Shkrimi i Patrick Quirk me titull: "Pika e verbër e Ministres së AI: Si roboti antikorrupsion i Shqipërisë nuk arrin të shohë API-në e hapur të Parlamentit të vet" flet për një sekret publik në Shqipëri, por që u reklamua fort në mediat e huaja: “ministrja e parë me inteligjencë artificiale në botë”, Diella është një aplikacion i thjeshtë pa asnjë produkt real, ndërsa vetë institucionet shtetërore vazhdojnë të kenë probleme elementare sigurie dhe transparence.
Autori një profesionist që ka marrë përsipër të testojë sigurinë kibernetike në disa vende tregon se si, përmes kërkimeve të thjeshta në internet dhe analizës së faqeve zyrtare, arriti të hynte pa asnjë pengesë te mijëra dokumente të Parlamentit shqiptar, përfshirë lista pagash, dokumente zyrtare dhe arkiva parlamentare. Investigimi arrin në një përfundim të thjeshtë: një shtet nuk mund të pretendojë se po ndërton “qeverisjen e së ardhmes” me inteligjencë artificiale, kur ende nuk arrin të mbrojë sistemet më bazike digjitale. Përtej termave teknikë, artikulli është një kritikë e fortë ndaj propagandës teknologjike të qeverisë dhe mënyrës sesi “AI” përdoret më shumë si slogan politik sesa si teknologji reale funksionale.
Premtimi
Në shtator 2025, kryeministri shqiptar Edi Rama bëri bujë globale duke emëruar sistemin e parë të Inteligjencës Artificiale në botë në një pozicion ministror të nivelit të kabinetit qeveritar. Emri i saj ishte Diella, një avatar e veshur me kostum tradicional shqiptar, e fuqizuar nga Microsoft Azure dhe OpenAI, e caktuar zyrtarisht si “Ministre Shteti për Inteligjencën Artificiale” (TIME; Al Jazeera).
Misioni i saj i deklaruar: eliminimi i korrupsionit në prokurimet publike.
“Prokurimet publike do të jenë 100 për qind pa korrupsion”, deklaroi Rama.
Agjencitë e OKB-së e përshëndetën lëvizjen. TIME publikoi një reportazh. Bashkimi Europian e përmendi si provë të modernizimit të Shqipërisë në rrugën drejt anëtarësimit deri në vitin 2030.
Tre muaj më vonë, në dhjetor 2025, Drejtoresha e Përgjithshme e AKSHI-t, agjencisë që ndërtoi Diellën, u arrestua për korrupsion (Tirana Times).
Akuza: manipulim i po atyre tenderëve qeveritarë që Diella supozohej të monitoronte.
Hetimi im nisi me Diellën. Përfundoi te Parlamenti Shqiptar. Dhe kur u riktheva dy muaj më vonë me mjete më të mira dhe më shumë durim, përfundoi diku shumë më keq.
Faza 1: Paketa JavaScript (Shkurt 2026)
Objektivi fillestar ishte i kufizuar: të shqyrtoja frontend-in e Diellës, të kërkoja për çelësa API-je të ekspozuar apo URL backend-esh të rrjedhura dhe të vlerësoja nëse kjo “ministre AI” ishte teknologji reale apo teatër politik.
Frontend-i i Diellës ishte i pastër. Një bundle Vue.js prej 229 KB me frameëork-un Quasar, pa endpoint-e API-je, pa URL backend-esh të koduara. Variablat e ambientit kufizoheshin te stilimi CSS: madhësi shkronjash, ngjyra, vlera padding-u.
Infrastruktura e brendshme e AKSHI-t qëndronte pas DNS-ve vetëm për përdorim të brendshëm, pa rezolvim publik: një Hasura GraphQL engine, një server autentifikimi Keycloak dhe API REST të personalizuara, asnjëra prej të cilave nuk rezolvohej publikisht.
E zgjerova kërkimin drejt nën-domeneve të AKSHI-t. Regjistrat e transparencës së certifikatave zbuluan 110 nën-domene. Jira, Rancher, një ëiki i brendshëm, VS Code Server, Collabora Online. Të gjitha vetëm për përdorim të brendshëm. Asnjë përgjigje publike në asnjërin.
