המעבר של עולם הבינה המלאכותית ממודלים פסיביים של שפה (LLMs) למערכות סוכנותיות (Agentic AI) מייצג את נקודת המפנה המשמעותית ביותר באסטרטגיית ההגנה הארגונית מאז המעבר המסיבי לענן.
אם שנת 2023 הייתה שנת ה"צ'טבוט" ושנת 2024 הייתה שנת הפיילוטים, הרי ששנת 2025 ומחציתה הראשונה של 2026 מסמנות את השלב שבו ה AI הפסיק להיות כלי שעונה על שאלות והפך לישות שפועלת באופן עצמאי בתוך הרשת הארגונית. שינוי זה אינו רק שדרוג טכנולוגי, זהו שינוי יסודי במשטח התקיפה הדורש מאיתנו "להפוך את התסריט" ולעבור מהגנה פסיבית מבוססת סריקות וזיהוי חתימות להגנה התקפית המבוססת על סימולציה של דפוסי חשיבה של האקרים.
מערכות Agentic AI נבדלות ממודלים גנרטיביים מסורתיים ביכולתן לקבל מטרה כללית ולפרק אותה לסדרת משימות מורכבת הכוללת פתיחת קבצים, שליחת מיילים, הרצת קוד, שאילתות לבסיסי נתונים והפעלה של כלי צד שלישי – כל זאת ללא מעורבות אנושית בכל צעד. היכולת הזו, המכונה "אוטונומיה סוכנותית", יוצרת פרדוקס אבטחה מובנה: כדי שהסוכן יהיה יעיל, הארגון חייב להעניק לו הרשאות רחבות, גישה למידע רגיש ויכולת פעולה במערכות קריטיות. אותן הרשאות בדיוק הן שהופכות את הסוכן ליעד האטרקטיבי ביותר עבור תוקפים מודרניים. מחקרים עדכניים מצביעים על כך ש-71% מפריסות הסוכנים בארגונים התבצעו ללא מוכנות אבטחה מספקת, מה שיוצר "חור" בצורת AI בתוך ארכיטקטורת ה Zero Trust המסורתית.
משבר הזהות הלא-אנושית: הפיצוץ הדמוגרפי של ה NHI
המעבר לארגון אגנטי (Agentic Enterprise) חולל משבר חסר תקדים בתחום ניהול הזהויות והגישה (IAM) . ככל שסוכנים אוטונומיים הופכים לחלק בלתי נפרד משרשרת הערך הארגונית, אנו עדים לגידול מעריכי בכמות הזהויות הלא-אנושיות
(Non-Human Identities – NHI) . נכון לתחילת 2026, זהויות אלו עולות על מספר המשתמשים האנושיים ביחס של 144 ל-1. זהויות אלו פועלות במהירות מכונה, מה שמקצר באופן דרסטי את חלון הזמנים של צוותי האבטחה לזיהוי חריגות או אכיפת משילות.
הבעיה המרכזית בזהויות אגנטיות היא שהן אינן פועלות לפי דפוסי גישה אנושיים צפויים. סוכן עשוי להיווצר למשימה ספציפית, לרשת הרשאות ממשתמש אנושי, ולהפעיל אלפי קריאות API בשניות בודדות. מערכות ההגנה הקיימות תוכננו לזהות חריגות בהתנהגות, אך עבורן סוכן שמריץ קוד 10,000 פעמים ברצף נראה תקין לחלוטין, גם אם הוא מבצע פעולות זדוניות בשירותו של תוקף.
