@Claudeהוא פועל במצב "אמביינטי" (סביבתי): עוקב ברציפות אחר שיחות, לומד את הקשר הערוץ, ומתערב ביוזמתו כדי לסמן עדכונים או להעלות משימות . ההרשאות שלו מוגדרות לערוץ בו הוא נמצא, ולא למשתמש בודד. זה מאפשר למנהלים להגדיר סטים שונים של כלים, גישה לנתונים ומגבלות הוצאה על בסיס כל ערוץ בנפרד
.
מאחורי הקלעים, כל סשן של Claude Tag רץ על מודל Opus 4.8 בתוך מכונה וירטואלית מיניאטורית (microVM) מנוהלת על ידי Anthropic. האישורים להתחברות למערכות חיצוניות נשמרים מחוץ ל-VM, הגישה לרשת עוברת פרוקסי, והכלים הם לקריאה בלבד לצורך בידוד . השימוש בערוץ מחויב לארגון בתעריפי API, ולא לפי משתמש, מה שהופך את מודל התמחור הארגוני המסורתי
.
הממצא של Tego AI אינו עומד בפני עצמו. הוא מצטרף לשני אירועים מרכזיים נוספים מאמצע 2026, החושפים יחד משבר באבטחת סוכני AI ארגוניים.
ב-30 ביוני 2026, חוקר עצמאי בשם "Thereallo" ביצע הנדסה הפוכה ל-Claude Code וגילה קוד JavaScript מוסתר שביצע טביעת אצבע למיקום הגיאוגרפי של משתמשים (באמצעות בדיקות אזור זמן) ושינה את ההנחיות המערכתיות (system prompts) באמצעות תווי Unicode דמויי-מראה – גרש מסולסל במקום ישר, לוכסן במקום קו – כדי ליצור סימן מעקב סמוי שזוהה על ידי השרתים של Anthropic . מסד הנתונים הלאומי לפגיעויות של סין (NVDB) פרסם התראת אבטחה רשמית על "דלת אחורית" ב-8 ביולי, המכסה את גרסאות Claude Code 2.1.91 עד 2.1.196
. ענקית האי-קומרס הסינית עליבאבא (Alibaba) אסרה על השימוש ב-Claude Code בארגון זמן קצר לאחר מכן
. Anthropic כינתה זאת "ניסוי נגד ניצול לרעה" והסירה את המנגנון ב-1 ביולי
.
תשתית פרוטוקול ה-MCP (Model Context Protocol), שעליה מתבססים Claude Tag וסוכני AI רבים אחרים, נמצאה ככוללת כשלי תכנון מערכתיים. ממצאים מרכזיים מ-2026:
exec() או shell injection), ו-13% כרוכים במעבר נתיבים (path traversal) ארגונים הפרוסים Claude Tag וכלי AI סוכנותיים דומים עומדים בפני איום משולש: משטחי תקיפה של הזרקת הנחיות (prompt injection) בשכבת ההפעלה של הסוכן (ממצא Tego AI), מעקב צד-ספק אטום בכלי הסוכן (גשש Claude Code), ותשתיות ברירת מחדל לא מאובטחות במערכת ה-MCP המחברת בין סוכנים, כלים ונתונים.
כשלי ניהול זהות וגישה (IAM) מתרחבים במהירות כאשר לסוכן קבוע כמו Claude Tag יש גישה רחבה לכלים וניתן להפעילו באמצעות אזכורים מזויפים . ניהול API מסורתי אינו מספיק לזרימות עבודה סוכנותיות, מכיוון שסוכנים אינם פועלים לפי מודלי הרשאות פר-משתמש או דפוסי בקשה-תגובה
. הסיכון בשרשרת האספקה הוא עצום: פגיעות במימוש הייחוס של MCP מתפשטת לכל הפצה במורד הזרם
. שקיפות וביקורתיות נותרות בעיות קריטיות – גשש Claude Code הוסתר בקוד JavaScript ממוזער (minified) והתגלה רק על ידי הנדסה הפוכה חיצונית, מה שאומר שצוותי האבטחה הארגוניים אינם יכולים להסתמך על חשיפה עצמית של הספק
.
הסלמה רגולטורית כבר בעיצומה, כאשר ה-NVDB הסיני פרסם התראות ברמה ממשלתית וארגונים כמו עליבאבא פרסמו איסורים מוחלטים . התמונה המשולבת היא שאבטחת סוכני AI ארגוניים ב-2026 דורשת גישה חדשה לחלוטין – כזו המתייחסת לסוכנים קבועים כתשתית קריטית הדורשת בקרות זהות, גישה ושרשרת אספקה קפדניות.
@Claude גם ממקורות אוטומטיים, מה שמאפשר התקפות הזרקה