Një ekspert i huaj në sigurinë kibernetike ka analizuar në platformën Substack platformën “Diella”, duke e cilësuar atë si një “tallje publike” pa asnjë element të Inteligjencës Artificiale. Sipas tij, ai ka depërtuar në serverin e Parlamentit të Shqipërisë më 15 prill 2026 dhe ka shkarkuar të dhëna të ndjeshme si pagat dhe privilegjet e deputetëve. Ky ekspert pretendon se ‘boti’ i ministres Diella është thjesht një avatar bosh, pa funksione reale të mësimit të makinerive. Këto zbulime nxjerrin në pah dobësi serioze në mbrojtjen kibernetike të institucioneve shqiptare.
I njëjti ekspert ka theksuar se serverët e qeverisë shqiptare janë lehtësisht të depërtueshëm dhe se të dhënat e qytetarëve janë të ekspozuara ndaj rreziqeve. Ai argumenton se mungesa e standardeve bazë të sigurisë bën të mundur që çdo haker i mesëm të aksesojë informacione të klasifikuara. Ky ekspert e ka krahasuar situatën me një “derë të hapur” për abuzime të shumta. Në përfundim të analizës së tij, ai sugjeron një rishikim të plotë të politikave të sigurisë kibernetike në vend.
Gent Progni, ekspert tjetër i teknologjisë së informacionit, ka denoncuar në një emision një skemë presioni ndaj mediave dhe bizneseve të lidhura me fondet e AKSHI-t. Progni ka deklaruar se pasi u angazhua për të mbrojtur serverët e një portali informativ nga sekuestrimi, disa klientë të tij e braktisën menjëherë. Ai pretendon se ka kontrata dhe dokumente që dëshmojnë përdorimin e fondeve publike për të ndikuar në përmbajtjet mediatike. Këto materiale, sipas tij, janë dorëzuar pranë SPAK-ut, por pa marrë ende një përgjigje konkrete.
Në denoncime të tjera, Progni ka akuzuar ish-drejtuesen e AKSHI-t, Mirlinda Karçanaj, se ka detyruar punonjësit të japin certifikata nga Kadastra në mënyrë të paligjshme, duke krijuar një korrupsion sistematik. Ai pohon se sistemet informatike të financuara me rreth 450 milionë euro janë praktikisht të papërdorshëm dhe se të dhënat e qytetarëve mbeten të pambrojtura. Progni ka depozituar një kallëzim në SPAK, por ai i është kaluar Prokurorisë së Tiranës, ku ai dyshon për lidhje të prokurorit me personat e përfshirë. Përveç kësaj, ai ka raportuar se është kërcënuar me email dhe se i janë vendosur përgjues në makinë.
Përfundimisht, analiza e ekspertit të huaj dhe denoncimet e Gent Prognit nxjerrin në pah probleme të strukturuara në menaxhimin e të dhënave dhe në transparencën e institucioneve shqiptare. Ndërsa eksperti i parë fokusohet në dobësitë kibernetike të Parlamentit dhe qeverisë, Progni sjell akuza konkrete për korrupsion dhe presion brenda AKSHI-t dhe Kadastrës. Mungesa e reagimeve të SPAK-ut dhe e prokurorisë pa nxjerrë para ligjit përgjegjësit, i lë këto akuza në një gjendje pezulli, duke u zvarritur si çështje.
Investigimi i plotë
Në shtator 2025, kryeministri shqiptar Edi Rama bëri bujë ndërkombëtare duke emëruar sistemin e parë të Inteligjencës Artificiale në botë në nivel ministri kabineti. Quhej Diella: një avatar i veshur me kostum tradicional shqiptar, i ndërtuar mbi Microsoft Azure dhe OpenAI, i shpallur zyrtarisht si “Ministre Shteti për Inteligjencën Artificiale”.
Misioni i saj i deklaruar: zhdukja e korrupsionit në prokurimet publike. “Tenderat publikë do të jenë 100 për qind pa korrupsion”, deklaroi Rama. Agjenci të OKB-së e përshëndetën nismën. TIME i kushtoi një reportazh. Bashkimi Europian e përmendi si provë të modernizimit të Shqipërisë në rrugën drejt anëtarësimit deri në vitin 2030.
