IT News פורטל המחשוב העסקי וההייטק של ישראל
אנו עדים למפגש של שלוש מגמות מסוכנות: ריכוז הסיכון בפלטפורמות בינה מלאכותית מרכזיות, התפשטות ממשקי API שאינם מנוהלים שמחברים בין מערכות אלו, וצמצום הפיקוח האנושי דווקא בזמן שבו הוא נדרש ביותר.
מאת: אופיר קפלושניק, מנהל תחום הנדסת פתרונות ב-F5 לאזורי ישראל, ספרד ויוון
עלייה בהתקפות מבוססות בינה מלאכותית בשנת 2025
שנת 2024 סימנה את המעבר של התקפות מבוססות בינה מלאכותית משלב הניסויים לשלב התקיפה השיטתית.
ראינו כיצד בינה מלאכותית לא רק מעצימה התקפות מוכרות, אלא גם מנגישה טכניקות מתקדמות כמו פריצות חומרה, שהיו בעבר נחלתם רק של שחקנים מובחרים. בשנת 2025, סביר להניח, שנראה החרפה בתחום זה, כאשר תוקפים ינצלו בינה מלאכותית כדי לחדור למערכות לאומיות ופדרליות בתקופות של חוסר יציבות ברחבי העולם.
עולם של בינה מלאכותית הוא עולם של ממשקי API
לקראת השנה הבאה, אנו נמצאים במרוץ עולמי לאימוץ בינה מלאכותית, שבו כל אחד – מעסקים קטנים ועד מדינות – מאמץ בינה מלאכותית בקצב מסחרר מתוך חשש ש"אם אנחנו לא נעשה זאת, 'הם' יעשו". לכל ארגון יש "הם" לדאוג מפניהם.
אך המרוץ הזה אינו נוגע רק למהירות האימוץ. הוא יוצר מעגל משוב מסוכן שבו הלחץ ליישם בינה מלאכותית במהירות, הופך אותנו לתלויים יותר ויותר בה, כדי לנהל את המורכבות שאנו יוצרים. אנו צופים דחיפה משמעותית לייעול מערכות ממשלתיות באמצעות אימוץ מהיר של בינה מלאכותית, מה שעשוי ליצור פגיעויות אבטחה משמעותיות.
במובנים רבים, אנו עדים לתהליך מסוכן שמזכיר את האימוץ המהיר של הענן בתחילת שנת 2010, אך הפעם עם סיכונים גבוהים יותר. ארגונים צריכים להתמקד בארכיטקטורת בינה מלאכותית והגנת עומק, כאשר אבטחת API מהווה נקודת שליטה קריטית. כל אינטראקציה עם בינה מלאכותית מתבצעת דרך ממשקי API, מה שהופך אותם הן למאפשרים והן לנקודת התורפה האפשרית של השינוי הזה.
כיום, רוב הארגונים אינם מודעים כראוי למערכת ה-API שלהם ולמשטח ההתקפה שלה. אנו נוהגים לומר, "עולם של בינה מלאכותית הוא עולם של ממשקי API". ממשקים אלו משמשים לאימון, שימוש ותקיפה של מודלים של בינה מלאכותית, וההערכה שלנו היא שכ-50% מהממשקים אינם מנוטרים ואינם מנוהלים.
לאומנות שרשרת אספקה
לאומנות שרשרת האספקה אינה עוסקת רק בהחזרת ייצור למדינות המקור – היא מכריחה חשיבה מחדש של הארכיטקטורה הדיגיטלית. ככל שהמתחים הגיאופוליטיים גוברים ומכסים חדשים עשויים להיכנס לתוקף, ארגונים שנמצאים בתווך בין דרישות ליעילות ובין הגבלות שרשרת האספקה ייצרו כנראה קטגוריות חדשות של סיכון מערכתי בניסיונם לעשות יותר עם פחות.
אנו צופים האצה בשימוש בגבולות גיאוגרפיים ובעננים ריבוניים. שרשראות אספקה קריטיות שלא ניתן להחזירן במהירות למדינות המקור עשויות להוביל למחסור ברכיבים ולעיכובים בפרויקטים קריטיים. במקביל, הדחיפה ליעילות מצד ממשלות מסוימות עשויה להפחית את יעילות בדיקות הנאותות וניהול הספקים, מה שיגדיל את הסיכונים מצד ספקי משנה בדרגות שלישית ורביעית.
כדי לנהל סיכונים אלו ולהפחית את מספר הספקים ואת בדיקות הנאותות הנדרשות, תוך התמודדות עם ירידה בכוח האדם, נראה התמקדות מוגברת באימוץ בינה מלאכותית ובאיחוד פלטפורמות כדי להפחית סיכוני שרשרת אספקה ולהבטיח שרכיבי מערכות קריטיות מסופקים על ידי ספקים אמינים.
סופה מושלמת של סיכונים מרכזיים
כעת אנו עדים למפגש של שלוש מגמות מסוכנות: ריכוז הסיכון בפלטפורמות בינה מלאכותית מרכזיות, התפשטות ממשקי API שאינם מנוהלים שמחברים בין מערכות אלו, וצמצום הפיקוח האנושי דווקא בזמן שבו הוא נדרש ביותר.
קיצוצי תקציב ודחיפות לייעול יובילו ארגונים לפתרונות "צל" מבוססי בינה מלאכותית, מה שירכז פגיעויות סביב מספר מצומצם של ספקי בינה מלאכותית. רכוז זה ייצור יעדי "Watering hole" מושלמים –תקיפה של מודל מרכזי אחד עשויה להשפיע על סוכנויות רבות.
אנו בונים מודל אחד ( מונוקולטורה) למערכות בינה מלאכותית המחוברות דרך ממשקי API שאינם מנוהלים, תוך הפחתת פיקוח וניהול.
בעיה נוספת היא אמון מופרז. כמו משתמשי GPS מוקדמים שירדו מהכביש לתוך שדות או לנהרות כי "המחשב אמר לפנות ימינה", שילוב של אמון מופרז בבינה מלאכותית ופיקוח מופחת עשוי להשפיע על קבלת החלטות של מדיניות, ניתוח מודיעין ואף על תגובה למצבי חירום. סופה מושלמת זו של סיכון מרכזי מתרחשת בדיוק בזמן שבו מלחמות אזוריות מגבירות את המתחים הגיאופוליטיים, ויריבים נהיים נועזים יותר בזיהוי נקודות תורפה.