השוואה בין ניהול זהויות אנושי לזהויות אגנטיות
| מאפיין | זהות אנושית
(Human IAM) |
זהות אגנטית (Agentic NHI) |
| מהירות פעולה | מוגבלת אנושית (שניות/דקות) | מהירות מכונה (מילישניות) |
| משך קיום הזהות | ארוך טווח (חודשים/שנים) | קצר מועד או משימתי (שניות/שעות) |
| שיטת אימות | סיסמה/ביומטריMFA | מפתחות קריפטוגרפייםOAuth/MCP |
| קבלת החלטות | דטרמיניסטית/מבוססת חוקים | הסתברותית/לא-דטרמיניסטית |
| יכולת ניטור | יומני משתמש/כתובות IP | נתיבי הרצה/הקשר (Context)/לוגים של API |
טבלה: השוואה בין ניהול זהויות אנושי לזהויות אגנטיות
חוסר המוכנות של ארגונים לניהול זהויות אלו מודגש על ידי העובדה ש-97% מהזהויות הלא-אנושיות מחזיקות בהרשאות יתר (Excessive Privileges), ו-91% מהטוקנים של עובדים שעזבו נותרים פעילים במערכות ה .AI עבור CTO או CISO זהו מצב בלתי נסבל המחייב מעבר למודל של "אבטחה מבוססת הקשר" (Context-Aware Security) שבו הזהות אינה נבחנת רק לפי מי היא, אלא לפי מה שהיא מנסה להשיג ומהם גבולות הגזרה שהוגדרו לה מראש.
פרוטוקול MCP : הדלת האחורית החדשה לארגון
אחד השינויים הטכנולוגיים המרכזיים שאפשרו את פריצת הדרך של הסוכנים
הוא ה- Model Context Protocol (MCP) פרוטוקול זה, שפותח במקור על ידי Anthropic והפך לסטנדרט דה-פקטו בתעשייה, משמש כ"רקמת חיבור" המאפשרת לסוכני AI לגשת למשאבים חיצוניים כמו בסיסי נתונים, שרתי קבצים וכלי SaaS . עם זאת, המהירות שבה אומץ הפרוטוקול עקפה את היכולת של כלי האבטחה לעקוב אחריו. מחקרים מתחילת 2026 מצאו כי כמעט 7,000 שרתי MCP החשופים לאינטרנט פעלו ללא מנגנוני אימות כלל.
הסכנה המרכזית ב MCP טמונה בשכבת ההקשר (Context-Layer) . בניגוד למתקפות רשת מסורתיות, מתקפות על שכבת ההקשר אינן מחייבות פריצה למודל עצמו או גניבת אישורים. התוקף פשוט מזריק "הוראות זדוניות" לתוך המידע שהסוכן צורך, למשל בתוך מסמך PDF , אימייל או תגובה ב .GitHub הסוכן, שסומך על המידע המגיע מהשרת המורשה, מטמיע את ההוראות בתוך תהליך החשיבה שלו ומבצע אותן כאילו היו פקודות לגיטימיות של המפעיל.
וקטורי תקיפה מרכזיים בארכיטקטורת MCP
- Tool & Schema Poisoning – תוקף משנה את המטא-נתונים של הכלי שהסוכן מורשה להפעיל. לדוגמה, סוכן המיועד לקרוא נתונים בלבד עלול להיות מובל להפעלת פקודת מחיקה אם התוקף הצליח להזריק פרמטרים זדוניים להגדרת הכלי.
- Confused Deputy – שרת MCP עלול לבצע פעולות בשם המשתמש מבלי לוודא שלמשתמש הספציפי יש את ההרשאות הנדרשות. התוקף מנצל את האמון המובנה בין הסוכן לשרת כדי לעקוף בקרות גישה.
- Indirect Prompt Injection – הטמנת הוראות נסתרות בתוך קבצים לגיטימיים שהסוכן אמור לסכם או לעבד. מקרה מתועד ב-2025 הראה כיצד תוקפים השתמשו בשרת MCP של GitHub כדי להזריק הוראות שחטפו סוכן ויזמו חילוץ נתונים ממאגרים פרטיים.
- Shadow MCP – פריסה לא מבוקרת של שרתי MCP על ידי מפתחים יוצרת ערוצי תקשורת בלתי נראים בתוך הרשת, המאפשרים לתוקפים לנוע לרוחב הארגון ולחלץ מידע ללא השארת עקבות במערכות הניטור המסורתיות.
העובדה ששרתי MCP פועלים לעיתים קרובות עם הרשאות כתיבה למערכות קריטיות הופכת אותם לנקודת תורפה אסטרטגית. תוקף שהשתלט על טוקן OAuth המאוחסן בשרת MCP יכול לגשת להיסטוריית האימיילים, למסמכים בענן ולבסיסי נתונים מבלי לעורר התראות, שכן הפעילות נראית כגישת API לגיטימית.