Skanova 17 domene të qeverisë shqiptare. Rezultatet ishin konsistente: fireëall-e Incapsula, përgjigje 403 Forbidden, API ëordPress të bllokuara ose mungesë totale përgjigjeje.
Infrastruktura qeveritare shqiptare, në nivel sipërfaqësor, është relativisht e fortifikuar.
Pastaj kontrollova Parlamentin.
Parlamenti Shqiptar në parlament.al përdor një aplikacion React single-page. Çdo path kthen HTTP 200 me të njëjtin index.html, një router klasik “catch-all” që në fillim dukej si rrugë pa dalje.
Por një React SPA duhet të komunikojë me një backend. Dhe kodi që kryen ato thirrje jeton brenda bundle-it JavaScript.
Shkarkova chunk-un kryesor, 355 KB ëebpack output të minimizuar, dhe ekzekutova nxjerrjen e stringjeve.
I fshehur mes caktimeve të variablave ishte një URL bazë API-je e koduar fort që tregonte drejt një backend-i OData të hostuar në Azure, bashkë me shtatë emra entitetesh:
* anetaret
* strukturat
* aktet
* lajmet
* mbledhjet
* dokumentet
* abonimet
Gjashtë nga shtatë përgjigjeshin ndaj kërkesave GET pa autentifikim.
Pa API key.
Pa bearer token.
Pa cookie sesioni.
Pa rate limiting.
I shtati, abonimet, kthente 401.
Dikush qartësisht dinte si të kërkonte autentifikim. Thjesht nuk e kishte aplikuar te gjashtë të tjerët.
Çfarë ekspozonte API-ja
Endpoint-i anetaret kthente 236 regjistrime, një për çdo deputet të Parlamentit Shqiptar.
Çdo regjistrim përmbante:
* emrin e plotë ligjor (emër, atësia, mbiemri),
* datëlindjen,
* vendlindjen,
* adresën zyrtare të email-it,
* përkatësinë politike,
* qarkun elektoral,
* URL-në e fotos së profilit,
* dhe lidhje me rrjetet sociale.
Endpoint-i dokumentet ishte një katalog JSON prej 30 megabajtësh që listonte çdo dokument të ngarkuar në Azure Blob Storage të Parlamentit.
Çdo regjistrim përmbante një URL direkte shkarkimi.
I nxora ato URL.
Ishin 54,545 të tilla.
Listimi i container-it ishte i çaktivizuar në blob storage, duke krijuar një ndjenjë të rreme sigurie.
Por çdo URL individuale funksiononte pa autentifikim dhe çdo URL publikohej në përgjigjen e API-së.
Çaktivizimi i listimit të direktorive ndërkohë që publikohen 54,545 lidhje direkte nuk është kontroll sigurie.
Ndarja e dokumenteve përfshinte:
* 32,627 PDF,
* afro 20 mijë imazhe,
* 885 dokumente ëord,
* dhe 509 spreadsheet Excel.
Spreadsheet-et ishin më zbulueset:
* lista mujore pagash për çdo deputet,
* ndarje benefitesh dhe privilegjesh,
* regjistër lobistësh,
* regjistër organizatash të shoqërisë civile,
* log-e të kërkesave FOIA dhe përgjigjeve për katër vite,
* dhe tabela buxhetore qeveritare.
Dokumentova gjithçka, publikova një shkrim dhe vazhdova përpara.
Pastaj u riktheva dy muaj më vonë.
Faza 2: Shkarkimi i plotë (Prill 2026)
Më 15 prill 2026, ritestova çdo endpoint.
Asnjëri nuk ishte siguruar.
API-ja ishte ende plotësisht e hapur, ende mirëmbajtur aktivisht dhe ende furnizohej me të dhëna të reja.
Mbledhjet regjistroheshin deri në atë ditë. Artikujt e lajmeve deri një ditë më parë. Katalogu dokumentet ishte rritur nga 54,545 në 57,287 regjistrime brenda shtatë javësh.
Këtë herë shkarkova gjithçka.
Ekzekutova një doënloader paralel me 32 thread kundër Azure Blob Storage në dy faza: ekzekutimin fillestar dhe më pas një fazë rikuperimi për 18 mijë URL që urllib i Python-it i kishte refuzuar, sepse punonjësit e qeverisë shqiptare kishin ngarkuar skedarë me hapësira të mirëfillta në emrat e tyre.
