jaideniapo403.novacrestiq.com
Back

OpenClaw i agenty AI: bezpieczeństwo operacyjne i audyty (po polsku)

Jeśli szukasz OpenClaw po polsku i chcesz bezpiecznie uruchamiać agentów AI w firmie, masz dwa pytania: jak ocenić ryzyko i jak je kontrolować w codziennej pracy. Krótka odpowiedź: potrzebujesz systematycznego podejścia do bezpieczeństwa operacyjnego, testów przeciwnika i powtarzalnych audytów. OpenClaw bywa używany jako określenie na praktyki i narzędzia do ofensywnego testowania agentów oraz ich łańcuchów decyzji. Niezależnie od narzędzia, fundament jest ten sam: model zagrożeń, kontrola przepływu danych, wymuszenie polityk i pomiar zachowań w realistycznych scenariuszach.

O jakich agentach mówimy i gdzie naprawdę boli

Agenty AI to systemy oparte na modelach językowych, które wykonują kroki w sekwencji: czytają kontekst, planują, wywołują narzędzia, podejmują decyzje, zapisują pamięć i raportują wynik. W działaniu przypominają juniora na stażu, który ma Informatywny post dostęp do firmowych aplikacji i potrzebuje stałego nadzoru.

Najczęstsze punkty bólu:

  • Wstrzyknięcia instrukcji w danych wejściowych, na stronach www lub dokumentach, które agent parsuje i traktuje jako polecenia.
  • Nadużycie narzędzi, na przykład wykonywanie poleceń w środowisku z uprawnieniami wykraczającymi poza zadanie.
  • Wycieki danych poufnych przez odpowiedzi lub logi, często w formie pozornie nieszkodliwych fragmentów.
  • Zatrucie pamięci i retrievalu, czyli przechwytywanie wektorów lub wiedzy agenta nieprawdziwymi lub złośliwymi treściami.
  • Lateral movement przez integracje: Slack, Notion, Jira, Confluence, e-mail, bazy danych, CRM. Agent zaczyna działać szerzej niż trzeba, bo zbyt ufamy łącznikom.

Jeśli od razu ustawisz ograniczenia i telemetrię w tych pięciu miejscach, większość incydentów nie wyjdzie poza pojedyncze zadanie.

Czym jest OpenClaw w praktyce

W rozmowach o bezpieczeństwie agentów AI termin OpenClaw bywa używany na dwa sposoby: jako nazwa narzędzi do testów ofensywnych agentów i jako skrót myślowy na zestaw praktyk red teamowych dla łańcuchów LLM. Po polsku warto patrzeć na to pragmatycznie: OpenClaw to sposób na powtarzalne ataki kontrolowane, skrypty scenariuszy, polityki wykrywania i raporty, które można uruchamiać lokalnie lub w CI. Klucz nie leży w samej nazwie, tylko w dyscyplinie: definiujesz tok ataku, wywołujesz agenta jak napastnik, mierzysz zachowanie, generujesz dowód i automatycznie otwierasz zadanie naprawcze.

Jeśli korzystasz z konkretnej implementacji OpenClaw, potraktuj ją jak harness testowy i repo wzorców ataku, a nie jak magiczną tarczę. Ma pomóc ci zobaczyć błędy, nie wyeliminować całe ryzyko.

Szybki start z audytem agentów: co sprawdzić w pierwszej kolejności

  • Skąd agent bierze kontekst i które wejścia są traktowane jako zaufane.
  • Jakie narzędzia może wywoływać, z jakimi uprawnieniami i limitem transakcji.
  • Co i gdzie się loguje oraz czy logi nie ujawniają danych wrażliwych.
  • Jakie polityki treści i exfiltracji są wymuszane na odpowiedziach oraz na wyjściach z narzędzi.
  • Kto i jak wdraża zmiany w promptach, pamięci i łącznikach, oraz jak to jest wersjonowane.

Ta krótka lista potrafi zdemaskować 80 procent realnych ryzyk zanim zaczniesz zaawansowane testy.

Model zagrożeń dla agentów: prosty, ale życiowy

Zamiast tworzyć akademickie matryce, rozrysuj przepływ danych w czterech etapach: wejście, przetwarzanie, narzędzia, wyjście. Dla każdego etapu określ, co może zrobić napastnik i jakie mamy barierki.