Tre muaj më vonë, në dhjetor 2025, Drejtoresha e Përgjithshme e AKSHI-t, institucioni që ndërtoi Diellën, u arrestua për korrupsion. Akuza: manipulim i po atyre tenderave qeveritarë që Diella supozohej të monitoronte.
Hetimi im nisi me Diellën. Përfundoi te Parlamenti shqiptar. Dhe kur u riktheva dy muaj më vonë, me mjete më të mira dhe më shumë durim, përfundoi diku shumë më keq.
Faza 1: Shkurt 2026
Në fazën e parë, në shkurt 2026, objekti ishte i kufizuar: të ekzaminohej vitrina (frontend-i) i Diellës, të shihja për API kyçe të pasiguruara apo URL serverash, dhe të kuptohej nëse kjo “ministre AI” ishte teknologji reale apo teatër politik.
Vitrina e Diellës ishte e pastër. Një java skript (bundle Vue.js) prej 229 KB me kornizën (frameëork) Quasar. Asnjë lokacion digjital (endpoint) API. Asnjë URL serveri (backend) e mbikoduar. Variablat e ambientit kufizoheshin në stilizime CSS: madhësi fontesh, ngjyra, vlera padding-u (hapësira mes përmbajtjes së elementit dhe kufirit të saj). Infrastruktura e brendshme e AKSHI-t ishte fshehur pas DNS-ve pa rezolucion publik: një motor Hasura GraphQL, një server autentifikimi Keycloak dhe API REST të personalizuara.
Më pas e zgjerova kërkimin në subdomain-et e tjera të AKSHI-t. Log-et e transparencës së certifikatave nxorën 110 subdomain-e: Jira, Rancher, ëiki të brendshme, VS Code Server, Collabora Online. Të gjitha të mbyllura (internal-only). Asnjë përgjigje publike.
Skanova 17 domene qeveritare shqiptare. Rezultatet ishin konsistente: Incapsula ËAF, përgjigje 403 Forbidden, ËordPress API të mbyllura ose mos-përgjigje totale. Në sipërfaqe, infrastruktura qeveritare shqiptare dukej e fortifikuar mirë.
Pastaj kontrollova Parlamentin.
Parlamenti shqiptar, te parlament.al, përdor një aplikacion React SPA. Çdo kalim (path) kthen HTTP 200 me të njëjtin index.html, një router “catch-all” klasik që fillimisht dukej si rrugë pa dalje. Por një SPA React duhet të komunikojë me një backend. Dhe kodi që bën këto thirrje jeton brenda bundle-it JavaScript.
Shkarkova ngarkesën (chunk) kryesore, 355 KB ëebpack output i minifikuar, dhe bëra string extraction (analizë e pjeshme të dhënash të koduara). E fshehur mes assignment-eve të variablave ishte një API base URL e mbikoduar që të çonte drejt një backend-i OData të strehuar (hosted) në Azure, së bashku me shtatë entitete: anëtaret, strukturat, aktet, lajmet, mbledhjet, dokumentet dhe abonimet.
Gjashtë nga shtatë endpoint-et iu përgjigjën kërkesave GET (requests) pa autentikim. Asnjë çelës API. Asnjë certifikatë sigurie (bearer token). Asnjë magazinë të dhënash (session cookie). Asnjë kufizim trafiku (rate limiting).
I shtati, abonimet, hapej me kod 401 (Unauthorized). Dikush qartazi e dinte si vendosej autentikimi. Thjesht nuk e kishte aplikuar te pjesa tjetër.
Çfarë zbuloi API-ja
Pika fundore e anetaret ktheu 236 të dhëna, një për çdo Anëtar të Parlamentit të Shqipërisë. Çdo të dhënë përmbante emrin e plotë ligjor (emri, emri i babait, mbiemri), datën e lindjes, vendin e lindjes, adresën zyrtare të email-it, përkatësinë në parti politike, zonën zgjedhore, URL-në e fotos së profilit dhe lidhjet e mediave sociale.
