Nga Patrick Quirk:
Në shtator të vitit 2025, kryeministri shqiptar Edi Rama bëri bujë në mediat botërore duke emëruar sistemin e parë AI në botë në një post qeveritar të nivelit ministror. Emri i saj ishte Diella, një avatar i veshur me kostum tradicional shqiptar, i fuqizuar nga Microsoft Azure dhe OpenAI, i caktuar zyrtarisht si “Ministre Shteti për Inteligjencën Artificiale”.
Misioni i saj i deklaruar: eliminimi i korrupsionit në prokurimet publike. “Tenderat publikë do të jenë 100 për qind pa korrupsion”, deklaroi Rama. Agjencitë e OKB-së e përshëndetën këtë lëvizje. Media ndërkombëtare e paraqiti si simbol të modernizimit të Shqipërisë në rrugën drejt anëtarësimit në BE deri në vitin 2030.
Tre muaj më vonë, në dhjetor 2025, drejtoresha e përgjithshme e AKSHI-t, agjencisë që ndërtoi Diellën, u arrestua për korrupsion. Akuza: manipulim i tenderëve qeveritarë që Diella supozohej të monitoronte.
Hetimi nisi me Diellën. Përfundoi te Parlamenti Shqiptar. Dhe kur autori u rikthye dy muaj më vonë me mjete më të avancuara dhe më shumë durim, përfundoi në një vend shumë më të errët.
Faza 1: Paketa JavaScript (Shkurt 2026)
Qëllimi fillestar ishte i kufizuar: të analizohej frontend-i i Diellës, të kërkoheshin çelësa API të rrjedhur apo URL backend-esh, dhe të vlerësohej nëse kjo “ministre AI” ishte teknologji reale apo teatër politik.
Frontend-i i Diellës rezultoi i pastër. Një paketë Vue.js prej 229 KB me framework-un Quasar, pa endpoint-e API dhe pa URL backend-esh të koduara drejtpërdrejt. Variablat e ambientit ishin vetëm për stilim CSS: madhësi shkronjash, ngjyra dhe padding. Infrastruktura e brendshme e AKSHI-t qëndronte pas DNS-ve të brendshme pa akses publik: një motor Hasura GraphQL, një server autentikimi Keycloak dhe API REST të personalizuara, asnjë prej të cilave nuk hapej publikisht.
Më pas u zgjerua analiza në nën-domainet e AKSHI-t. Log-et e transparencës së certifikatave zbuluan 110 nën-domene: Jira, Rancher, Wiki të brendshme, VS Code Server dhe Collabora Online. Të gjitha vetëm për përdorim të brendshëm. Asnjë përgjigje publike.
U skanuan 17 domene qeveritare shqiptare. Rezultatet ishin të ngjashme: firewall-e Incapsula, përgjigje “403 Forbidden”, API WordPress të mbyllura ose mungesë totale përgjigjeje. Në sipërfaqe, infrastruktura qeveritare shqiptare dukej e fortifikuar.
Pastaj u kontrollua Parlamenti.
Parlamenti Shqiptar funksionon me një aplikacion React SPA. Çdo rrugë kthen HTTP 200 me të njëjtin index.html, një “catch-all router” klasik që fillimisht dukej si rrugë pa dalje. Por një SPA React duhet të komunikojë me një backend. Dhe kodi që kryen ato thirrje gjendet në paketën JavaScript.
Nga analiza e kodit të minimizuar webpack prej 355 KB u zbulua një URL API e koduar drejtpërdrejt, që drejtonte te një backend OData i hostuar në Azure, së bashku me shtatë emra entitetesh: anetaret, strukturat, aktet, lajmet, mbledhjet, dokumentet dhe abonimet.
Gjashtë nga shtatë endpoint-et iu përgjigjën kërkesave GET pa autentikim. Pa API key. Pa bearer token. Pa cookie sesioni. Pa kufizim kërkesash.
I shtati, abonimet, ktheu “401 Unauthorized”. Dikush e dinte si vendosej autentikimi. Thjesht nuk e kishte aplikuar te gjashtë endpoint-et e tjera.