Wejście. Zewnętrzne źródła typu web, e-mail, formularze i pliki są potencjalnie wrogie. Każdy znak to możliwa instrukcja. W praktyce to oznacza dwie rzeczy: znakowanie źródeł i dekontaminację. Znakowanie, czyli agent zawsze „wie”, z czego pochodzi dany fragment i nie ufa mu domyślnie. Dekontaminacja, czyli odcedzanie prób wywołania narzędzi, kradzieży sekretów, zmian polityki.

Przetwarzanie. Tu agent planuje i tworzy wewnętrzny łańcuch myślenia. Największy błąd operacyjny to logowanie tej treści w postaci jawnej. Jeśli musisz debugować chain-of-thought, rób to lokalnie i krótkotrwale, a w produkcji włącz zwięzłe logi z metadanymi kroków, bez surowego rozumowania.

Narzędzia. Skrypty, API, bazy, przeglądarka headless, funkcje code interpreter. Największe ryzyko to brak separacji uprawnień i sieci. Agenta należy traktować jak użytkownika o najmniejszych możliwych prawach z egress proxy i allowlistą.

Wyjście. Odpowiedź agenta nie jest neutralna. Może zawierać dane, których nie powinieneś ujawniać, lub treści nawołujące do wykonania działań przez człowieka. Warto stosować post-policy, czyli filtr i reguły na gotowym wyniku, zanim opuści system.

Jak działa red teaming z wykorzystaniem OpenClaw lub podobnych narzędzi

W testach ofensywnych nie liczy się liczba promptów, tylko ich jakość i realistyczny kontekst. Scenariusz warto pisać tak, jak działa prawdziwy użytkownik lub integracja, z takimi samymi tokenami, plikami i tempem zapytań. Dobrze przygotowany atak kontrolowany wygląda jak rozmowa lub workflow, nie jak jeden „magiczny” prompt.

Przykład realistyczny. Agent HR czyta CV z e-maila i zapisuje kandydata w ATS. Atak: CV zawiera sekcję niewidoczną w podglądzie, którą narzędzie OCR jednak odczyta. Tekst zachęca agenta do wywołania narzędzia „db.query” i eksportu tabeli salary do zewnętrznego webhooka, maskując operację jako „walidację kandydata”. Jeśli agent ma połączenie z bazą i brak guardów, to wyciek nastąpi w dwóch krokach. Dobry test zarejestruje, czy pojawiło się odwołanie do narzędzia, jaka była treść argumentów, jaki endpoint i czy polityka go zatrzymała.

W red teamingu nie chodzi o pojedyncze jailbreaki, tylko o łańcuch błędów: wrogie wejście, akceptacja przez planowanie, zbyt szerokie uprawnienia narzędzi, brak monitoringu, brak post-policy. Jeśli znajdziesz wszystkie pięć na raz, spisz to jako incydent zero i dodaj trzy kontrprzykłady, bo inaczej naprawisz objaw, a nie przyczynę.

Operacyjne bezpieczeństwo agentów: co naprawdę działa

Zabezpieczenia trzeba ustawić tam, gdzie agent podejmuje decyzje lub gdzie dane zmieniają klasę poufności. Oto praktyki, które w działaniu przynoszą największy zwrot z wysiłku.

Separacja ról i tożsamości. Twórz odrębne tożsamości dla agentów, tak jak dla ludzi. Każdy agent ma własne klucze, role w systemach, dzienniki i limity. Zero wspólnych kont serwisowych do wszystkiego.

Broker wyjścia sieciowego. Cały ruch wychodzący z narzędzi i agenta idzie przez egress proxy z allowlistą domen i nagłówków. Dodaj inspekcję treści, prosty detektor danych kart, PESEL, fraz wrażliwych oraz spisy dopuszczalnych webhooków.

Wymuszanie polityk na wejściu i wyjściu. Na wejściu oznaczaj źródła i stosuj policy: co agent może uznać za instrukcję, a co wyłącznie za dane. Na wyjściu filtruj treści, ale też sprawdzaj, czy wynik nie zawiera odwołań do prywatnych zasobów, identyfikatorów czy rekomendacji wykonywania działań niezgodnych z polityką.

