25.02.2026
רביעי
ח' באדר התשפ"ו
▲︎ לוהט
▲︎ חם
▲︎ עוררו עניין
הכותרות שעניינו הכי הרבה גולשים בדף זה
לפני 7 שעות
4.25% מהצפיות
מאת אנשים ומחשבים
חוקרי צ'ק פוינט חשפו חולשות קריטיות ב-Claude Code, סוכן ה-AI לקידוד של אנת'רופיק, שאפשרו הרצת קוד מרחוק וגניבת מפתחות API – כך מפרסמת ענקית הגנת הסייבר הישראלית היום (ד').
על פי המחקר, הפעולות האסורות התאפשרו באמצעות ניצול מנגנונים מובנים כגון Hooks, אינטגרציות MCP (ר"ת Model Context Protocol) ומשתני סביבה. כך, תוקפים יכולים היו להריץ פקודות Shell שרירותיות ולחלץ מפתחות API – כאשר מפתחים שיבטו ופיתחו פרויקטים לא מהימנים, וזאת בלא כל פעולה נוספת, מעבר להפעלת הכלי עצמו. באופן זה, קבצי תצורה (קונפיגורציה) זדוניים ברמת המאגר הופעלו פשוט על ידי שיבוט ופתיחת פרויקט לא מהימן, ואפשרו את הביצוע הפעולות האסורות.
החולשות, בדרגת חומרה קריטית, סווגו כ-CVE-2025-59536 ו-CVE-2026-21852.
לפי החוקרים, "מנגנונים מובנים עלולים להיות מנוצלים כדי לעקוף בקרות אמון – עוד לפני קבלת הסכמת המשתמש".
הם הסבירו שמפתחות ה-API הגנובים של אנת'רופיק "יצרו סיכון רוחבי לארגונים, במיוחד בסביבות עבודה משותפות, שבהן מפתח שנפגע עלול היה לחשוף, לשנות או למחוק קבצים ומשאבים משותפים, ואף לייצר עלויות לא מורשות".
"שינוי רחב במודל האיומים של שרשרת האספקה"
"ממצאי המחקר שלנו מדגישים שינוי רחב יותר במודל האיומים של שרשרת האספקה בעידן ה-AI", כתבו חוקרי צ'ק פוינט. "קבצי קונפיגורציה ברמת המאגר מתפקדים כיום כחלק משכבת ההרצה, ודורשים בקרות אבטחה מעודכנות להתמודדות עם סיכוני אוטומציה המונעים על ידי AI". לדבריהם, "ככל שארגונים מאמצים במהירות כלי פיתוח מבוססי בינה מלאכותית סוכנית (Agentic AI) ומשלבים אותם בתהליכי העבודה הארגוניים, גבולות האמון בין קונפיגורציה להרצה מיטשטשים יותר ויותר".
החוקרים הסבירו כי "בפועל, קבצי קונפיגורציה שנועדו לייעל שיתוף פעולה הפכו למסלולי הרצה פעילים, והכניסו וקטור תקיפה חדש בשכבת הפיתוח מבוססת ה-AI, שמשולבת כיום בשרשרת האספקה הארגונית".
עוד הם כתבו כי "Claude Code תוכנן לייעל שיתוף פעולה באמצעות הטמעת קבצי קונפיגורציה ברמת הפרויקט ישירות בתוך מאגרים. הקבצים, הנתפסים כמטה-דאטה תפעולית תמימה, עלולים לתפקד כשכבת הרצה פעילה, המאפשרת פעולות מסוכנות ואסורות. מה שנועד לייעל שיתוף פעולה הפך בפועל לווקטור תקיפה שקט בתוך תהליך פיתוח מבוסס AI".
"המשמעות היא שפתיחה של מאגר זדוני עלולה לחלץ API פעיל של מפתח, להפנות תעבורת API מאומתת לתשתית חיצונית וללכוד אישורי גישה לפני קבלת החלטת אמון. בסביבות בינה מלאכותית שיתופיות, מפתח שנפגע עלול להפוך לשער לחשיפה ארגונית רחבה יותר", הסבירו.
על פי החוקרים, חשיפת מפתח API היא משמעותית, "כי באמצעות מפתח גנוב, תוקף עלול היה לגשת לקבצי פרויקט משותפים, לשנות או למחוק נתונים המאוחסנים בענן, להעלות תוכן זדוני או לייצר עלויות API בלתי צפויות. במערכות AI שיתופיות, מפתח חשוף בודד יכול להתרחב מחשיפה אישית להשפעה ברמת צוות".
