מפתח בקבלן ביטחוני פותח את Cursor, מטעין מאגר ציבורי כדי "ללמוד מהדומה", ושואל את הסוכן: "תוסיף עיבוד JSON בטוח". הסוכן מציע התקנה של חבילה שלא קיימת בפועל - אך תוקף שמע את הסוכן ממציא אותה לפני שעות, ורשם אותה ב-PyPI עם payload זדוני. שלוש דקות אחר כך הקוד הזדוני רץ בסביבת הפיתוח עם גישה לקוד מקור של פרויקט מסווג. זה לא תרחיש עתידני: מחקר USENIX 2025 מצא ש-19.7% מהחבילות שמודלים גדולים ממליצים עליהן פשוט אינן קיימות.[1]
סוכני AI לפיתוח קוד הם כלי הפריון החזק ביותר של 2026. הם גם הווקטור הכי שקט לחדירה לסביבת פיתוח של קבלן ביטחוני. הניתוח הזה מתבסס על שני מחקרים אקדמיים מאומתים, חמישה CVEs רלוונטיים ועל מסגרת OWASP Top 10 for LLM Applications, ומציע מסגרת אכיפה מעשית לארגון בתעשייה הביטחונית הישראלית.
שלושת וקטורי התקיפה החדשים
סוכני AI אינם רק כותבים קוד - הם פותחים את הסביבה למידע ולפעולות שלא היו נגישים לפני. שלוש משפחות תקיפה עיקריות מסכנות ארגון ביטחוני שאימץ אותם:
🔴 Slopsquatting / Package Hallucination
חוקרים מ-USENIX 2025 בדקו 16 מודלים פופולריים, ייצרו 576,000 דוגמאות קוד וזיהו 205,474 שמות חבילות מומצאות ייחודיים. שיעור ההמצאה הממוצע: 5.2% במודלים מסחריים, 21.7% במודלים בקוד פתוח (CodeLlama מגיע לשליש). תוקף שעוקב אחרי תבניות הזיה רושם את החבילות מראש ב-PyPI/npm. כל מפתח שמריץ pip install מהצעת AI - בלי לבדוק - מתקין את ה-payload.[1][2]
🟠 Prompt Injection דרך README, comments ו-PR titles
ב-CVE-2025-53773 (CVSS 9.6) הודגם שמתקפת prompt injection ב-comment של PR ציבורי הפעילה ב-GitHub Copilot Agent מצב שמאפשר ביצוע קוד שרירותי על מערכת המפתח. דמוי תקיפה הודגם גם ב-Claude Code Security Review וב-Gemini CLI: כותרת PR מותאמת מספיקה כדי לחלץ secrets ולחשוף אותם בלוג.[3][4] עבודת מטה-מחקר באוניברסיטת לומונוסוב (ינואר 2026) ניתחה 78 מחקרים ומצאה 42 טכניקות תקיפה ייחודיות ב-5 קטגוריות, עם שיעור הצלחה מעל 85% כאשר התוקף מתאים את ה-prompt למערך ההגנה.[5]
🔴 MCP Server Poisoning
פרוטוקול MCP (Model Context Protocol) של Anthropic מאפשר לסוכן להתחבר לשרתים חיצוניים - מערכת קבצים, דפדפן, מסד נתונים. ב-CVE-2026-23744 (CVSS 9.8) התגלה ש-MCPJam Inspector מקשיב כברירת מחדל ב-0.0.0.0 ללא אימות; בקשת HTTP יחידה מתקינה שרת MCP זדוני ומריצה קוד שרירותי. בנפרד, ב-CVE-2025-59944 התגלתה פגיעות case-sensitivity ב-Cursor שאיפשרה לעקוף הגנות על קובץ .cursor/mcp.json ולשמר RCE לאורך restart-ים של ה-IDE.[6][7]
למה זה נופל מתחת לרדאר של רב מגן 2 הקיים
הבקרות הקיימות של רב מגן ו-NIST 800-171 לא נכתבו עם סוכני AI בראש. הפער מתבטא בשלושה מקומות מרכזיים:
בקרת הצגת תוכנה (רב מגן תחום 2 / NIST §3.4)
סוכן AI אינו "תוכנה ארגונית" קלאסית - אין הליך אישור פורמלי, אין קטגוריה, אין רישום בכרטיס ה-CMDB. כתוצאה, התקנה של Cursor / Copilot / Claude Code על מחשב מפתח מתבצעת ללא בדיקה מקדימה, ובוודאי בלי תיעוד של התעבורה היוצאת לשרתי המודל.