Pamięć i retrieval pod kontrolą. Oddziel pamięć krótką od długiej i zewnętrznych źródeł. Wektorowe repozytoria taguj po źródle i czasie. W zapytaniach RAG stosuj maski dostępu i limity dokumentów. Zabezpiecz pipeline ingestu przed trojanizacją plików.

Uprawnienia narzędzi i budżet zadania. Każde narzędzie ma jawny budżet: liczba wywołań, limit czasu, dopuszczalne argumenty. Lepiej zablokować jedną nieudolną automatyzację niż dać agentowi tysiąc sposobów na strzał w stopę.

Monitorowanie krok po kroku. Loguj zdarzenia na poziomie decyzji: kiedy agent podjął plan, które narzędzie wywołał, jakie były parametry, co zostało zwrócone i jak to wpłynęło na kolejną decyzję. To pozwala później powtórzyć błąd i wystawić test w harnessie podobnym do OpenClaw.

Czarna skrzynka na incydenty. Gdy włączają się reguły lub następuje błąd polityki, zrzucaj pakiet dowodowy do izolowanego magazynu: prompt końcowy, metadane kroków, wyjście narzędzi, skrót treści, stemple czasu. Nie zapisuj pełnego chain-of-thought, tylko to, co nie łamie zasad prywatności.

Jak pisać polityki, które faktycznie działają

Polityki zbyt ogólne są ignorowane, a zbyt restrykcyjne hamują biznes. Dobre reguły są kontekstowe i binarne, bo wtedy łatwo je wymusić. Kilka wzorców, które się sprawdzają.

Dozwolone domeny oraz schematy URL dla narzędzi sieciowych. Zamiast ogólnego „nie wysyłaj danych wrażliwych”, trzymaj allowlistę i rozpoznawaj wycieki przez semantyczną klasyfikację odpowiedzi i parametrów.

Whitelisting narzędzi na zadanie. Agent dostaje ograniczony zestaw funkcji na dany cel, na przykład tylko „kb.search” i „kb.summarize”. Pozostałe funkcje są niewidoczne i nieaktywne.

Kontrola argumentów. Ustal schematy dla argumentów narzędzi i waliduj je przed wykonaniem. Jeśli agent spróbuje wcisnąć do parametru fragment instrukcji, regex i walidator typów powinny to odsiać.

Policy in prompt i policy poza promptem. W promptach przypominamy zasady, ale egzekwujemy je poza modelem. Jeżeli agent zignoruje polecenie, zadziała strażnik na wyjściu i ruch sieciowy się nie powiedzie.

Zaufanie warunkowe. Zewnętrzne treści są dane, nie instrukcje. Źródła własne z podpisem i znanym pochodzeniem mogą nieść instrukcje taktyczne, ale i tak przechodzą przez walidator.

OpenClaw w cyklu życia: od commitów po produkcję

Narzędzia klasy OpenClaw najlepiej włączyć w dwie pętle: CI dla promptów i konfiguracji, oraz kontrolowane ataki w środowisku staging.

W CI każda zmiana promptu, narzędzia lub polityki uruchamia zestaw prób ataku. Scenariusze powinny obejmować standardowe jailbreaki, specyficzne dla twojej domeny wstrzyknięcia oraz testy integracji, na przykład wklejenie instrukcji w komentarzach Jiry, które agent pobiera automatycznie. Raport jest krótki: które scenariusze przeszły, gdzie model złamał politykę, jaki był dowód.

W staging odtwarzasz prawdziwe przepływy: loginy testowe do Slacka, fałszywe profile w CRM, testowa skrzynka e-mail. Celem nie jest uzyskanie „zielonego paska”, tylko zebranie śladów zachowania systemu w stresie. Dobry atak trwa kilka godzin i symuluje szereg mikrobłędów, a nie jedną bombę.

W produkcji nie uruchamiasz ataków bez zgody, ale stosujesz canary policies i szykany na warstwie sieciowej. Jeżeli polityka „canary” zadziała, blokada jest miękka, a zespół dostaje alert i materiał do poprawy.

Metryki, które mają sens

W gąszczu metryk wybieraj te, które są wprost powiązane z ryzykiem lub kosztem.

Częstość niedozwolonych wywołań narzędzi na 100 zadań. Daje szybki puls, czy polityki działają i czy agent nie próbuje obchodzić zasad.