"זהו סיכון חדש בשרשרת האספקה של כלי AI", סיכמו חוקרי צ'ק פוינט. "פלטפורמות פיתוח מודרניות נסמכות יותר ויותר על קבצי קונפיגורציה ברמת המאגר כדי למכן תהליכים ולייעל שיתוף פעולה. ככל שכלי הבינה המלאכותית מקבלים יכולת להריץ פקודות, לאתחל אינטגרציות חיצוניות ולהתחיל תקשורת רשת באופן אוטונומי – קבצי הקונפיגורציה הופכים בפועל לחלק משכבת ההרצה, ומשפיעים ישירות על התנהגות המערכת. זה משנה מהותית את מודל האיומים. הסיכון לא מוגבל עוד להרצת קוד לא מהימן – אלא מתרחב לפתיחת פרויקטים לא מהימנים".
לפני 8 שעות ו-32 דקות
4.03% מהצפיות
מאת גיקטיים
אזור ה-Newsroom של אפל הוא דרך מעולה לעקוב אחרי כל ההשקות של החברה ודיווחים מעניינים כמו רכישות של סטארטאפים – כמו למשל רכישת הענק של q.ai הישראלית לאחרונה – אבל באג-פיצ'ר חדש מאפשר לכם להשתמש במתחם הזה כדי להפיץ כל ידיעה שרק תרצו על אפל. אם גם פיד הרשתות החברתיות שלכם, כמו שלנו, התמלא בכותרות […]
לפני 7 שעות ו-4 דקות
3.82% מהצפיות
מאת גיקטיים
ארגונים משקיעים מיליונים בכלי אבטחה וגיבוי, אבל לא יודעים אם הם באמת יתפקדו ברגע האמת. למרות שלכל ארגון יש תוכנית התאוששות, התכניות נבנות על הנחות עבודה שנבדקות אחת לרבעון, במקרה הטוב, ולא על המציאות שהיא הרבה יותר דינמית ומשתנה כל יום – עם שינויי תשתית, עדכוני קוד, כניסה של כלים חדשים ומשתמשים חדשים שעלולים לייצר […]
לפני 6 שעות ו-19 דקות
3.61% מהצפיות
מאת גיקטיים
בתקופה האחרונה כולם מדברים על Claude Code. בין אם ככלי שמשפר את חייהם של מפתחי התוכנה, כלי שנותן גם למוגלגים לפתח מוצרים מאפס וגם הכלי שמדי פעם נוהג לרצוח תחום חברות כלשהו. אבל עכשיו חושפים חוקרי אבטחה ישראלים שגם הוא מגיע עם כמה חולשות חמורות. פוטנציאל נזק אדיר חוקרי חברת הסייבר הישראלית Check Point זיהו […]
לפני שעתיים ו-34 דקות
3.4% מהצפיות
מאת גיקטיים
לפני דקות אחדות (ד') חשפה סמסונג את סדרת Samsung Galaxy S26 החדשה שלה, שכוללת 3 מכשירים, ו-2 אוזניות חדשות. כבר עכשיו, המחירים בישראל נחשפים, ואיתם גם ההטבות של המכירה המוקדמת שנפתחה היום. המסך עם הטריק ששומר על הפרטיות גם השנה סדרת ה-Galaxy S כוללת 3 דגמים שונים, ה-S26, ה-S26+ וה-S26 Ultra המתקדם, המשוכלל והיקר ביותר […]
לפני 4 שעות ו-45 דקות
3.18% מהצפיות
מאת גיקטיים
הגעתם לחברה חדשה. לסלאק התחברתם בקלות, אולי גם ל-Jira ול-Workspace – אבל אז אתם מגיעים לכלי או תוכנה שאתם לא מכירים או שבמקרה הטוב השתמשתם בהם קצת אבל אתם לא זוכרים ממש את כל ה-ins and outs שלהם. הסטארטאפ הישראלי Guidde יעזור לכם עם זה. לא רק לשפר את העובדים, אלא גם את הסוכנים הפיתוח […]
לפני 8 שעות ו-2 דקות
3.18% מהצפיות
מאת גיקטיים
כנס NVIDIA GTC, אירוע ה-AI המוביל בעולם, חוזר עם ההכרזות ופריצות הדרך הכי גדולות בתחום – ועם השידור המרכזי המצופה של מנכ"ל ומייסד החברה, ג'נסן הואנג. בכנס צפויים להשתתף עשרות אלפי מפתחות ומפתחים מרחבי העולם, לצד מיליוני צופים נוספים. הם יקבלו הצצה לפריצות הדרך שיעצבו את עתיד ה-AI ויקבלו הזדמנות לשדרג את היכולות שלהם בתחום […]
לפני שעה ו-13 דקות
2.55% מהצפיות
מאת עכשיו 14
סמסונג שמה את הדגש סדרת הדגל החדשה על ביצועי בינה מלאכותית עוצמתיים שעובדים ישירות על המכשיר עם מעבד ה-Snapdragon החדש ומערכת קירור משודרגת • בין החידושים הבולטים ניתן למצוא "תצוגת פרטיות" המגינה על המסך מפני מבטים מהצד וכלי עריכת תמונות מתקדמים המבוססים על פקודות בשפה חופשית