Pika fundore e dokumentit ishte 30 megabajt JSON që katalogonte çdo dokument të ngarkuar në Azure Blob Storage të Parlamentit. Çdo regjistrim përfshinte një URL shkarkimi të drejtpërdrejtë. Unë i nxora ato URL. Kishte 54,545 të tilla.
Lista e kontejnerëve u çaktivizua në hapësirën ruajtëse blob, duke krijuar një ndjenjë të rreme sigurie. Por çdo URL individuale e skedarit funksionoi pa autentifikim dhe çdo URL u publikua në përgjigjen e API-t. Çaktivizimi i listës së direktorisë gjatë publikimit të 54,545 lidhjeve të drejtpërdrejta nuk është një kontroll sigurie.
Ndarja e dokumenteve përfshinte 32,627 PDF, gati 20,000 imazhe, 885 dokumente ëord dhe 509 spreadsheet-e Excel. Spreadsheet-et ishin më zbulueset: fletët mujore të pagave për çdo deputet, ndarjet e përfitimeve dhe përfitimeve, një regjistër i lobistëve, një regjistër i organizatave të shoqërisë civile, regjistrat e kërkesave dhe përgjigjeve të FOIA-s që shtrihen në katër vjet dhe tabelat e buxhetit qeveritar.
Dokumentova gjithçka, botova një shkrim dhe vazhdova përpara. Pastaj, dy muaj më vonë, u ktheva.
Faza 2: Tërheqja e Plotë (Prill 2026)
Më 15 prill 2026, ritestova çdo pikë fundore. Asnjëra nuk ishte siguruar. API ishte ende plotësisht e hapur, ende mirëmbahej në mënyrë aktive, ende duke u furnizuar me të dhëna të reja. Takimet u regjistruan gjatë asaj dite. Artikujt e lajmeve gjatë ditës së mëparshme. Katalogu i dokumenteve ishte rritur nga 54,545 në 57,287 regjistrime në shtatë javë.
Këtë herë i tërhoqa të gjitha.
Ekzekutova një shkarkues paralel me 32 fije kundër Azure Blob Storage në dy kalime: ekzekutimin e parë, pastaj një kalim ripërpjekjeje për 18,000 URL që urllib i Python i kishte refuzuar sepse punonjësit e qeverisë shqiptare kishin ngarkuar skedarë me hapësira literale në emrat e skedarëve. Rimëkëmbja e plotë zgjati 45 minuta.
52,942 skedarë. 32 gigabajt. Shkalla e rikuperimit prej 94.7% në katalog. Pjesa e mbetur prej 5.3% u fshi vërtet nga Azure, blob-et nuk ekzistonin më në ato URL. Pjesa tjetër ishte e gjitha aktive, e gjitha publike, e gjitha e shkarkueshme pa asnjë kokë vërtetimi.
Tetëmbëdhjetë gigabajt me PDF. Nëntë gigabajt me fotografi. Tabela të pagave që datojnë që nga gushti 2018. Transkripte parlamentare. Projektligje legjislative. Raporte të komisioneve. Tabelat e shpenzimeve buxhetore. Marrëveshje ndërkombëtare. Dokumentacioni i plotë i Parlamentit të Shqipërisë nga viti 2013 deri në prill 2026.
Të dhëna për pagat e shtatë viteve
Përmbledhja e fletëllogaritjeve përfshinte 116 skedarë pagash që përfshinin periudhën gusht 2018 deri në janar 2026. Shkrova një analizues që trajtonte paraqitjet e ndryshme të kolonave përgjatë viteve (skedarët para vitit 2022 përdornin raste të ndryshme gramatikore të shqipes për titujt e kolonave) dhe nxora gjithçka në një grup të vetëm të dhënash të unifikuar.
11,030 të dhëna page. 398 deputetë unikë. 2018 deri në 2026.