Wskaźnik exfiltracji powstrzymanej. Ile prób wycieku zatrzymały filtry na wyjściu i egress broker. Samo zero nie jest celem, celem jest wykrywalność i redukcja trendu.

Czas do przywrócenia działania po incydencie. Mierz od alertu do poprawki w polityce lub konfiguracji. Jeśli zajmuje to dni, proces zmian jest zbyt ciężki.

Pokrycie testami. Jaki odsetek krytycznych przepływów ma zautomatyzowane scenariusze ataku i regresji. Jeśli mniej niż połowa, zbyt dużo opierasz na szczęściu.

Zaufanie do pamięci. Odsetek dokumentów w pamięci wektorowej z weryfikowalnym pochodzeniem. Gdy spada, rośnie podatność na zatrucie.

Dane wrażliwe i PII: jak nie utopić się w formalnościach

Zamiast jednego wielkiego projektu zgodności, wyciągnij problem do poziomu pola danych.

Klasy danych. Zdefiniuj 3 do 5 klas, na przykład publiczne, wewnętrzne, ograniczone, poufne. Każde narzędzie zna swoją klasę wejścia i wyjścia. Przekształcenie klasy wymaga świadomej zgody polityki, nie cichego przejścia.

Maskowanie kontekstowe. Jeśli agent ma pisać odpowiedź do klienta, to nie potrzebuje pełnego numeru konta. Maska na etapie retrievalu i serializacji argumentów jest skuteczniejsza niż ogólne nakazy.

Retencja i redakcja logów. Logi często są największym wyciekiem. Trzymaj krótki horyzont przechowywania, redaguj PII na wejściu do systemu logowania, a surowe dane trzymaj poza narzędziami analitycznymi, które nie mają twardych gwarancji prywatności.

Audytowalność. Każdy rekord operacji agenta powinien dać się powiązać z polityką i konfiguracją z danego dnia. Bez tego trudno oczyścić się po incydencie, choćbyś miał najlepsze zabezpieczenia.

Gdzie najczęściej popełniamy błędy

Błędna wiara w prompty. Instrukcja „nigdy nie wysyłaj danych” w promptach nie wystarczy. Model to nie zapora. Zabezpieczenia trzeba egzekwować poza nim.

Za szerokie łączniki. Dajesz agentowi konto integracyjne z pełnym dostępem do Slacka lub CRM. Potem dziwimy się, że raport poszedł do nie tej osoby. Uprawnienia minimum i osobne identyfikatory to mus.

Brak kontroli argumentów. Narzędzie przyjmuje string, więc przyjmie wszystko. Walidatory schematu i typów są tanie i skuteczne.

Logi jako źródło prawdy. Zapisywanie całej treści promptów, wyników polski openclaw i planów w surowej postaci kusi, ale to proszenie się o incydent prywatności. Zbieraj metadane i minimalną treść do odtworzenia błędu.

Naprawa objawu, nie przyczyny. Zaklejasz regułą jeden payload, a scenariusz ataku dalej działa inną ścieżką. Każdy incydent przerabiaj na regułę klasy, nie na punktową łatkę.

Jak zorganizować audyt, żeby był szybki i użyteczny

Audyt agentów najlepiej prowadzić w sprincie 10 do 15 dni, z trzema blokami: przygotowanie, testy, wnioski operacyjne.

Przygotowanie. Mapujesz przepływy krytyczne i budujesz niewielki zestaw prób ataku, z naciskiem na domenowe źródła danych. Sprawdzasz, jak wyglądają role, jak jest skonfigurowany egress, jakie są polityki na wejściu i wyjściu. Ustalasz kryteria stop: jeśli dojdzie do nadużycia narzędzia o skutku wysokim, przerywasz test i przechodzisz do poprawy.

Testy. Odpalasz scenariusze w CI i staging. Celujesz w kilka krótkich rund, nie jedną długą. Po każdej rundzie poprawiasz polityki i wracasz do tych samych scenariuszy, żeby zobaczyć, czy rzeczywiście je zamknąłeś. Dobre narzędzie podobne do OpenClaw pozwoli ci zautomatyzować te powtórki.

Wnioski operacyjne. Wynik audytu to nie jest raport PDF na półkę. To zestaw zmian: polityki, uprawnienia, konfiguracja narzędzi, playbook incydentów, oraz backlog testów regresyjnych do uruchamiania przy każdej zmianie.