ניהול גישה (רב מגן תחום 4 / NIST §3.1)
המפתח מעביר קונטקסט - קוד, דיפים, output של פקודות - לסוכן בלי שמערכת ניהול הגישה רואה זאת. אם הסוכן מתחבר ל-MCP server שמתחבר ל-DB ייצור, יש לסוכן גישה דה-פקטו ל-CUI שלא הוקצתה לו רשמית.
בקרת קוד מקור (רב מגן תחום 11 / NIST §3.13)
סוכן שמציע commits אוטומטיים מצמצם את שלב ה-code review להסתכלות פורמלית. מפתח שמסתמך על הסוכן יותר מאשר על ביקורת עצמאית מפסיק להיות "human in the loop" - הוא הופך ל-rubber stamp.
OWASP LLM Top 10 - לא מופיע ברגולציה הישראלית עדיין
OWASP פרסמה את ה-Top 10 for LLM Applications 2025. בקרי ה-LLM01 (Prompt Injection), LLM03 (Supply Chain) ו-LLM05 (Improper Output Handling) רלוונטיים ישירות לסוכני AI - אבל אינם חלק מ-44 הבקרות של רב מגן. פער זה צריך להיסגר ב-flowdown ארגוני, לא להמתין לעדכון רגולטורי.[8]
מסגרת הגנה לארגון ביטחוני - 5 שכבות
מסגרת הגנה מעשית, מבוססת על ה-CVEs המוכרים ועל ממצאי המחקרים האקדמיים. כל שכבה מטפלת בתת-קבוצה אחרת של וקטורי התקיפה:
pip install שהוצע על ידי AI.איך לאכוף את זה (כי "אסור" לא יעבוד מול מפתחים)
הניסיון לחסום סוכני AI לחלוטין יכשל - מפתח שצריך להספיק את ה-sprint ימצא דרך לעקוף. המפתח להצלחה: לאפשר במסגרת מבוקרת.
- Cursor / Copilot / Claude Code דרך רשיון enterprise בלבד, עם logging מרכזי של כל prompt ופלט.
- Static analysis pipeline שמסמן אוטומטית קוד שמקורו AI (commit metadata, comments, sub-conventions).
- "Dual control" merges: כל merge ל-main דורש אישור human + שיקוף בסוכן AI שני בלי קונטקסט.
- הדרכה ייעודית: מפתח שלא מבין prompt injection או slopsquatting לא צריך גישה לסוכן עם MCP.
- בקרת זמן: הגבלת זמן השימוש בסוכן ביום למפתחים שעובדים על פרויקטים מסווגים. זמן ארוך = יותר חשיפה.
- חיסום default-deny לתעבורה יוצאת מסביבת הפיתוח - allowlist מפורש של domains בלבד.
- סקר 360° תקופתי שכולל sample של commits, מי השתמש ב-AI, מה ה-context שעבר, ומה ה-attack surface שנפתח.
השורה התחתונה
סוכני AI הם כלי הפריון החזק ביותר של 2026 - ובמקביל, החדירה הכי שקטה לסביבת פיתוח של קבלן ביטחוני. שלושה CVEs בולטים (CVE-2025-53773, CVE-2025-59944, CVE-2026-23744) ושני מחקרים אקדמיים מבוססים מצביעים על פער ביטחוני אמיתי - לא תיאורטי.
התעשייה הישראלית מאמצת את הכלים האלה מהר יותר מהרגולציה. הפער הזה הוא הפער הביטחוני המשמעותי ביותר השנה - ולא נראה בסקרי 360° סטנדרטיים שלא עודכנו ל-OWASP LLM Top 10. הזמן לסגור את הפער הוא עכשיו, במסגרת flowdown ארגוני - לא לחכות לעדכון רב מגן 3.
מקורות
- Spracklen et al., "We Have a Package for You! A Comprehensive Analysis of Package Hallucinations by Code Generating LLMs", USENIX Security 2025 (arXiv 2406.10279)
- Socket Research — The Rise of Slopsquatting: How AI Hallucinations Are Fueling a New Class of Supply Chain Attacks
- Embrace The Red — GitHub Copilot: Remote Code Execution via Prompt Injection (CVE-2025-53773)
- SecurityWeek — Claude Code, Gemini CLI, GitHub Copilot Agents Vulnerable to Prompt Injection via Comments
- Maloyan & Namiot, "Prompt Injection Attacks on Agentic Coding Assistants: A Systematic Analysis of Vulnerabilities in Skills, Tools, and Protocol Ecosystems" (arXiv 2601.17548, January 2026)
- CVE-2026-23744 — MCPJam Inspector RCE (CVSS 9.8)
- Lakera — Cursor Vulnerability (CVE-2025-59944): Case-Sensitivity Bug Exposed Risks of Agentic Developer Tools
- OWASP — Top 10 for LLM Applications 2025
- BleepingComputer — AI-hallucinated code dependencies become new supply chain risk