חוקרים של צ׳ק פוינט מצאו: בעיות אבטחה קריטיות ב-Claude Code

בשבועות האחרונים נפל דבר בעולם התוכנה שמטלטל את מניות חברות הענק. אותן חברות ענק שהיו מנוע צמיחה משמעותי בשנים האחרונות. אנתרופיק השיקה את הקלוד קוד (Claude Code). למעשה, מה שהוא עושה זה לא רק לכתוב שורות קוד באמצעות בינה המלאכותית, אלא גם מייצר אפליקציות שניתן להטמיע בתוך מערך המיחשוב הארגוני.

היום בינה מלאכותית יכול לעשות את הפעולה מהתחלה ועד הסוף. נכון, התהליך הזה מייתר את המתכנתים אבל הוא גורם לזעזוע בענף. בעיקר בגלל העובדה שאם עד עכשיו היה צריך 100 מתכנתים כדי לעמוד בקצב השינויים בעולם התוכנה, הרי שעכשיו עם כניסה של עולמות ה-AI למשחק, צריך רק 10 מתכנתים. כמובן שמי שישאר בארגון יהיו הטובים ביותר, בעלי יכולת ראיה וחשיבה רוחביים.

התהליך הזה גרם למצב בו המשקיעים בוול סטריט (וגם בישראל) אמרו שאם כלי דרמטי כזה נכנס למשחק, הרי שכל המודל העסקי של חברות התוכנה מתערער. מכאן מתבקשת פעולה אחת מבין שתיים: או מכירה של מניות חברות התוכנה בתהליך שקרוי sell-off, או לחילופין תימחור מחדש של החברות האלה וזה עדיין אומר מכירה, אבל לא לאפס את ההחזקה. למעשה, להדביק תג מחיר חדש למניות האלה.

סרגי וסנצ׳וק, מאופנהיימר, שנחשב לאחד האנליסטים החשובים בישראל בעולם התוכנה אמר בשיחה עם ״היום״ שצריך לתמחר מחדש את המניות ולא לזרוק אותם בכל מחיר. יש בעיות אבטחה משמעותית באפליקציות שמיועדות לארגונים בטח קריטיים, אבל כן, התהליך הזה מסמן את הכיוון אליו הולך השוק. לכן צריך לתמחר מחדש את המניות ולא לחסל את ההחזקה בהן לגמרי.

היום מפרסמת צ׳ק פוינט, אחת מחברות הסייבר החשובות בעולם, מחקר שביצעו המהנדסים שלה. המחקר מצא בדיוק את מה שוסנצ׳וק זיהה, רק בהבדל אחד: מדובר במהנסי תוכנה שיודעים בדיוק את דרישות הארגונים ממערכות המחשב שלהם.

ממצאי המחקר מלמדים כי בעולם התוכנה המסורתי, הסיכון היה ממוקד בהרצת קוד זדוני. בעידן ה-AI, הסיכון מתרחב גם לשכבת האוטומציה שמנהלת את הקוד. כלי פיתוח מבוססי בינה מלאכותית אינם רק "כותבים" - הם מפעילים תהליכים, מתחברים לשירותים חיצוניים ופועלים בשם המשתמש.

כאשר שכבה זו מקבלת הרשאות רחבות, גם קובצי קונפיגורציה, שנתפסו עד כה כהגדרות תמימות, יכולים להפוך לווקטור השפעה על סביבת העבודה.

עודד ואנונו, ראש תחום מחקר חולשות מוצרים בצ׳ק פוינט, מסביר: "אנחנו רואים שינוי יסודי במודל האיומים. כלי AI כבר אינם כלי עזר היקפיים, הם הופכים לתשתית. ברגע ששכבת האוטומציה מקבלת יכולת להשפיע על תהליכי הרצה ועל התנהגות המערכת, גבולות האמון משתנים. ארגונים שמאיצים אימוץ AI חייבים לוודא שמודל האבטחה שלהם מתפתח באותו קצב".

בצ׳ק פוינט אומרים על המשמעות הכלכלית כי במבט ראשון, חולשה בכלי פיתוח עשויה להיתפס כעניין טכנולוגי נקודתי. אולם בפועל, כאשר מפתחות גישה (API Keys) משויכים לסביבות עבודה משותפות בענן, אירוע בתחנת קצה אחת עלול להתרחב לחשיפה רוחבית.

בארגונים רבים, מפתח גישה אינו משויך לעובד בודד בלבד אלא למרחב עבודה שלם. חשיפה כזו עלולה להוביל לגישה לנתונים, לשינויים לא מורשים ואף ליצירת עלויות בלתי צפויות בשירותי ענן.

הדבר מקבל משנה תוקף על רקע תנודתיות מניות הטכנולוגיה והסייבר בתקופה האחרונה. השוק הפיננסי מבין שה-AI אינו רק מנוע צמיחה, אלא גם שכבת סיכון חדשה שדורשת בקרה ובשלות ניהולית.

לדברי ואנונו: "המעבר ל-AI משנה את כללי המשחק. אנחנו כבר לא מגנים רק על קוד ושרתים – אלא על מערכות שמקבלות החלטות ופועלות בשם המשתמש. אם מודל האבטחה נשאר בעולם הישן, נוצר פער מסוכן בין רמת החדשנות לרמת השליטה".