הגבול הדק בין סוכן בינה מלאכותית לסודות הארגון: דליפת ה-Claude Code והאיום המתרחב

משטח תקיפה זה – שבו הנחיות בשפה טבעית המוזרקות לנתונים הופכות לפקודות ברות-ביצוע – הוא הליבה של הזרקת הנחיות (Prompt Injection), וקטור איום שמגדיר במהירות את נוף האבטחה עבור סוכני AI.

טלאי מקדים: ציר הזמן של החשיפה

פרט קריטי הוא שזו הייתה חשיפה מתואמת שבה התיקון הגיע קודם.

• 5 במאי 2026: Anthropic שחררה את Claude Code 2.1.128, אשר הפחית את הפגיעות על ידי התאמת ארגז החול של כלי ה-Read לניקוי הסביבה שכבר יושם בנתיבי ביצוע אחרים .
• 5 ביוני 2026: מיקרוסופט פרסמה את ניתוח האיומים המפורט שלה, תוך שימוש במקרה הבוחן כדי לספק המלצות אבטחה דחופות לכל התעשייה .

מעבר לבאג בודד: שבע דרכים חדשות שבהן מערכות AI סוכניות נכשלות

חשיפת ה-Claude Code נחתה על רקע הערכת אבטחה מקיפה יותר. יום קודם לכן, ב-4 ביוני 2026, צוות ה-AI Red Team של מיקרוסופט פרסם את גרסה 2.0 של טקסונומיית כשלים במערכות AI סוכניות (Taxonomy of Failure Modes in Agentic AI Systems) . עדכון גדול זה, המבוסס על שנים-עשר חודשים של תחקירי תקיפה אמיתיים נגד סוכנים פעילים, הוסיף שבע קטגוריות חדשות לחלוטין של כשלים, המתרחבות הרבה מעבר לפגם ביצוע קוד בודד.

מצבי הכשל החדשים מייצגים הסלמה משמעותית באופן שבו חוקרי אבטחה חושבים על מערכות AI אוטונומיות:

1. פשרה בשרשרת האספקה הסוכנית (Agentic Supply Chain Compromise): בניגוד למתקפות שרשרת אספקה מסורתיות שמעבירות קוד זדוני, זו כוללת תוספים, שרתי MCP או תבניות הנחיות שנפרצו, שמזריקים הנחיות בשפה טבעית כדי לשנות את התנהגות הסוכן מבלי להפעיל סורקי קוד .
2. חטיפת מטרה (Goal Hijacking): יריב יוצר הנחיות שנראות כמסייעות להשלים משימה לגיטימית, אך מפנות מחדש בשקט את המטרה הסופית של הסוכן. הסוכן נותר לא פגוע מנקודת מבט תוכנתית, אך נוצל כנשק לטובת מטרת התוקף .
3. הסלמת אמון בין סוכנים (Inter-Agent Trust Escalation): במערכות מרובות סוכנים, סוכן שנפרץ יכול לטעון לזהות בעלת אמון גבוה יותר או להרשאות מנופחות למתזמר מרכזי שאינו מאמת אותן באופן עצמאי. זוהי גרסת שפה טבעית לבעיה הקלאסית של "השליח המבולבל" (Confused Deputy) .
4. מתקפה חזותית על סוכן משתמש מחשב (Computer Use Agent - CUA): סוכנים המפעילים ממשקים גרפיים יכולים להיות מטופלים על ידי מידע חזותי שאינו ברור לאדם, כגון טקסט מוסתר, אלמנטים מחוץ למסך, או תמונות המטמיעות מטען של הזרקת הנחיה .
5. זיהום הקשר סשן (Session Context Contamination): מתקפה מתוחכמת שבה יריב מכניס מידע מוטה או זדוני בשלב מוקדם בסשן סוכן ארוך ורב-שלבי. מידע זה עשוי שלא להפעיל בקרת בטיחות באף שלב בודד, אך משחית את ההיגיון של הסוכן בפעולה עוקבת, לכאורה בלתי קשורה .
6. שימוש לרעה ב-MCP/תוסף (MCP / Plugin Abuse): מיקוד מעודכן במשטחי תקיפה ספציפיים לפרוטוקול ההקשר של המודל (MCP) וארכיטקטורות תוספים, שהופכים לדרך הסטנדרטית להרחבת יכולות הסוכן .
7. חשיפת יכולות / ארכיטקטורה (Capability / Architecture Disclosure): ניתן לגרום לסוכן עצמו להדליף פרטי תכנון פנימיים רגישים – כגון סכמות כלים, ממשקי זיכרון, או הלוגיקה שמפעילה אישור אנושי – מה שנותן לתוקף תוכנית למתקפות עתידיות ומדויקות יותר .

