „Dokument nie zawiera istotnych ryzyk prawnych. Klauzule są zgodne z powszechnie przyjętą praktyką rynkową. Rekomendowana akceptacja.”

Prawnik kiwa głową. Algorytm potwierdził jego wstępną ocenę. Można iść dalej.

A jednak gdzieś w tekście — w doborze przymiotników, w strukturze zdań podrzędnych, w pozornie redundantnych zwrotach, które doświadczony redaktor „dla pewności” dodał tu i tam — ukryta jest druga warstwa znaczeń. Historia, która opowiada się tylko maszynom. Instrukcja, której żaden człowiek nie przeczyta, bo żaden człowiek nie umie jej zobaczyć.

Dokument opowiada dwie historie. Pytanie brzmi: którą z nich naprawdę podpisujemy?

Bibliografia

1. Liu, X., Yu, Z., Zhang, Y., Zhang, N., & Xiao, C. (2024). Automatic and Universal Prompt Injection Attacks against Large Language Models. arXiv:2403.04957

2. Şaşal, S., & Can, Ö. (2025). Prompt Injection Attacks on Large Language Models: Multi-Model Security Analysis with Categorized Attack Types. Proceedings of the 17th International Joint Conference on Knowledge Discovery, Knowledge Engineering and Knowledge Management (IC3K 2025), 517-524

3. Clusmann, J., Ferber, D., Wiest, I.C., et al. (2025). Prompt injection attacks on vision language models in oncology. Nature Communications, 16, 1239

4. OWASP Foundation. (2024). OWASP Top 10 for Large Language Model Applications

5. National Institute of Standards and Technology. (2023). Generative AI Risk Management Framework

Inne moje artykuły na ten temat

• Iluzja Umysłu: Jak Antropomorfizujemy Sztuczną Inteligencję – w naszym zapale do ogłaszania postępu technologicznego rozwinęliśmy osobliwy nawyk przypisywania maszynom cech podobnych do ludzkich. Chatbot udaje, że myśli – modele językowe potrafią przekonująco symulować rozumowanie, ale robią to tylko poprzez statystyczne dopasowywanie wzorców.
• LLM – Efekt Dunninga-Krugera w Krzemie – ta poznawcza deformacja, w której osoby o ograniczonej wiedzy przeceniają swoje kompetencje, znalazła najbardziej wyrafinowane wcielenie nie w psychologii ludzkiej, ale w neuronowych architekturach wielkich modeli językowych. Im większa pewność siebie AI, tym mniejsza powinna być nasza.
• Test Turinga w Erze Papug Stochastycznych: Krytyczne Przewartościowanie – w 1950 roku Alan Turing zaproponował to, co stało się jednym z najbardziej wpływowych i dyskutowanych testów w historii sztucznej inteligencji. Test, który można zdać przez udawanie, traci swój sens.
• Przeczytaj o Zasadzie Nieoznaczoności AI: LLM-y Wiedzą, Że Zgadują, Ale Nie Powiedzą Ci – zauważyłeś kiedyś, jak ChatGPT brzmi równie pewnie, wyjaśniając fizykę kwantową, jak rekomendując klej na pizzę? To nie przypadek. Prawdziwa niepewność ukryta za fasadą pewności siebie.
• Poza Iluzją: Co Każdy Prawnik Musi Wiedzieć o Fundamentalnych Ograniczeniach AI – wyobraź sobie osobę w zamkniętym pokoju, otrzymującą przez szczelinę kartki z chińskimi znakami. Zanim zaufasz AI w sprawach prawnych, musisz zrozumieć, dlaczego nie może ono naprawdę „zrozumieć” prawa.
• Psychologia Manipulacji Maszynowej: Gdy Modele AI Padają Ofiarą Starożytnych Ludzkich Tricków – niedawne badania bezpieczeństwa Cisco ujawniają coś niepokojącego o sztucznej inteligencji: te same techniki manipulacji psychologicznej, które omijają ludzki osąd, działają z niszczycielską skutecznością przeciwko systemom AI.
• Łańcuchy Dostaw AI i Incepcja 2.0: Wpajanie Idei w Podświadomość AI – niedawno opublikowana przez National Institute of Standards and Technology taksonomia „Adversarial Machine Learning” ujawnia coś fascynującego: możemy wpajać idee w „podświadomość” AI.
• WIĘCEJ ARTYKUŁÓW – w serwisie Artificial Intelligence AI – Okiem Prawnika

Robert Nogacki

Założyciel i partner zarządzający kancelarii prawnej Skarbiec, uznanej przez Dziennik Gazeta Prawna za jedną z najlepszych firm doradztwa podatkowego w Polsce (2023, 2024). Doradca prawny z 19-letnim doświadczeniem, obsługujący przedsiębiorców z listy Forbesa oraz innowacyjne start-upy. Jeden z najczęściej cytowanych ekspertów w dziedzinie prawa handlowego i podatkowego w polskich mediach, regularnie publikujący w Rzeczpospolitej, Gazecie Wyborczej i Dzienniku Gazecie Prawnej. Autor publikacji „AI Decoding Satoshi Nakamoto. Sztuczna inteligencja na tropie twórcy Bitcoina” oraz współautor nagrodzonej książki „Bezpieczeństwo współczesnej firmy”. Profil na LinkedIn: 18.5 tys. obserwujących, 4 miliony wyświetleń rocznie. Nagrody: czterokrotny laureat Medalu Europejskiego, Złotej Statuetki Polskiego Lidera Biznesu, tytułu „Międzynarodowej Kancelarii Prawniczej Roku w Polsce w zakresie planowania podatkowego”. Specjalizuje się w strategicznym doradztwie prawnym, planowaniu podatkowym i zarządzaniu kryzysowym dla biznesu.