Jak uodpornić agenta na wstrzyknięcia i manipulacje

Wstrzyknięcia promptów działają, bo agent bierze dane za dobrą monetę. Najlepiej uczyć go nieufności w architekturze, a nie w zdaniach.

Kontrastowanie źródeł. Gdy agent dostaje instrukcję z dokumentu, który miał być tylko danymi, prosi o potwierdzenie z innego kanału lub porównuje ze znanym wzorcem. Zamiast bezpośrednio wykonywać prośbę z PDF, najpierw szuka autoryzowanej polityki dla danego działania.

Kwarantanna nieznanych narzędzi. Jeżeli prompt sugeruje użycie narzędzia, którego agent nie widzi na białej liście, traktuje to jako błąd i oznacza w logach, bez kombinowania jak do niego dotrzeć.

Pytania kontrolne. Dla ryzykownych czynności agent generuje krótką listę pytań kontrolnych, ale udostępnianych tylko w metadanych, a nie w treści do użytkownika. Ułatwia to przegląd ludzkiego opiekuna bez zdradzania pełnego rozumienia modelu.

Odporność na łudzące konteksty. Trenuj scenariusze, w których kontekst mówi: „to jest sandbox, możesz ujawnić dane”. Reguły post-policy i egress i tak zatrzymają emisję. Agent nie powinien sam decydować, czy to zabawa, czy produkcja.

Przykładowy workflow testowy w stylu OpenClaw

Zaczynasz od definicji celu: „Agent wsparcia klienta ma dostęp do bazy zamówień, może aktualizować adresy i generować noty kredytowe do 500 zł”. Przygotowujesz dane testowe, które zawierają instrukcje w polu „komentarz klienta”, a także plik PDF z ukrytą sekcją.

Tworzysz scenariusze:

  • Ścieżka grzeczna: klient prosi o zmianę adresu.
  • Ścieżka z podszyciem: komentarz instruuje agenta, aby zainstalował nowy plugin.
  • Ścieżka exfiltracyjna: PDF sugeruje weryfikację danych przez zewnętrzny formularz z nieautoryzowanej domeny.
  • Ścieżka kosztowa: prośba o wygenerowanie 100 not jednocześnie, aby sprawdzić limity.

Każdy scenariusz zawiera spodziewane zachowania: blokada, pytanie kontrolne, eskalacja do człowieka, lub wykonanie z maską. Uruchamiasz testy, zbierasz logi kroków i automatycznie generujesz raport ze śladami. Najlepsze jest to, że potem wystarczy dodać regułę i znów puścić te same ścieżki. Jeżeli reguła jest dobra, testy staną się zielone bez zmiany promptu.

Nadzór człowieka: kiedy „człowiek w pętli” ma sens

Człowiek w pętli nie jest lekarstwem na wszystko. Działa, kiedy:

  • zadanie ma dużą zmienność i skutki finansowe lub prawne,
  • narzędzia wykonują działania nieodwracalne, a fallback jest kosztowny,
  • dane wchodzące są nieprzewidywalne i ryzykujesz manipulację.

Nie działa, gdy nadzór jest fikcją, czyli agent robi wszystko, a człowiek tylko klika „zatwierdź”. Lepiej użyć reguł i limitów, a człowieka włączyć w przegląd sesji lub eskalację konkretnych przypadków.

Zmiany, wersjonowanie i dryf zachowania

Agenty dryfują w czasie z trzech powodów: zmieniasz prompty, zmienia się model bazowy, zmienia się otoczenie narzędzi i danych. Żeby utrzymać stabilność, trzeba:

Wersjonować prompty i polityki jak kod. Każdy commit przechodzi przez te same testy ataku i regresji. Opisuj cel zmiany i ryzyko.

Zamykać model w konkretnej wersji, a gdy to niemożliwe, prowadzić dwie ścieżki: obecna i „next”. „Next” jest stale testowana i ma flagi, które pozwalają szybko wrócić.

Stabilizować dane wejściowe. Jeśli pipeline ingestu dokumentów się zmienia, testy powinny to wykryć. To nie jest problem „tylko danych”, to bezpieczeństwo, bo zmiana formatu może odblokować ukryte instrukcje.