Rikuperimi i plotë zgjati 45 minuta.
52,942 skedarë. 32 gigabajt. Normë rikuperimi 94.7% kundrejt katalogut. 5.3% e mbetur ishte realisht e fshirë nga Azure, blob-et nuk ekzistonin më në ato URL. Pjesa tjetër ishte e gjitha aktive, e gjitha publike dhe e gjitha e shkarkueshme pa asnjë header autentifikimi.
18 gigabajt PDF. 9 gigabajt fotografi. Spreadsheet-e pagash që shkonin deri në gusht 2018. Transkripte parlamentare. Projektligje. Raporte komisionesh. Tabela shpenzimesh buxhetore. Marrëveshje ndërkombëtare.
Regjistri i plotë dokumentar i Parlamentit Shqiptar nga 2013 deri në prill 2026.
Shtatë vite të dhënash pagash
Arkiva e spreadsheet-eve përfshinte 116 skedarë pagash nga gushti 2018 deri në janar 2026.
Shkrova një parser që trajtonte formatet e ndryshme të kolonave ndër vite (skedarët para vitit 2022 përdornin raste të ndryshme gramatikore në shqip për titujt e kolonave) dhe nxora gjithçka në një dataset të vetëm të unifikuar.
11,030 regjistrime pagash. 398 deputetë unikë. 2018 deri në 2026. Të dhënat zbulojnë një strukturë pagash me katër nivele. Kryetari i Kuvendit, Niko Peleshi, fiton 393,125 lekë shqiptarë bruto në muaj (rreth 3,900 dollarë amerikanë). Kryetarët e grupeve parlamentare fitojnë 356,788 lekë. Kryetarët e komisioneve dhe nënkryetarët e Kuvendit fitojnë nga 325 mijë deri në 329 mijë lekë.
Deputetët e zakonshëm fitojnë 310,250 lekë. Diferenca nga maja në fund është vetëm 27%, jashtëzakonisht e sheshtë për një parlament kombëtar.
Por kolona më interesante është ajo e penaliteteve. Ligji shqiptar (Vendimi 114/2014) ul pagën e deputetëve për mungesat në seanca dhe mbledhje komisionesh. Disa deputetë shfaqin diferenca masive mes pagës bruto dhe asaj neto. Kreu i grupit parlamentar të opozitës, Gazment Bardhi, fitoi 356,788 lekë bruto, por vetëm 210,104 lekë neto në janar 2026, një zbritje prej 41%.
Kjo është ose mungesë kronike në punë ose mbajtje të konsiderueshme shtesë.
Çdo deputet. Çdo muaj. Për shtatë vite e gjysmë.
Të gjitha nga blob storage publik, i kataloguar në një API pa autentifikim.
Arkiva e transkripteve për të cilën askush nuk foli
Ndërsa po kontrolloja bundle-in JavaScript të Parlamentit për endpoint-e shtesë, gjeta referenca për tre nën-domene që nuk i kisha parë më parë. Njëri prej tyre, bisedimet.parlament.al, ishte aktiv.
Ishte një platformë krejtësisht më vete: një “Document Archive API” që funksiononte me Node.js në një server me path /root/Kuvendi-Backend/.
Endpoint-i health konfirmonte se sistemi po funksiononte në prodhim, duke përdorur MeiliSearch për kërkime full-text, me databazë Prisma, 92% përdorim memorieje dhe 2.4 ditë uptime në momentin e zbulimit.
API-ja kishte 20 transkripte parlamentare të përpunuara me OCR nga 2022 deri në 2024, që mbulonin seanca plenare me 261 folës unikë të identifikuar me emër. Çdo dokument shkarkohej pa autentifikim. Kërkimi full-text funksiononte pa autentifikim. Endpoint-i health ekspozonte path-et e serverit, përdorimin e memories dhe të dhënat e uptime-it. Skema përfshinte fusha për AI vector search dhe embeddings dokumentesh, elementët bazë për kërkim semantik mbi procedurat parlamentare.
