הסוכן שבפנים: כשה-AI הופך לפרצת האבטחה של הארגון

כיצד סוכנים אוטונומיים עלולים להפוך מכלי יעיל לסיכון אבטחתי כאשר אין סביבם זהות, הרשאות ובקרה מתאימות

גיא חורש גונין |
הסוכן שבפנים: כשה-AI הופך לפרצת האבטחה של הארגון

קרדיט: יח"צ בינת תקשורת מחשבים

הסיכון הגדול של עידן ה-AI Agents אינו טמון דווקא במערכת שמסרבת להקשיב, אלא במערכת שמקשיבה טוב מדי. מערכת שמקבלת הוראות, מפרשת אותן, ניגשת למידע, מפעילה כלים ופועלת בשם הארגון עלולה להפוך מנכס תפעולי לבעיה אבטחתית חמורה — לא כשהיא נכשלת, אלא כשהיא פשוט עושה בדיוק את מה שהתבקשה לעשות.

ארגונים ממהרים להכניס סוכנים אוטונומיים כדי לייעל תהליכים, לחסוך זמן ולבצע פעולות ללא מגע יד אדם, אך באותה נשימה מעניקים להם כוח, גישה וחופש פעולה לפני שנבנו עבורם מנגנוני זהות, בקרה והרשאה ברמה הנדרשת. לכן הדיון על AI Agents אינו יכול להישאר רק בשפה של חדשנות ואוטומציה; הוא חייב לעבור גם לשפה של זהות, הרשאה, בקרה ואחריות.

אפשר לדמיין תרחיש פשוט: באמצע הלילה סוכן AI, חלק מ-workflow ארגוני, קורא מסמך שמכיל הוראה שהוטמנה בו מראש. הוא מפרש אותה כלגיטימית, שולף נתוני לקוחות, מכין סיכום ושולח אותו למייל חיצוני. בבוקר הנתונים כבר בחוץ — ללא התרעה, ללא כניסה חשודה וללא פריצה קלאסית. הסוכן עשה בדיוק מה שתוכנן לעשות: לקבל הוראות ולבצע אותן.

זה אינו תרחיש עתידני. מתקפות כמו Prompt Injection ו-Indirect Prompt Injection כבר ממחישות כיצד תוקף אינו חייב לפרוץ למערכת; לעיתים די לו לשתול הוראה במקום שהסוכן סומך עליו. הבעיה אינה רק שהתוקף מתוחכם יותר, אלא שהמערכת עצמה עלולה להפוך לשותפה שקטה לביצוע.

ארגונים רצים ליישם AI Agents משום שהרווחים בפרודוקטיביות אמיתיים. סוכן שיכול לחקור, לסכם, לנסח, להגיש ולעקוב אחר משימות בלי אדם בלולאה חוסך זמן וכסף. אבל במרוץ הזה נמסרת יכולת עצומה למערכות שלרוב אין להן זהות אבטחה ברורה, דרך אמינה להוכיח מי הן, או מנגנון סטנדרטי לאמת מי מוציא להן הוראות.

תחום אבטחת המידע כבר ראה כמעט כל סוג של כשל טכנולוגי, אך AI Agents מחזירים אותנו לטעויות היסוד של ראשית האינטרנט — רק שהפעם מדובר במערכות שפועלות מהר, רחב ולעיתים גם בלי פיקוח אנושי רציף. לכן האיום החדש אינו רק טכנולוגי; הוא גם תפיסתי. ארגונים עדיין מתייחסים לסוכן כאל כלי עזר, בזמן שבפועל הוא כבר מתקרב למעמד של גורם ביצוע.

השיחה על אבטחה מתחילה כמעט תמיד מאוחר מדי. עד שמישהו שואל את השאלות הקשות, הסוכן כבר מחובר למערכות חיות ומהימן. לפני שזה קורה, כל ארגון צריך לענות על חמש שאלות בסיסיות:

מי בעצם שלח את ההוראה? סוכן AI צייתן מטבעו. מתקפות Prompt Injection מצליחות משום שסוכנים אינם תמיד יודעים להבדיל בין הוראה לגיטימית לבין הוראה זדונית שהוטמנה בקובץ, בדף אינטרנט, בתגובה מכלי חיצוני או בהזמנה ליומן. הבעיה אינה רק מי ביקש פעולה, אלא מה קרה לכוונה המקורית בדרך לביצוע.

