כך סוכני AI מייצרים לולאת אבטחה שלומדת בעצמה

גלו כיצד טכנולוגיית הבינה המלאכותית הסוכנית משנה את כללי המשחק באבטחת קוד, מייעלת את זיהוי הסיכונים ומפחיתה את העומס התפעולי על צוותי האבטחה בארגון

נועה ספרא-הורסקי, מדענית נתונים; רוני גורביץ', ראש תחום בינה מלאכותית; ומעין מרלוב, אנליסטית אבטחה; בחברת סייקוד.

במשך שנים, עולם אבטחת האפליקציות והתוכנה מסתמך על כלי סריקה המבוססים על חוקים קשיחים, ביטויי regex או חתימות סטטיות. חיסרון זה בולט במיוחד באתגר המורכב של איתור נתוני גישה רגישים – כמו מפתחות API, סיסמאות וטוקנים – שנוטים לדלוף אל הקוד. בעוד שכלים קלאסיים מזהים בקלות תבניות מוכרות של ספקים גדולים (כמו AWS או Slack), האתגר האמיתי נמצא בשטח האפור של התרעות גנריות (generic detections). אלו הן מחרוזות תווים אקראיות, שבמבט ראשון נראות למערכת כמו מפתח גישה פוטנציאלי, אך בפועל אינן שייכות לאף תבנית מוכרת או קבועה מראש.

עד היום, הטיפול בהתרעות גנריות אלה יצר צוואר בקבוק הנדסי מתיש ויקר. חוקרי אבטחה נאלצו לעבור ידנית על אלפי התרעות, ולנסות להבין מתוך הקשר הקוד אם מדובר בסיכון ביטחוני אמיתי – כלומר, במפתח פעיל שמאפשר גישה למערכות הארגון, או ברעש חסר משמעות, כמו קוד המשמש לבדיקות פנימיות בלבד. מודל עבודה סיזיפי זה אינו מסוגל לעמוד בקצב הפיתוח המודרני, שבו כלי GenAI מייצרים קוד במהירות שיא.

הרעיון העומד בבסיס ארכיטקטורה זו הוא הפיכת ה-AI מישות פסיבית המגיבה לקוד, לישות אקטיבית המנהלת, בוחנת ומייצרת את תשתית הזיהוי של עצמה

לולאת שיפור עצמי

הפתרון דורש שינוי עמוק יותר: מעבר למערכות המונעות על ידי סוכני בינה מלאכותית אוטונומיים המנהלים לולאת שיפור עצמי ברקע.

הרעיון העומד בבסיס ארכיטקטורה זו הוא הפיכת ה-AI מישות פסיבית המגיבה לקוד, לישות אקטיבית המנהלת, בוחנת ומייצרת את תשתית הזיהוי של עצמה. המערכת פועלת כלולאת פידבק רציפה, המורכבת מארבעה שלבים הנדסיים מרכזיים: 

סיווג באמצעות מודל למידה עמוקה קלאסי: הסיווג בזמן הריצה נעשה באמצעות מודל Deep Learning שאומן על מאגרי קוד פתוח עצומים. המודל מאפשר הבנה עמוקה יותר של הקונטקסט של הקוד סביב השורה החשודה בלי לשלם את המחיר החישובי של הפעלת מודל שפה גדול ובלי העיכוב בזמן שהוא מאלץ.

קליטה וסיווג: הממצאים הגנריים נקלטים במערכת וממוינים לפי שלוש קטגוריות: תיקונים לדטקטורים קיימים, מועמדים לספקים חדשים, ורעש (כמו מזהי GUIDs או אישורי בדיקה) שמסונן החוצה ומפחית את הרעש בכמעט 70%.

יצירת חוקים אוטונומית: ברגע שהאיג׳נט מזהה מקבץ מובהק וסטטיסטי של מפתחות גישה או סיסמאות אמיתיים בעלי מכנה משותף, הוא אינו מסתפק בדיווח או בהתראה. האיג׳נט מפעיל תהליך הנדסי ומנסח בעצמו חוקי זיהוי חדשים/מתקן חוקים קיימים, בין אם מדובר בקוד פייתון ממוקד, לוגיקה קונטקסטואלית או מודלים קטנים ויעילים שיוכלו לרוץ בזמן אמת במהירות ובזול. 