טקסונומיה מורחבת זו העבירה את המסגרת מ-27 מצבי הכשל המקוריים שלה ל-34, ומשקפת את המורכבות הגוברת והטביעת רגל בעולם האמיתי של מערכות סוכניות .

הקשחת צינורות CI/CD בעולם סוכני

בתגובה למקרה ה-Claude Code ועדכון הטקסונומיה הרחב יותר, מיקרוסופט תיארה סדרת המלצות אבטחה לכל צוות שמשלב סוכני AI בצינורות הבנייה (build pipelines) שלו. ההנחיות מדגישות כי בידוד חלקי הוא נוחם שקרי.

• התייחסו לכל תוכן לא מהימן כווקטור הזרקה: לעולם אל תפעילו אוטומטית זרימת עבודה של סוכן AI על דיווחי באגים, בקשות משיכה או תגובות מתורמים חיצוניים. יש להתייחס לתוכן זה כקלט שעלול להיות עוין .
• בדדו כלים באופן עקבי: הפער בין כלי ה-Bash המבודד לכלי ה-Read הלא-מבודד הדגים כי ניקוי משתני סביבה חייב להיות מיושם באופן אחיד. כלי אחד לא מבודד יכול לסכן זרימת עבודה שלמה .
• יישמו את עקרון ההרשאה המינימלית (Least Privilege): למפתחות ה-API ואסימוני הגישה של הסוכן עצמו צריכים להיות הטווח הצר ביותר האפשרי, כדי להגביל את הנזק במקרה של חשיפה. השתמשו ב-OIDC לאישורים קצרי-טווח וממוקדי-מטרה כשניתן .
• בקרו את חוויית האדם בלולאה (Human-in-the-Loop): בקרות אבטחה שתלויות בסקירה אנושית עלולות להיכשל אם מטען המתקפה מוסתר בתגובות Markdown גולמיות או HTML שהסוקר לעולם לא רואה. שלב האישור האנושי חזק רק כמו מה שנעשה גלוי לאישור .
• מצאי את שרשרת האספקה של הסוכן: צוותים צריכים לייצר תצהיר רכיבי תוכנה (SBOM) עבור כל סוכן פרוס, תוך שיקוף של שקיפות שרשרת האספקה שהיא כיום סטנדרט לתוכנה מסורתית .

שזור לאורך הנחיות אלו עיקרון ארכיטקטוני מרכזי שקהילת האבטחה מכנה "כלל השתיים" (Rule of Two). הכלל, שמקורו במסגרת של Meta מאוקטובר 2025 לאבטחת סוכנים פרקטית, קובע כי סוכן צריך לעמוד בלא יותר משניים מתוך שלושת התנאים הבאים: עיבוד קלטים לא מהימנים, גישה לנתונים רגישים, ויכולת לבצע פעולות שמשנות מצב חיצוני . פרצת ה-Claude Code הייתה הפרה קלאסית של עיקרון זה, שכן הסוכן טיפל בו-זמנית בקלט מבקשת משיכה לא מהימנה והחזיק באישורים רבי-עוצמה.