Çfarë ekspozonte API-ja
Endpoint-i “anetaret” ktheu 236 regjistrime për çdo deputet të Parlamentit Shqiptar. Çdo regjistrim përmbante emrin e plotë ligjor, datëlindjen, vendlindjen, emailin zyrtar, përkatësinë politike, qarkun zgjedhor, URL të fotos së profilit dhe lidhje të rrjeteve sociale.
Endpoint-i “dokumentet” ishte 30 MB JSON që katalogonte çdo dokument të ngarkuar në Azure Blob Storage të Parlamentit. Çdo regjistrim përfshinte një URL direkte shkarkimi. U nxorën 54,545 lidhje dokumentesh.
Edhe pse listimi i konteinerëve ishte çaktivizuar në blob storage, çdo URL individuale funksiononte pa autentikim dhe çdo lidhje publikohej në API. Çaktivizimi i listimit të direktorive ndërkohë që publikohen 54 mijë URL direkte nuk është kontroll sigurie.
Dokumentet përfshinin:
- 32,627 PDF
- afro 20,000 imazhe
- 885 dokumente Word
- 509 tabela Excel
Spreadsheet-et rezultuan më domethënëset: lista pagash mujore për deputetët, përfitime dhe privilegje, regjistër lobistësh, regjistër organizatash të shoqërisë civile, kërkesa FOIA dhe përgjigje mbi katër vite, si dhe tabela buxhetore qeveritare.
Gjithçka u dokumentua dhe u publikua. Dy muaj më vonë autori u rikthye.
Faza 2: Shkarkimi i Plotë (Prill 2026)
Më 15 prill 2026, të gjitha endpoint-et u testuan sërish. Asnjë nuk ishte siguruar. API-ja vazhdonte të ishte plotësisht e hapur, aktive dhe e përditësuar. Takimet parlamentare regjistroheshin deri atë ditë. Lajmet deri një ditë më parë. Katalogu “dokumentet” ishte rritur nga 54,545 në 57,287 regjistrime për shtatë javë.
Këtë herë u shkarkua gjithçka.
Një downloader paralel me 32 procese shkarkoi 52,942 skedarë, gjithsej 32 GB të dhëna. Norma e rikuperimit ishte 94.7%. Vetëm 5.3% e dokumenteve ishin fshirë realisht nga Azure.
Përmbajtja përfshinte:
- 18 GB PDF
- 9 GB fotografi
- lista pagash që nga gushti 2018
- transkripte parlamentare
- draft-ligje
- raporte komisionesh
- tabela shpenzimesh buxhetore
- marrëveshje ndërkombëtare
Pra, praktikisht arkiva e plotë dokumentare e Parlamentit Shqiptar nga 2013 deri në prill 2026.
Shtatë vite të dhënash pagash
Në total u analizuan 116 skedarë pagash nga gushti 2018 deri në janar 2026.
11,030 regjistrime pagash.
398 deputetë unikë.
Periudha 2018–2026.
Të dhënat treguan një strukturë me katër nivele pagese. Kryetari i Kuvendit, Niko Peleshi, rezultonte me 393,125 lekë bruto në muaj. Kryetarët e grupeve parlamentare merrnin 356,788 lekë. Kryetarët e komisioneve dhe nënkryetarët 325,000–329,000 lekë. Deputetët e zakonshëm 310,250 lekë.
Por kolona më interesante ishte ajo e penaliteteve. Ligji shqiptar parashikon ulje page për mungesat në seanca dhe komisione. Për shembull, lideri i opozitës Gazment Bardhi kishte 356,788 lekë bruto por vetëm 210,104 lekë neto në janar 2026, një diferencë prej 41%.
Arkiva e transkripteve që askush nuk përmendi
Gjatë analizës së paketës JavaScript të Parlamentit, u zbuluan tre nën-domene të tjera. Njëri prej tyre, bisedimet.parlament.al, ishte aktiv.
Ishte një platformë krejtësisht më vete: “Document Archive API” që funksiononte me Node.js në një server me path-in /root/Kuvendi-Backend/.