Por çdo dokument kishte statusin e embedding-ut të vendosur si PENDING. Funksionaliteti i vector search ishte planifikuar. Nuk u përfundua kurrë.
Kjo është gjëja më e afërt me “83 fëmijët AI” që ekziston realisht: një motor kërkimi mbi 20 PDF, që funksionon si root në një server pothuajse pa memorie, me funksionet AI gjysmë të ndërtuara dhe të braktisura. Kjo është realiteti pas konferencave për shtyp.
Diella nuk ka backend
Ky ishte zbulimi që nuk e prisja.
Pasi dokumentova gjithçka që rridhte nga Parlamenti, iu riktheva pyetjes fillestare: a është Diella një sistem real AI apo thjesht teatër?
Frontend-i i Diellës në proud-coast-026495803.4.azurestaticapps.net është një aplikacion Vue.js single-page. Rishkarkova bundle-in 229 KB dhe nxora çdo URL, çdo string literal dhe çdo referencë konfigurimi.
Rezultati: zero endpoint-e API-je. Zero URL backend-i. Zero referenca ndaj OpenAI, Azure Cognitive Services apo ndonjë shërbimi AI/ML.
Bundle-i nuk përmban asgjë përveç frameëork-ut Quasar UI dhe kodit runtime të Vue.js. Është një guaskë bosh. Testova aibot-api.azureëebsites.net, hostname-i më logjik për backend-in e Diellës.
Ai ktheu faqen standarde të Azure App Service: “Your ëeb app is running and ëaiting for your content.”
Një aplikacion .NET që ose nuk ishte deploy-uar kurrë ose ishte fshirë plotësisht. Testova diella-api, aibot, chatbot dhe assistant në .azureëebsites.net, .azure-api.net dhe .azurefd.net.
Të gjitha kthyen 404 ose faqe standarde bosh. Shtresa e autentifikimit të Azure Static ëeb App është e konfiguruar.
.auth/me kthen {“clientPrincipal”: null}.
.auth/login/aad ridrejton te Azure Active Directory.
.auth/login/github kthen një 302.
Muri i autentifikimit ekziston. Por pas tij nuk ka asgjë. Diella është një frontend pa backend. Një avatar pa tru.
Ministrja e parë AI në botë është një komponent Vue.js që shfaq një kostum dhe një emër.
Konteksti
Këto gjetje nuk ekzistojnë të izoluara.
Shqipëria ka një histori të dokumentuar të ekspozimeve katastrofike të të dhënave, që e bën një API të hapur të Parlamentit diçka më të rëndë sesa neglizhencë.
Është një model i përsëritur.
Në prill 2021, një databazë me të dhënat e 910 mijë qytetarëve shqiptarë rrjedhi online.
Emra, numra identiteti, telefona, informacione punësimi, të dhëna tatimore dhe preferenca politike të parashikuara.
Afërsisht një e treta e gjithë popullsisë.
Të dhënat dyshohej se ishin përpiluar për targetim elektoral nga Partia Socialiste në pushtet.
Në dhjetor 2021, të dhënat e pagave të 637,138 qytetarëve shqiptarë, 22% e vendit, rrjedhën në ëhatsApp si një file Excel.
Emra, numra ID-je, paga, pozicione pune dhe punëdhënës.
Kryeministri Rama kërkoi ndjesë dhe tha se “duket më shumë si një infiltrim i brendshëm sesa një sulm i jashtëm kibernetik”.
Në vitin 2022, hakerë të sponsorizuar nga shteti iranian, që operonin si “HomeLand Justice”, sulmuan vetë AKSHI-n, agjencinë që më vonë do të ndërtonte Diellën. Ata pretenduan se kishin nxjerrë 100 terabajt të dhëna dhe kishin fshirë 2 petabajt.
Të dhënat e publikuara përfshinin mbi 100 mijë regjistrime të personave nën hetim nga policia, korrespondencë ministrore, të dhëna të punonjësve të shërbimeve inteligjente dhe regjistra identifikimi qytetarësh.
CISA dhe FBI lëshuan një advisory të përbashkët. Shqipëria ndërpreu marrëdhëniet diplomatike me Iranin, vendi i parë i NATO-s që ndërpreu marrëdhëniet për shkak të një sulmi kibernetik.