Agentic Kill Chain
כדי להתמודד עם האיום החדש, עלינו להבין את מחזור החיים של מתקפה המופעלת על ידי סוכן אוטונומי. מחקרים עדכניים הציגו את מודל "Agentic Kill Chain", המרחיב את המודלים הקלאסיים של MITRE ומוסיף שלבים ייחודיים לעידן ה AI האוטונומי. המאפיין הבולט ביותר של שרשרת זו הוא "דחיסה זמנית": פעולות שבעבר לקחו להאקר אנושי ימים או שבועות (כמו סריקת רשת, הסלמת הרשאות וחילוץ נתונים) מתבצעות כעת בתוך דקות בודדות.
שלבי Agentic Kill Chain (AKC)
| מזהה שלב | שם השלב | תיאור המנגנון וההשפעה |
| AKC.01 | חטיפת מטרת הסוכן | שימוש בהזרקת הנחיה כדי לשנות את המשימה המקורית של הסוכן למשימה זדונית. |
| AKC.02 | רכישת זהות | גניבת זהויות לא-אנושיות (NHI) או טוקנים כדי לקבל גישה ראשונית למערכת האגנטית. |
| AKC.03 | הרעלת כלים | פגיעה בכלים שהסוכן מורשה להפעיל, כך שכל פעולה לגיטימית תגרור תוצאה זדונית. |
| AKC.04 | הסלמת אמון | ניצול האמון בין סוכנים שונים בתוך מערכת רב-סוכנית כדי לעקוף שערים ביטחוניים. |
| AKC.05 | הרצה אוטונומית | השלב שבו הסוכן מבצע 80%–90% מהמשימות ללא התערבות אנושית. |
| AKC.06 | חילוץ נתונים | הוצאת מידע רגיש במהירות מכונה . |
| AKC.07 | השפעה משורשרת | יצירת נזק מצטבר במערכות המשך כתוצאה מהחלטות אוטונומיות שגויות. |
טבלה: שלבי AKC) Agentic Kill Chain)
דוגמה חיה לכך היא אירוע ה GTG-1002 מסוף 2025, שבו סוכן אוטונומי הצליח לבצע קמפיין ריגול שלם כמעט ללא מעורבות אנושית. במקרה זה, הסוכן ניצח על תהליכי סריקה, ניצול חולשות והתבצרות ברשת בקצב שבו מגיני הסייבר האנושיים לא יכלו אפילו לפתוח כרטיס תקלה. המסקנה היא ברורה: אל מול מהירות מכונה, אנו זקוקים להגנה במהירות מכונה, אך כזו שמונחית על ידי הבנה עמוקה של ה"ראש" של התוקף.
חשיבה התקפית כסטנדרט הגנה
הדרך היחידה לאבטח את הארגון האגנטי היא לחשוב, לפעול ולהגיב כמו התוקף. מערכות הגנה מסורתיות מחפשות "מה שבור", אך האקרים מחפשים "מה אפשרי". בעידן ה-Agentic AI , התוקף אינו מחפש רק חורי אבטחה בקוד; הוא מחפש חורים בלוגיקה של הסוכן ובהרשאות שניתנו לו.
במקום להציג למנהל אבטחת המידע עוד רשימה אינסופית של פגיעויות, מראים לו בדיוק איך האקר היה חודר לארגון שלו באמצעות ניצול סוכניAI הקיימים.
- סימולציה מעבר לסריקה: סריקה פסיבית לא תגלה שסוכן שירות הלקוחות שלכם יכול להיות משוכנע להעביר כספים אם מזריקים לו הנחיה מתוחכמת. רק סימולציה התקפית אקטיבית תחשוף זאת.
- נראות משתנה: הופכים את משטח התקיפה לנראה. הארגון מקבל תמונה ברורה של המשאבים החשופים שלו ושל מה שתוקף יכול לעשות עם ההרשאות שניתנו לסוכנים.
- אסטרטגיה למנהלים: סביבה שבה הנהלה בכירה יכולה לחוות תרחישי תקיפה חיים, להבין את חשיפת הסיכונים הדיגיטליים שלהם ולקבל החלטות מושכלות בזמן אמת.