Endpoint-i “health” zbulonte:
- përdorimin e MeiliSearch për kërkim full-text,
- bazë të dhënash Prisma,
- 92% përdorim memorieje,
- dhe 2.4 ditë uptime në momentin e zbulimit.
API-ja përmbante 20 transkripte parlamentare të përpunuara me OCR nga vitet 2022–2024, me 261 folës unikë. Gjithçka shkarkohej pa autentikim.
Skema e sistemit kishte fusha për AI vector search dhe embeddings dokumentesh, bazat për kërkim semantik parlamentar. Por çdo dokument kishte statusin “PENDING”. Funksioni AI ishte planifikuar, por nuk ishte përfunduar kurrë.
Diella nuk ka backend
Ky ishte zbulimi më tronditës.
Frontend-i i Diellës rezultoi thjesht një aplikacion Vue.js pa asnjë backend funksional. Nga analiza e plotë:
- zero endpoint-e API,
- zero URL backend,
- zero referenca ndaj OpenAI,
- zero Azure Cognitive Services,
- zero shërbime AI/ML.
Vetëm framework Quasar dhe runtime Vue.js.
Serveri më logjik për backend-in, “aibot-api.azurewebsites.net”, kthente vetëm faqen standarde të Azure App Service: “Your web app is running and waiting for your content.”
Pra, aplikacioni ose nuk ishte deploy-uar kurrë, ose ishte boshatisur plotësisht.
U testuan emra të tjerë si diella-api, aibot, chatbot dhe assistant në domene Azure. Të gjitha kthenin 404 ose faqe default.
Shtresa e autentikimit ekzistonte. Por pas saj nuk kishte asgjë.
Diella rezulton një frontend pa backend.
Një avatar pa tru.
“Ministrja e parë AI në botë” rezulton thjesht një komponent Vue.js që shfaq një kostum tradicional dhe një emër.
Konteksti
Këto zbulime nuk janë të izoluara.
Në prill 2021 rrjedhën të dhënat e 910 mijë qytetarëve shqiptarë: emra, ID, numra telefoni, të dhëna tatimore dhe preferenca politike të parashikuara.
Në dhjetor 2021 rrjedhën pagat e 637,138 qytetarëve shqiptarë përmes një skedari Excel të shpërndarë në WhatsApp.
Në vitin 2022, hakerë iranianë të grupit “HomeLand Justice” sulmuan vetë AKSHI-n, duke pretenduar se kishin marrë 100 terabyte të dhëna dhe kishin fshirë 2 petabyte.
Në dhjetor 2025, drejtoresha e AKSHI-t, Mirlinda Karçanaj, dhe zëvendësi i saj u vendosën në arrest shtëpie për akuza korrupsioni në procedura prokurimi.
Kronologjia është domethënëse:
- Irani sulmon AKSHI-n.
- AKSHI ndërton një AI kundër korrupsionit.
- Drejtuesit e AKSHI-t arrestohen për korrupsion.
- Parlamenti që AI-ja supozohej të monitoronte kishte API të hapura prej katër vitesh.
- Dhe vetë AI-ja nuk kishte backend fare.
Çfarë kërkon realisht qeverisja me AI
Shqipëria vendosi “ministren e parë AI në botë” në një qeveri që ende nuk kishte zotëruar autentikimin HTTP.
Para se të shpallësh 83 asistentë AI për monitorimin e Parlamentit, duhet një Parlament që di të vendosë një API key mbi endpoint-et.
Para se të pretendosh se AI-ja do t’i bëjë tenderët “100 për qind pa korrupsion”, duhet një agjenci IT drejtuesit e së cilës nuk janë në arrest për manipulim tenderësh.
Para se të ftosh mediat ndërkombëtare të festojnë revolucionin e “AI governance”, duhet të kontrollosh nëse arkiva parlamentare, pagat dhe të dhënat personale të deputetëve janë të ekspozuara publikisht në cloud.
Sipas autorit të hetimit, Shqipëria anashkaloi të gjitha këto hapa dhe kaloi direkt te propaganda dhe titujt mediatikë.