איך אפליקציות AI גרמו לחשיפת מידע צבאי?

חיילים בנו כלים תפעוליים בעזרת כלי AI כמו Cursor ו-Claude Code, ופרסו אותם בתשתיות ציבוריות ללא סטנדרטי אבטחה, מה שאפשר גישה פתוחה למידע רגיש.

מה הסיכון הארגוני בפיתוח עצמאי של כלי AI?

כשעובדים בונים מערכות ללא פיקוח מחלקת ה-IT, הנתונים הארגוניים עלולים להישמר בתשתיות חיצוניות לא מאובטחות, ולהיות חשופים לגורמים לא מורשים.

כיצד ארגון יכול לאפשר חדשנות עם AI מבלי לסכן מידע?

על ידי הקמת תהליך אישור מוסדר לכלים פנימיים, שימוש בסביבות פיתוח מבוקרות, ומדיניות ברורה לאחסון נתונים, הארגון מאפשר יוזמה בתוך מסגרת מאובטחת.

מדוע דליפות קטנות רבות מסוכנות יותר מדליפה גדולה אחת?

דליפות פזורות קשות יותר לזיהוי ולמעקב, ומצביעות על בעיית מבנה שיטתית ולא על אירוע בודד, מה שמקשה על תגובה ותיקון.

האם כלי AI לפיתוח קוד אחראים לפגיעות האבטחה?

הכלים עצמם אינם הגורם, אלא היעדר תהליך פיקוח סביבם. AI מייצר קוד פונקציונלי במהירות, אך אינו מחליף סקירת אבטחה ומדיניות ניהול נתונים.

כשחיילים בונים אפליקציות ב-AI: הסיכון האמיתי של פיתוח ללא בקרה

פיתוח מהיר, פיקוח אפסי: תמונה מוכרת בארגונים רבים

בדיקה של TheMarker חשפה תופעה מטרידה: כ-30 אפליקציות ואתרים לא רשמיים שנבנו על ידי חיילי סדיר ומילואים בעזרת כלי AI כמו Claude Code, Cursor ו-Codex, חשפו מידע אישי ומבצעי רגיש של יחידות צה"ל. רשימות לוחמים, מספרים אישיים, מספרי טלפון, סוגי נשק, סידורי שמירה ומשמרות עתידיות, כל אלה היו נגישים בפומבי, לעתים מאחורי סיסמה שהופיעה בתוך הקוד עצמו.

אחת המערכות שנבדקו הועלתה במלואה ל-GitHub, ובתוך קוד המקור ומסד הנתונים שלה אוחסנה רשימה מלאה של כ-600 לוחמים, כולל שמות, מקצוע אזרחי, מידות ציוד, ומידע על הנשק האישי. מערכת אחרת חשפה פרטי 54 חיילים מיחידה רפואית מבצעית, ובהם גם נתוני כשירות רפואית.

הבעיה האמיתית: לא דליפה אחת, אלא עשרות קטנות

המאפיין המדאיג ביותר של הממצאים הוא דווקא הפיזור. לא מדובר בפריצה למערכת מרכזית אחת, אלא בעשרות יוזמות מקומיות שכל אחת מהן חשפה בפני עצמה נתח קטן יחסית. יחד, הן יוצרות תמונה של מידע ארגוני שמפוזר במערכות חיצוניות ללא תיאום, ללא בקרה ביטחונית וללא סטנדרט אחיד.

זוהי תופעה שאנו רואים בארגונים רבים, הרבה מעבר לצבא: עובדים שמשתמשים בכלי AI זמינים לפתרון בעיות תפעוליות מיידיות, ובונים מערכות עצמאיות שנשארות מחוץ לטווח הראייה של מחלקות ה-IT והסייבר. כלי הפיתוח המבוססים על AI הפחיתו את חסם הכניסה לבניית תוכנה לאפס כמעט, אך לא הורידו כלל את הסיכון הנובע מאבטחה לקויה.

מה מאפשר את הפגיעות? שלושה גורמים מרכזיים

היעדר תהליך אישור: כשאין מסלול מוסדר לבניית כלים פנימיים, עובדים ולוחמים פועלים ביוזמה עצמאית ומחוץ לפיקוח.
שימוש בתשתיות ציבוריות: מאגרי קוד פתוח כמו GitHub, שירותי ענן חינמיים וכלי פיתוח כלליים אינם מתאימים לשמירת מידע ארגוני רגיש.
פיתוח ללא סקירת אבטחה: כלי AI יכולים לייצר קוד פונקציונלי במהירות, אך הם אינם מבטיחים שהקוד עומד בדרישות הגנת המידע.

הדרך הנכונה: מבנה ברור לפיתוח פנימי

הניסיון של R.A.S Group בבניית מערכות ליבה לארגונים מלמד שהבעיה אינה הטכנולוגיה, אלא היעדר מסגרת. ארגון שמקים תהליך מוסדר לפיתוח כלים פנימיים, עם אישורים, סביבות מבוקרות וסקירת אבטחה מינימלית, יכול להפיק את הערך שבכלי ה-AI מבלי לחשוף נתונים קריטיים.

הפתרון אינו לאסור על יוזמה. הוא להפנות אותה לתוך מסגרת מאובטחת: סביבות פיתוח מבוקרות, מדיניות ברורה לאחסון נתונים, ובדיקות אבטחה שגרתיות גם לכלים פנימיים קטנים. ארגון שמטמיע את המבנה הזה לא רק מגן על עצמו, הוא גם מאפשר לעובדיו לחדש בביטחה.

כשחיילים בונים אפליקציות ב-AI: הסיכון האמיתי של פיתוח ללא בקרה

פיתוח מהיר, פיקוח אפסי: תמונה מוכרת בארגונים רבים

הבעיה האמיתית: לא דליפה אחת, אלא עשרות קטנות

מה מאפשר את הפגיעות? שלושה גורמים מרכזיים

הדרך הנכונה: מבנה ברור לפיתוח פנימי

שאלות נפוצות