Të dhënat zbulojnë një strukturë page me katër nivele. Kryetari i Parlamentit, Niko Peleshi, fiton 393,125 lekë bruto në muaj (afërsisht 3,900 dollarë amerikanë). Kryetarët e grupeve parlamentare fitojnë 356,788 lekë. Kryetarët e komisioneve dhe nënkryetarët fitojnë 325,000 deri në 329,000 lekë. Deputetët e thjeshtë fitojnë 310,250 lekë. Diferenca nga lart poshtë është vetëm 27%, çuditërisht e sheshtë për një legjislaturë kombëtare.
Por rubrika më interesante janë penalitetet. Ligji shqiptar (Vendimi 114/2014) i zvogëlon pagat e deputetëve për mungesë në seanca dhe mbledhje komisionesh. Disa anëtarë tregojnë boshllëqe të mëdha midis pagës bruto dhe asaj neto: Lideri i opozitës, Gazment Bardhi, fitoi 356,788 paga bruto, por vetëm 210,104 paga neto në janar 2026, një zbritje prej 41%. Kjo është ose mungesa kronike në punë ose mbajtje të konsiderueshme shtesë.
Çdo MP. Çdo muaj. Për shtatë vjet e gjysmë. Të gjitha nga hapësira ruajtëse publike blob, të kataloguara në një API të paautorizuar.
Arkivi i Transkripteve Askush nuk e Përmendi
Ndërsa po kërkoja në paketën JavaScript të Parlamentit për pika të tjera fundore, gjeta referenca për tre nën-domene që nuk i kisha parë më parë. Njëri prej tyre, bisedimet.parlament.al, ishte aktiv.
Ishte një platformë krejtësisht e veçantë: një “Document Archive API” që ekzekutonte Node.js në një server në shtegun /root/Kuvendi-Backend/. Pika fundore shëndetësore konfirmoi se po funksiononte në prodhim, duke përdorur MeiliSearch për kërkim me tekst të plotë, me një bazë të dhënash Prisma, shfrytëzim të memories prej 92% dhe 2.4 ditë kohëzgjatje funksionimi në kohën e zbulimit.
API kishte 20 transkripte parlamentare të përpunuara me OCR nga viti 2022 deri në vitin 2024, duke mbuluar seanca plenare me 261 folës të emëruar unikë. Çdo dokument ishte i shkarkueshëm pa autentifikim. Kërkimi i tekstit të plotë funksionoi pa autentifikim. Pika fundore e shëndetit zbuloi shtigjet e serverit, përdorimin e memories dhe të dhënat e kohës së funksionimit.
Skema përfshinte fusha për kërkimin vektorial me anë të inteligjencës artificiale dhe ngulitje dokumentesh, blloqet ndërtuese për kërkimin semantik mbi procedurat parlamentare. Por çdo dokument i vetëm e kishte statusin e ngulitur të vendosur në PENDING. Funksioni i kërkimit vektorial ishte planifikuar. Ai nuk u përfundua kurrë.
Kjo është gjëja më e afërt me “83 fëmijët e inteligjencës artificiale” që ekziston në të vërtetë: një motor kërkimi me mbi 20 PDF, që funksionon si root në një server që pothuajse nuk ka më kujtesë, me veçoritë e inteligjencës artificiale gjysmë të ndërtuara dhe të braktisura. Ky është realiteti pas konferencave për shtyp.
Diella nuk ka backend
Ky ishte zbulimi që nuk e prisja. Pasi dokumentova gjithçka që Parlamenti kishte publikuar, u ktheva te pyetja fillestare: a është Diella një sistem i vërtetë i inteligjencës artificiale, apo është një teatër?
Frontendi i Diella në proud-coast-026495803.4.azurestaticapps.netështë një aplikacion me një faqe të vetme Vue.js. E shkarkova përsëri paketën prej 229 KB dhe nxora çdo URL, çdo literal string, çdo referencë konfigurimi. Rezultati: zero pika fundore API. Zero URL backend. Zero referenca për OpenAI, Shërbimet Kognitive Azure ose ndonjë shërbim AI/ML. Paketa nuk përmban asgjë tjetër përveç kornizës së ndërfaqes së përdoruesit Quasar dhe kodit të kohës së ekzekutimit Vue.js. Është një guaskë boshe.