בקרת איכות ומניעת רגרסיה: זהו השלב הקריטי ביותר שמבטיח את יציבות המערכת. לפני שחוק הזיהוי החדש שנוסח אוטומטית על ידי ה-AI נכנס לשימוש, האיג׳נט מריץ אותו בסביבת סימולציה מול מאגר נתונים מבוקר המורכב ממיליוני שורות קוד פתוח נקי. האיג׳נט מוודא שהחוק החדש אכן משיג את הביצועים הנדרשים. כמו כן, לפני שהשינוי מגיע לסביבת לקוחות, אנליסטים מאשרים אותו ובכך מוודאים את איכות המערכת. 

נדרשת הקפדה חמורה להפרדת הנתונים בפיתוח

פיתוח לולאה אוטונומית כזו דורש הקפדה על מתודולוגיות קשוחות של מדע הנתונים. אחד האתגרים הגדולים באימון מודלים לאיתור סודות הוא סכנה של זליגת מידע, אם המודל נחשף במהלך שלבי הלמידה למבנה ספציפי של מפתח, או לסגנון הכתיבה של מאגר ספציפי, הוא עלול לשנן אותם במקום להבין את הלוגיקה הכללית שלהם. 

כדי למנוע זאת, המערכת מחייבת הפרדה מוחלטת של הנתונים בתהליך הלמידה. במקום לחלק את קטעי הקוד בצורה אקראית, שורה אחר שורה, החלוקה מתבצעת בבלוקים מבודדים, למשל, לפי סוג הספק או לפי מאגר הקוד שממנו הם נלקחו. הפרדה זו מונעת מהמודל לנסות לרמות באמצעות היכרות מוקדמת עם סביבת הקוד, ומאלצת אותו לפתח יכולת הבנה כללית ורחבה. רק כך האיג׳נט מסוגל להתמודד בהצלחה עם איומים, ספקים וטכנולוגיות חדשות לחלוטין שלא נראו מעולם במערכת. 

למרות הרמה הגבוהה של האוטונומיה, ארכיטקטורה מודרנית ואחראית בעולמות הסייבר אינה יכולה לוותר על הגורם האנושי, אלא מגדירה מחדש את תפקידו בשרשרת. במקום שחוקר האבטחה יבצע את העבודה הסיזיפית והשוחקת של חיפוש, מיון וכתיבת חוקים, הוא מתפקד כארכיטקט ומאשר (Validator). אייג'נט האוטונומי מגיש לחוקר האבטחה חבילת מידע שלמה וסגורה, הכוללת את הממצאים שנאספו, החוק החדש שהמכונה ניסחה, ותוצאות בדיקות הרגרסיה שמוכיחות שהחוק יציב ויעיל. הלחיצה הסופית על כפתור האישור היא ידנית ומבוקרת, אך כל העבודה המקדימה שארכה בעבר ימים ושבועות של מחקר מתבצעת בדקות ספורות על ידי המכונה. 

החדשות הטובות הן שעתיד אבטחת הקוד אינו נמצא במירוץ החימוש האבוד של בניית עוד ועוד חוקים ידניים, וגם לא בהסתמכות עיוורת על מודלי שפה גנריים ואיטיים בזמן אמת. פריצת הדרך האמיתית היא הנדסית, ומתבטאת בבניית מערכות בעלות ארכיטקטורה אייג'נטית (Agentic AI), שמסוגלות לחקור את המגבלות של עצמן, ללמוד מהנתונים הזורמים דרכן, ולייצר לולאת שיפור עצמי סגורה ויציבה. זו הדרך היחידה להבטיח שמערכות ההגנה של הארגון יתפתחו וישתפרו באותו הקצב שבו הטכנולוגיה, הפיתוח והאיומים משתנים. 

כותבי המאמר הם נועה ספרא-הורסקי, מדענית נתונים; רוני גורביץ', ראש תחום בינה מלאכותית; ומעין מרלוב, אנליסטית אבטחה; בחברת סייקוד

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים