Od akademického experimentu k prvnímu viru
Za první počítačový virus je dnes nejčastěji považován Creeper, který vznikl na začátku 70. let v prostředí ARPANETu. Nešlo o virus v dnešním smyslu s destruktivním cílem, ale o experimentální program, který se měl přesouvat mezi počítači a ověřit, zda je možné vytvořit samostatně se šířící kód. Autorem byl Bob Thomas z firmy BBN Technologies a původní záměr byl čistě technický: testovat mobilitu programu v síťovém prostředí.
Creeper se objevil na strojích DEC PDP-10 s operačním systémem TENEX a po přihlášení na vzdálený počítač zobrazil hlášení: “I’m the creeper, catch me if you can!”. Důležité je, že nešlo o škodlivý payload v dnešním pojetí. Program se jednoduše přesunoval dál, aby ukázal, že síťové prostředí dokáže přenášet nejen data, ale i aktivní kód. V tom je jeho historický význam: položil základ pro myšlenku, že software může být zároveň objektem i nosičem své vlastní kopie.
Proč byl experiment považován za nevinný
V době vzniku Creepera neexistovala dnešní zkušenost s malwarem, antivirovou ochranou ani bezpečnostními politikami. ARPANET byl uzavřená akademicko-výzkumná síť s omezeným počtem uzlů a uživatelů. To znamená, že se na podobné testy nahlíželo spíš jako na demonstraci technologických možností než jako na bezpečnostní incident.
Navíc tehdejší výpočetní prostředí bylo výrazně méně propojené než dnes. Uživatelé pracovali na velkých mainframech a minipočítačích, síťová konektivita byla vzácná a vnitřní důvěra mezi systémy byla vysoká. Pokud dnes bezpečnostní tým testuje šíření kódu, dělá to v izolované laboratoři, v sandboxu nebo v emulovaném prostředí. Tehdy podobné hranice prakticky neexistovaly. I proto se experiment mohl snadno vymknout kontrole, aniž by si to jeho autor okamžitě uvědomil.
Z dnešního pohledu je zásadní rozdíl mezi úmyslem a dopadem. Experiment mohl být nevinný, ale technicky už obsahoval vlastnost, která je pro malware typická: samoreplikaci bez explicitního souhlasu správce cílového systému. To je přesně bod, kde se akademická kuriozita začíná měnit v bezpečnostní riziko.
Jak se z Creepera stal model pro moderní malware
Aby byl příběh kompletní, je potřeba zmínit i první reakci na Creepera. Vznikl totiž další program s názvem Reaper, jehož úkolem bylo Creepera vyhledávat a odstraňovat. To je historicky velmi důležité: první „virus“ vyvolal první „antivirus“. Už tehdy se ukázal základní bezpečnostní vzorec, který platí dodnes – kde se objeví samoreplikující se kód, vzniká potřeba detekce, izolace a odstranění.
O několik let později se pojem virus začal používat pro škodlivý kód v širším smyslu, a to hlavně díky experimentům jako Brain z roku 1986, který se už šířil přes disketu a infikoval boot sektor. Brain je často označován za první virus pro IBM PC kompatibilní počítače. Na rozdíl od Creepera už měl jasně viditelný dopad v reálném provozu a ukázal, že osobní počítače jsou zranitelné mnohem snadněji než uzavřené univerzitní systémy.
Pro lepší orientaci v historii malware je užitečné rozlišovat tři pojmy:
- červ – šíří se sítí sám, bez potřeby hostitelského souboru,
- virus – obvykle se připojuje k jinému souboru nebo spustitelnému kódu,
- trojský kůň – tváří se legitimně, ale skrývá škodlivou funkci.
Creeper byl historicky nejblíž červu, protože se přenášel mezi systémy. Přesto se v populární literatuře často označuje jako první virus, protože odstartoval celý vývoj samoreplikujícího se škodlivého kódu.
Co z toho plyne pro dnešní weby, aplikace a firmy
Příběh Creepera není jen historická zajímavost. Je to velmi praktická lekce pro každého, kdo dnes provozuje web, aplikaci nebo firemní infrastrukturu. Jakmile systém dovolí automatické spouštění kódu, instalaci pluginů, integraci API nebo upload souborů od uživatelů, vzniká prostor pro zneužití podobné logice: kód se šíří, replikuje nebo zneužívá důvěru systému.
Pokud spravujete web, zaměřte se na tyto oblasti:
- Omezte práva – účet aplikace by měl mít jen minimum oprávnění.
- Izolujte prostředí – staging, produkce a testování musí být oddělené.
- Kontrolujte vstupy – validace formulářů, uploadů a API dat je nutnost.
- Aktualizujte software – CMS, pluginy, knihovny i serverové balíčky.
- Logujte a monitorujte – bez logů nepoznáte, odkud se problém šíří.
Pro WordPress je klíčové hlídat zejména pluginy a šablony. Právě ty bývají nejčastějším vstupním bodem útoku. V praxi se vyplatí používat nástroje jako Wordfence, iThemes Security nebo serverové WAF řešení typu Cloudflare. Na úrovni vývoje se hodí pravidelné skeny závislostí přes npm audit, Composer audit a monitoring zranitelností v Snyk nebo Dependabot.
Bezpečnostní poučení: experiment bez hranic se může změnit v problém
Největší chybou podobných experimentů není samotná technologie, ale absence kontrolních mechanismů. Když Bob Thomas vytvářel Creepera, řešil technickou možnost, ne dopad na produkční prostředí. Dnes je ale standardem, že i interní testování musí mít jasně definované limity: časové omezení, izolaci sítě, rollback plán a monitoring chování.
To platí i pro moderní AI a automatizaci. Pokud dnes nasazujete generativní AI do obsahu, zákaznické podpory nebo interních procesů, musíte počítat s tím, že model může generovat nečekané výstupy, opakovat chyby nebo přenášet chybná data dál. Stejně jako Creeper ukázal síťovou samoreplikaci, dnešní AI nástroje ukazují, jak rychle se může chyba škálovat, pokud není ošetřená kontrola kvality.
Praktický bezpečnostní checklist pro firmy by měl obsahovat:
- segmentaci sítě a oddělení kritických systémů,
- pravidelné zálohy s testem obnovy, ne jen s uložením dat,
- dvoufaktorové ověření pro administraci,
- bezpečnostní audit alespoň jednou za čtvrtletí,
- incident response plán s konkrétními rolemi a postupy.
Historie prvního viru tak připomíná jednu zásadní věc: technologie sama o sobě není ani dobrá, ani špatná. Rozhoduje způsob použití, prostředí a kontrola. A právě proto je Creeper dodnes důležitý nejen pro historiky výpočetní techniky, ale i pro správce webů, vývojáře a marketéry, kteří pracují s digitálními systémy, kde se každý proces může při špatném nastavení šířit rychleji, než stihnete zareagovat.