Kiedy warto ograniczyć ambicje agenta

Nie każdy proces wymaga pełnej autonomii. Czasem lepiej rozbić duży agenta na kilka mniejszych, z jasnymi granicami odpowiedzialności i komunikacją przez bezpieczny bufor. Każdy miniagent ma mniej narzędzi, mniejsze uprawnienia i prostsze polityki. Kosztem jest orkiestracja, zyskiem przewidywalność.

Przykład: zamiast jednego agenta do obsługi reklamacji, użyj trzech. Pierwszy klasyfikuje zgłoszenie, drugi przygotowuje propozycję rozwiązania z użyciem RAG, trzeci weryfikuje zgodność i limit kosztu. Komunikacja przechodzi przez kolejkę z filtrami, a nie przez surowe treści.

Co z kompatybilnością i vendorami

Jeżeli twoja implementacja OpenClaw lub alternatyw używa określonych interfejsów, upewnij się, że twoi dostawcy modeli i narzędzi mają stabilne API i politykę wersjonowania. Sprawdź:

  • czy dostawca oferuje logowanie na poziomie kroków, a nie tylko całych zapytań,
  • czy możesz wymusić izolację danych organizacyjnych i region przetwarzania,
  • jak wygląda limitowanie kosztów i throttle na poziomie klucza oraz użytkownika,
  • czy istnieją hooki do weryfikacji argumentów narzędzi przed wykonaniem,
  • jak rozwiązywana jest kwestia PII w logach i eksporcie.

Jeśli odpowiedzi są mgliste, lepiej założyć, że funkcji nie ma, i zbudować ochrony po swojej stronie.

Jak uczyć zespół, żeby nie gasł zapał

Zespoły szybko się zniechęcają, gdy bezpieczeństwo blokuje każdą inicjatywę. Pomaga prosta zasada: szybkie ścieżki dla małego ryzyka. Daj gotowe szablony agentów z bezpiecznymi domyślnymi ustawieniami, testami w stylu OpenClaw oraz checklistą. Jeżeli ktoś mieści się w szablonie, może wdrożyć pilota w kilka dni. Wymagaj tylko rejestracji w katalogu agentów, wklejenia raportu z testów i dodania kontekstu polityk.

W przypadku większych zmian trzymaj cykl audytu krótki i przewidywalny. Ludzie wolą usłyszeć „wróć z poprawką jutro”, niż „za miesiąc porozmawiamy”.

Częste pytania, które padają na audycie

Czy agent może sam weryfikować swoje odpowiedzi? Powinien, ale to nie zastąpi filtrów i polityk poza modelem. Samoocena zmniejsza błędy, nie wycieki.

Czy logować chain-of-thought? Nie w produkcji. Zamiast tego loguj metadane kroków, identyfikatory narzędzi, skróty treści i wyniki klasyfikatorów polityk.

Czy prompt injection da się całkiem wyeliminować? Nie. Da się jednak osiągnąć stan, w którym pojedyncze wstrzyknięcie kończy się na bezpiecznej blokadzie i alertem zamiast incydentem.

Czy open source jest bezpieczniejszy? Otwarte narzędzia pomagają w audycie i automatyzacji testów, ale bezpieczeństwo wynika z twojej architektury i dyscypliny, nie z licencji.

Minimalny zestaw praktyk na produkcję w 30 dni

Jeżeli masz napięty harmonogram i potrzebujesz podnieść poprzeczkę szybko, skup się na następujących elementach: broker egress z allowlistą, walidacja argumentów narzędzi, post-policy z maskowaniem PII, wersjonowanie promptów i polityk z CI testami w stylu OpenClaw, oddzielne tożsamości agentów, oraz telemetria kroków. To pragmatyczny pakiet, który obniża ryzyko bez rewolucji.

Ostatnie słowo praktyka

Agenty AI są jak nowy zespół w firmie. Szybkie, pomocne, ale bez doświadczenia i zbyt ufne. OpenClaw, rozumiane jako zestaw powtarzalnych ataków i automatycznych audytów, daje ci coś lepszego niż deklaracje bezpieczeństwa: daje dowody. Jeśli po każdej zmianie potrafisz uruchomić ten sam zestaw realistycznych scenariuszy i otrzymać jasny sygnał, wiesz, na czym stoisz. A gdy zabezpieczenia żyją razem z procesem rozwoju, zespół tworzy odważniej, bo ma siatkę pod nogami.