Në dhjetor 2025, drejtoresha e përgjithshme e AKSHI-t, Mirlinda Karçanaj dhe zëvendësi i saj u vendosën në arrest shtëpie. Akuzat: pjesëmarrje në grup të strukturuar kriminal në 12 procedura prokurimi.
Balkan Investigative Reporting Netëork konkludoi: “Kapja e AKSHI-t nga interesa kriminale rrezikon sigurinë kombëtare.”
Kronologjia ia vlen të lexohet ngadalë.
Irani sulmon AKSHI-n.
AKSHI ndërton një AI për të luftuar korrupsionin.
Drejtuesit e AKSHI-t arrestohen për korrupsion.
Parlamenti që AI-ja supozohej të monitoronte ka pasur API-në e hapur për katër vite.
Dhe vetë AI-ja nuk ka backend.
Çfarë kërkon realisht qeverisja me AI
Shqipëria vendosi ministren e parë AI në botë në një qeveri që ende nuk kishte mësuar autentifikimin HTTP.
Përpara se të shpallësh 83 asistentë AI për të monitoruar Parlamentin, të duhet një Parlament që di të vendosë një API key mbi një endpoint.
Përpara se të pretendosh se AI-ja jote do t’i bëjë tenderat publikë “100 për qind pa korrupsion”, të duhet një agjenci IT drejtuesit e së cilës nuk janë nën arrest për manipulim tenderash.
Përpara se të ftosh shtypin ndërkombëtar për të festuar revolucionin tënd të qeverisjes me AI, duhet të kontrollosh nëse arkiva e plotë dokumentare e Parlamentit, pagat dhe të dhënat personale të deputetëve ndodhen në blob storage publik.
Shqipëria i kapërceu të gjitha këto hapa. Kaloi direkt nga “agjencia jonë IT u sulmua nga hakerë iranianë” dhe “u rrjedhën të dhënat e një të tretës së qytetarëve” te “ministrja e parë AI në botë”.
Komuniteti ndërkombëtar duartrokiti. Askush nuk auditoi infrastrukturën. Kjo është ajo që ndodh kur qeveritë e trajtojnë inteligjencën artificiale si konferencë shtypi dhe jo si implementim teknik.
Frontend-i i Diellës ishte i pastër, këtë meritë ia jap zhvilluesve të AKSHI-t. Por institucioni që Diella ishte projektuar të mbikëqyrte kishte të gjithë backend-in të ekspozuar.
Dhe vetë Diella nuk kishte backend fare. Nuk mund të automatizosh mbikëqyrjen e një sistemi që nuk e ke siguruar. Nuk mund të vendosësh qeverisje AI mbi infrastrukturë të thyer.
Dhe absolutisht nuk mund të shpallësh 83 monitorues AI parlamentarë kur maksimumi që ke ndërtuar realisht është një motor kërkimi mbi 20 PDF, që funksionon si root në një server me 92% memorie të zënë, ndërsa funksionet AI shfaqen të gjitha si PENDING.
Shqipëria nuk ndërtoi të ardhmen e qeverisjes me AI.
Ajo ndërtoi një demonstrim të asaj që ndodh kur anashkalon punën e mërzitshme dhe kalon direkt te titulli propagandistik.
Metodologjia
Të gjitha të dhënat u morën nga endpoint-e API-je publikisht të aksesueshme dhe URL të Azure Blob Storage pa autentifikim.
Asnjë autentifikim nuk u anashkalua. Asnjë kredencial nuk u përdor. Asnjë kontroll aksesi nuk u tejkalua. Asnjë shfrytëzim (exploit) nuk u krye. API-ja e Parlamentit përgjigjet ndaj kërkesave standarde HTTP GET. URL-të e blob storage kthejnë dokumente për çdo broëser.
Faza 1 u zhvillua më 25 shkurt 2026.
Faza 2 u zhvillua më 15-16 prill 2026.
Analiza e JavaScript bundle, enumerimi i API-ve, rikuperimi i blob-eve, nxjerrja e të dhënave XLSX të pagave dhe zbulimi i subdomain-eve u kryen duke përdorur teknika standarde OSINT: curl, scripting me Python dhe rishikim manual kodi./ Shkrim nga Patrik Quirk