Testova aibot-api.azureëebsites.net, emrin e hostit më logjik për një backend të Diella. Ai ktheu faqen e parazgjedhur të mirëseardhjes së Shërbimit të Aplikacioneve Azure: “Aplikacioni juaj ëeb po funksionon dhe pret përmbajtjen tuaj.” Një aplikacion .NET që ose nuk u vendos kurrë ose u fshi nga të dhënat.
Unë testova diella-api, aibot, chatbot, dhe assistantpërgjatë .azureëebsites.net, .azure-api.net, dhe .azurefd.net. Të gjitha kthyen faqe 404 ose faqe të paracaktuara.
Shtresa e autentifikimit të Azure Static ëeb App është konfiguruar. .auth/mekthen {“clientPrincipal”: null}. .auth/login/aadridrejton në Azure Active Directory. .auth/login/githubkthen një 302. Muri i autentifikimit është konfiguruar. Por nuk ka asgjë pas tij.
Diella është një frontend pa backend. Një avatar pa tru. Ministri i parë i kabinetit me inteligjencë artificiale në botë është një komponent Vue.js që renderon një kostum dhe një emër.
Konteksti
Këto gjetje nuk ekzistojnë të izoluara. Shqipëria ka një histori të dokumentuar të ekspozimit katastrofik të të dhënave që e bën një API të hapur të Parlamentit diçka më të keqe se neglizhenca. Është një model.
Në prill të vitit 2021, një bazë të dhënash që përmbante të dhëna për 910,000 qytetarë shqiptarë u publikua në internet. Emra, numra identifikimi, numra telefoni, informacion mbi punëdhënësit, të dhëna tatimore dhe përkatësi të parashikuara politike. Afërsisht një e treta e të gjithë popullsisë. Të dhënat dyshohet se u përpiluan për synime zgjedhore nga Partia Socialiste në pushtet ( Balkan Insight ).
Në dhjetor 2021, të dhënat e pagave për 637,138 qytetarë shqiptarë, 22 përqind e vendit, u publikuan nëpërmjet ëhatsApp si skedar Excel. Emrat, numrat e kartave të identitetit, pagat, pozicionet e punës, punëdhënësit. Kryeministri Rama kërkoi falje dhe tha se “duket më shumë si një infiltrim i brendshëm sesa një sulm kibernetik i jashtëm”.
Në vitin 2022, hakerat e sponsorizuar nga shteti iranian që vepronin si “HomeLand Justice” hynë në duart e vetë AKSHI-t, agjencisë që më vonë do të ndërtonte Diella-n. Ata pretenduan se u ekfiltruan 100 terabajt dhe u fshinë 2 petabajt. Të dhënat e rrjedhura përfshinin mbi 100,000 të dhëna të të dyshuarve të policisë, korrespondencë ministrore, të dhëna të punonjësve të agjencisë së inteligjencës dhe të dhëna të identifikimit të qytetarëve. CISA dhe FBI lëshuan një njoftim të përbashkët (AA22-264A). Shqipëria ndërpreu marrëdhëniet diplomatike me Iranin, vendi i parë i NATO-s që i preu lidhjet për shkak të një sulmi kibernetik ( MITRE ATT&CK ; CISA ).
Në dhjetor 2025, Drejtoresha e Përgjithshme e AKSHI-t, Mirlinda Karcanaj, dhe zëvendësja e saj u vunë në arrest shtëpiak. Akuzat: pjesëmarrje në grup të strukturuar kriminal në 12 procedura prokurimi. Rrjeti Ballkanik i Gazetarisë Investigative arriti në përfundimin: “Kapja e AKSHI-t nga interesa kriminale rrezikon sigurinë kombëtare.”