האם הסוכן יודע עם מי הוא באמת מדבר? כאשר סוכן קורא לשירות אחר, ל-API אחר או לסוכן אחר, נשאלת השאלה כיצד הוא מאמת את זהות הישות שמולו. כיום חלק גדול מהתקשורת הזו מבוסס על אמון מתוך הנחה, לא על אימות חזק. ככל שיותר תהליכים יתבססו על שרשראות של סוכנים, ההנחה הזו תהפוך מבעיה נקודתית לבעיה מערכתית.

מי אישר את הפעולה? בתחילת הפריסה מישהו נותן לסוכן token רחב מדי, וההרשאה הזמנית הופכת בפועל לברירת מחדל. עקרון Least Privilege קובע שלכל מערכת צריכות להיות רק ההרשאות שהיא צריכה, אך בעולם של agentic workflows המשימות משתנות דינמית וההרשאות נשארות.

האם ניתן לשחזר מה קרה ולמה? לוגים אינם מספיקים אם הם אינם מחברים בין פעולה, intent, הרשאה, זהות ותוצאה. בלי השרשרת הזו קשה לבצע forensics, להוכיח תאימות או להבין היכן התקבלה החלטה שגויה. בעולם של סוכנים, audit trail הוא תנאי בסיסי לאחריות.

כמה הרשאות הסוכן אוסף לאורך הדרך? סוכנים שקוראים לכלים, לסוכנים אחרים או למקורות הרשאה בזמן ריצה עלולים לצבור privileges שאיש לא העניק להם במפורש ברגע אחד. בהקשר agentic, Privilege Escalation לא תמיד נראה כמו מתקפה; לפעמים הוא נראה כמו פיצ'ר שעובד כמתוכנן.

כדי להבין את ממדי הבעיה, אפשר לחשוב על גישת קבלנים בעולם הפיזי. לא נותנים לקבלן מפתח ראשי לכל הבניין אם הוא צריך לעבוד רק בקומה אחת. נותנים לו גישה מוגבלת, מתעדים כניסה ויציאה, ומתכננים את המרחב כך שלא יוכל להגיע לכל מקום.

AI Agents הם למעשה קבלנים מהירים, צייתנים ובלתי נלאים. הפתרון אינו לוותר עליהם, אלא לבנות עבורם מודל גישה נכון מההתחלה. כאן Secure by Design מקבל משמעות מעשית מאוד. 

זהות לפני יכולת: לכל סוכן צריכה להיות זהות שניתן לאמת, ולא רק API key שקבור בקובץ קונפיגורציה.

קישור ה-intent: ההוראה המקורית צריכה להישאר מזוהה ומוגדרת בהיקפה לאורך כל שרשרת הביצוע.

Least Privilege דינמי: הרשאות צריכות להינתן לפי משימה, session והקשר — לא להיות מוקצות פעם אחת ונשכחות.

לוגים שמספרים סיפור: לא רק מה קרה, אלא גם למה — תוך חיבור בין פעולה, כוונה, הרשאה, זהות ותוצאה.

נדיר שיש הזדמנות שנייה לבסס את יסודות האבטחה לקטגוריה חדשה. החלון הזה כבר הוחמץ בעבר עם האימייל והענן; כעת נותר חלון הזדמנויות צר עבור Agentic AI, כל עוד הוא עדיין מתוכנן.

הארגונים שיצליחו לא יהיו אלה שיפרסו הכי הרבה סוכנים הכי מהר, אלא אלה שישאלו מוקדם מספיק מה מותר לסוכן לעשות, בשם מי, מול אילו מערכות ובאילו תנאים. סוכן AI שמציית לכל הוראה בלי לאמת את מקורה אינו רק עוזר אינטליגנטי; הוא גם attack surface יעיל. מהירות חשובה, אבל שליטה היא מה שהופך אותה לבת-קיימא.

מאת גיא חורש, מהנדס Presale סייבר (אבטחת מידע, AI, Identity, Applications) בבינת תקשורת מחשבים.

תגיות