בעולם שבו סוכן יכול להפוך ל"זומבי" המופעל מרחוק על ידי שרת פיקוד ובקרה (C2) לאחר שקרא דף אינטרנט תמים לכאורה, עלינו לאמץ הגנה אקטיבית. זהו המעבר מ"אבטחת מידע" ל"חוסן אגנטי".
מנגנוני הגנה מתקדמים: ארגז חול וניטור התנהגותי
כאשר הארגון עובר לרמות גבוהות של אוטונומיה (Scopes 3 and 4) לפי מטריצת הAWS עלינו להטמיע מנגנוני הגנה טכניים שמגבילים את יכולת הנזק של הסוכן גם אם הוא נחטף. המושג המרכזי כאן הוא "ארגז חול- (Sandboxing) " יצירת סביבה מבודדת שבה הסוכן פועל, ללא גישה ישירה למערכות הליבה של הארגון.
מטריצת המשילות האגנטית ובקרות אבטחה
| רמת אוטונומיה | הגדרת סוכן | מנגנון הגנה מרכזי |
| Scope 1 | קריאה בלבד (Read-only) | בקרת שלמות התהליך ואימות גבולות הגישה. |
| Scope 2 | פעולה מונחית אדם | אבטחת תהליכי אישור אנושיים (HITL) ומניעת הסלמת הרשאות. |
| Scope 3 | אוטונומיה מפוקחת | ניטור בזמן אמת ו"מתגי ניתוק" (Kill Switches) אוטומטיים. |
| Scope 4 | אוטונומיה מלאה | אימות התנהגותי רציף ומערכות תגובה אוטונומיות. |
טבלה: מטריצת המשילות האגנטית ובקרות אבטחה
הטמעת ארגז חול אינה מסתכמת בשימוש ב Containers רגילים, שכן אלו חולקים ליבה (Kernel) עם המארח וחשופים לפריצות. הגישה המודרנית מחייבת שימוש בטכנולוגיות כמו microVMs כדוגמת AWS Firecracker) ) או WebAssembly) Wasm ) המציעות בידוד חזק ברמת החומרה עם זמני עליה מהירים במיוחד. בנוסף, יש לאכוף מדיניות של "מינימום הרשאות לסוכן". סוכן שצריך לקרוא קובץ מסוים אינו זקוק להרשאות כתיבה לכל מערכת הקבצים, וכל קריאת רשת שלו חייבת לעבור דרך פרוקסי המאשר רק דומיינים ברשימה לבנה .
המלצות למנהלי טכנולוגיה
המעבר ל Agentic AI אינו אופציה, הוא הכרח עסקי, אך האוטונומיה מביאה איתה משטח תקיפה חדש וקטלני. הלקח המרכזי עבור כל CISO ו CTO הוא שאי אפשר להגן על סוכני AI באמצעות כלים שנועדו להגן על משתמשים אנושיים.
- מיפוי ומשילות NHI : התחילו במיפוי מלא של כל הזהויות הלא-אנושיות בארגון.
- אימוץ אבטחת MCP : הטמיעו שער אבטחה (Gateway) לכל תקשורת המבוססת על פרוטוקול MCP . אכפו אימות הדדי (Mutual TLS) ונטרו את שכבת ההקשר כדי למנוע הזרקות הנחיה עקיפות.
- הגנה התקפית רציפה: אל תסתפקו בסקרי סיכונים תקופתיים. השתמשו בסימולציות התקפיות כדי לאתגר את הסוכנים שלכם באופן יומיומי.
- בידוד ואוטונומיה מדורגת: הטמיעו סביבות ארגז חול לכל סוכן בעל יכולת הרצת קוד או גישה לנתונים רגישים. התקדמו במעלה מטריצת האוטונומיה רק לאחר שווידאתם שיש לכם "מתגי ניתוק" יעילים.
בסופו של יום, השאלה אינה האם הסוכנים שלכם יותקפו, אלא האם בניתם ארכיטקטורה שמאפשרת להם לפעול בביטחון גם בעולם עוין. הארגונים שישרדו את העשור הבא הם אלו שישכילו לבנות חוסן אגנטי המשלב בין המהירות של ה AI לחשיבה האסטרטגית של ההאקר.
ישי שוורץ, מנהל צוות Red Team וחוקר AI , ארמורי דיפנס קרדיט: מורן שוורץ