Ia vlen të lexohet ngadalë kronologjia. Irani shkel AKSHI-n. AKSHI ndërton një inteligjencë artificiale për të luftuar korrupsionin. Udhëheqja e AKSHI-t arrestohet për korrupsion. Parlamenti që supozohet të monitorojë inteligjenca artificiale e ka pasur të hapur të gjithë API-në e tij për katër vjet. Dhe vetë inteligjenca artificiale nuk ka asnjë backend.
Çfarë kërkon në të vërtetë qeverisja e inteligjencës artificiale
Shqipëria emëroi ministrin e parë të inteligjencës artificiale në botë në një qeveri që ende nuk e kishte zotëruar autentifikimin HTTP.
Para se të njoftoni 83 asistentë të inteligjencës artificiale për të monitoruar Parlamentin, ju nevojitet një Parlament që mund të vendosë një çelës API në një pikë fundore. Para se të pretendoni se inteligjenca juaj artificiale do t’i bëjë tenderët publikë “100 për qind të lirë nga korrupsioni”, ju nevojitet një agjenci IT, udhëheqja e së cilës nuk është nën arrest për manipulim tenderësh. Para se të ftoni shtypin ndërkombëtar për të festuar përparimin tuaj në qeverisjen e inteligjencës artificiale, duhet të kontrolloni nëse i gjithë arkivi i dokumenteve të parlamentit tuaj, të dhënat e pagave dhe të dhënat personale të deputetëve ndodhen në një ruajtje publike të të dhënave.
Shqipëria i anashkaloi të gjitha këto hapa. Ata kaluan direkt nga “agjencia jonë e IT-së u sulmua nga hakerat shtetërorë iranianë” dhe “një e treta e të dhënave të qytetarëve tanë u rrjedh” te “ministri i parë i kabinetit të inteligjencës artificiale në botë”. Komuniteti ndërkombëtar duartrokiti. Askush nuk e auditoi infrastrukturën.
Kjo është ajo që ndodh kur qeveritë e trajtojnë inteligjencën artificiale si një njoftim për shtyp në vend të një vendosjeje teknike. Frontend-i i Diella-s ishte i pastër, do t’ua jap meritat zhvilluesve të AKSHI-t për këtë. Por institucioni që Diella ishte projektuar të shikonte kishte të gjithë backend-in e tij të ekspozuar. Dhe vetë Diella nuk kishte fare backend.
Nuk mund të automatizosh mbikëqyrjen e një sistemi që nuk e ke siguruar. Nuk mund të vendosësh qeverisjen e IA-së mbi një infrastrukturë të prishur. Dhe absolutisht nuk mund të njoftosh 83 monitorë parlamentarë të IA-së kur maksimumi që ke ndërtuar në të vërtetë është një motor kërkimi mbi 20 PDF që funksionon si root në një server me 92% memorie, me veçoritë e IA-së që shfaqen PENDINGnë të gjithë panelin.
Shqipëria nuk ndërtoi të ardhmen e qeverisjes së inteligjencës artificiale. Ajo ndërtoi një demonstrim të asaj që ndodh kur anashkalon punën e mërzitshme dhe kalon direkt te titulli.
Metodologjia
Të gjitha të dhënat u rikuperuan nga pikat fundore të API-t të aksesueshme publikisht dhe të paautorizuara dhe URL-të e Azure Blob Storage. Nuk u anashkalua asnjë autentifikim. Nuk u përdorën kredenciale. Nuk u anashkaluan kontrolle qasjeje. Nuk u krye asnjë shfrytëzim. API-ja e Parlamentit i përgjigjet kërkesave standarde HTTP GET. URL-të e ruajtjes së blob-eve i kthejnë dokumentet në çdo shfletues.
Faza 1 u krye më 25 shkurt 2026. Faza 2 u krye më 15-16 prill 2026. Analiza e paketave JavaScript, numërimi i API-ve, rikuperimi i blob-eve, nxjerrja e pagave XLSX dhe zbulimi i nën-domeneve u kryen duke përdorur teknikat standarde OSINT: curl, skriptim Python dhe rishikim manual i kodit.
