פרשנות
מניות הגנת הסייבר קרסו בשל פאניקה מיותרת
השקת העדכון שמצרף יכולות הגנת סייבר לקלוד מבית אנתרופיק, שלחה שורת מניות ובהן קראודסטרייק, קלאודפלייר וסיילפוינט לירידות חדות; לכאורה, אפשר להבין את המשקיעים, אך תגובתם נראית יותר כפאבלובית; שכן הכלי החדש עושה משהו מוגבל ונישתי מאוד: זיהוי חולשות אפשריות בקוד בשלב הכתיבה שלו, הרבה לפני שהוא הופך למוצר פעיל
אם יש משהו שמשקיעים אוהבים, זה להגיב בפאניקה לכל פיצ'ר AI חדש שמגיע לשוק. מניות של חברות תוכנה ושירותי ענן (SaaS) צללו על רקע הכניסה של כלי וייב-קודינג, שמאפשרים לכל אחד ליצור אפליקציות ותוכנות מתקדמות באמצעות שפה טבעית. חברות שמספקות שירותי דאטה-אנליטיקס וניתוח משפטי צנחו אחרי שאנתרופיק השיקה תוסף לסייען ה-AI שלה, קלוד, שהופך אותו לסוכן שמסוגל לבצע אוטומציה למשימות בתחומים אלו. כלי AI לתכנון מס של הסטראט-אפ Altruist ריסק מניות של חברות לניהול הון. וכל זה רק בחודש האחרון. ככלל, מדובר בתגובת יתר שמקדימה את זמנה במקרה הטוב (הכלים עוד לא מוכנים לפריסה רחבה), או מנותקת מהמציאות במקרה הרע (ההשפעה של הכלים, גם בפריסה מלאה, לא תהיה מה שחוזים המשקיעים). אבל הפאניקה העדכנית ביותר, מסוף השבוע האחרון, היא יוצאת דופן אפילו ביחס להתרסקויות האחרונות.
מניותיהן של חברות הגנת סייבר רשמו אתמול (ו') בוול סטריט קריסה גורפת אחרי שאנתרופיק השיקה עדכון שמצרף יכולות הגנת סייבר לקלוד. אנתרופיק נחשבת לשחקנית החזקה ביותר בשוק הארגוני מבין החברות שמתחרות בשוק ה-AI, ולכן לפיצ'רים חדשים שלה בעלי השלכות ארגוניות יש השפעה משמעותית על חברות בתחום. במקרה הזה, המשקיעים בחברות הסייבר הגיבו בפאניקה וריסקו את מניות החברות.
מניית קראודסטרייק נמנתה על המניות שספגו את הנפילות החדות ביותר, עם ירידה של 8%. קלאודפלייר צנחה ב-8.1%. Zscaler איבדה 5.5%, סיילפוינט נפלה ב-9.4%, אוקטה ירדה ב-9.2% וג'ייפרוג הישראלית התרסקה בקרוב ל-25%. קרן הסל Global X Cybersecurity ירדה ב-4.9% ורשמה שפל שלא נראה מאז נובמבר 2023. הירידות מגיעות אחרי שבשלוש האחרונות, מרבית המניות רשמו צמיחה בשיעור דו-ספרתי ובמקרים רבים תלת-ספרתי. קראודסטרייק, למשל, עלתה בקרוב ל-250%, חרף התקלה הגדולה בעדכון התוכנה שלה בקיץ 2024 שהביאה להתרסקות מערכות מחשוב רבות ושיתוק שירותים חיוניים כמו שדות תעופה ובתי חולים.
כלי יעיל ושימושי, אבל לא תחליף לכלי הסייבר
לכאורה, אפשר להבין את המשקיעים. כלי AI סייבר חדש מאיים על המודל העסקי של חברות אלו. אבל במקרה זה, הפאניקה מנותקת לחלוטין מהמציאות, ונראית יותר כתגובה פאבלובית. כי הכלי שהשיקה אנתרופיק עושה משהו מוגבל מאוד. "הוא מחפש חולשות בקוד, ומציע עדכוני תוכנה מותאמים לבדיקה אנושית", הסבירה החברה. "זה מאפשר לצוותים למצוא ולאתר בעיות שכלים מסורתיים מפספסים לעתים תכופות".
מדובר במוצר שימושי ויעיל, אבל לא כזה שמחליף את ההיצע של חברות סייבר. קראודסטרייק, למשל, מפתחת מערכת הגנה מבוססת ענן שמשלבת בין אנטי-וירוס לניתוח איומים ומענה בזמן אמת למתקפות. המערכת של קלאודפלייר מגינה, בין השאר, מפני מתקפות מניעת שירות מבוזרות, וסיילפוינט ואוקטה עוסקות בתחום של ניהול זהויות וזיהוי התנהגויות חשודות של משתמשים.
הפיצ'ר החדש של קלוד, מנגד, עוסק בתחום המאוד נישתי של זיהוי חולשות אפשריות בקוד בשלב הכתיבה שלו, הרבה לפני שהוא הופך למוצר פעיל. שגיב אלמליח, סגן נשיא בכיר להנדסה בחברת הגנת הסייבר ורוניס, הסביר שכבר היום יש מגוון של כלים שמבצעים משימה דומה, למשל של צ'קמרקס הישראלית, לצד כלים חינמיים רבים. "כמו שאם יבוא מס הכנסה ויעבור על כל ההיסטוריה שלך בטוח הוא ימצא משהו, כך גם סורקי הקוד עוברים על הכל ובדרך כלל מוצאים אלפי חולשות ברמות שונות", הוא כתב ב-X (לשעבר טוויטר). "רוב הארגונים כלל לא היו מצליחים להגיע לפתור את כולן, גם בגלל שאין זמן וצריך לתעדף אבל גם בגלל שלרוב מדובר בחולשות שאפשר לנצל אותן רק במקרים מאוד מאוד קיצוניים, אז חבל על המאמץ".
הבידול המרכזי של קלוד לעומת כלים אלו הוא היכולת להציע גם תיקונים לחולשות שזוהו, וכך ליעל משמעותית את הליך סתימתן, אם כי גם במקרה זה לא מדובר בהחלפה של מומחי סייבר, שעדיין דרושים לבחינת והטמעת התיקונים. "ההכרזה של אנתרופיק עדיין לא מאוד דרמטית בעיני, כי בשלב הזה עדיין מדובר על עוד שכבת 'בדיקה' ברמת הקוד, שזה איזור שהם שוחים בו מאוד טוב, זה כמו למצוא באגים, אבל של סקיוריטי", אמר אלמליח. "אין פה עדיין איום משמעותי על רוב חברות הסייבר שבכלל לא פועלות בנישה הזו, והרבה מהן ירדו. לא מושפעות: פאלו, זיסקיילר, פורטינט, קלאודפלייר, צ'ק פוינט. סינופסיס מושפעת, אבל אצלם זה חלק מאוד קטן מהביזנס. דווקא היא בקושי ירדה".
ואם צריך ראיה חזקה יותר לכך שלא מדובר במוצר מהפכני שעתיד לייתר את כל חברות הגנת הסייבר, אפשר למצוא אותה אצל גוגל. לענקית הטק יש, מזה זמן מה, מוצר דומה מאוד מבוסס ג'מיני, שמסוגל לזהות חולשות אבטחה בקוד ולכתוב עדכונים שמתקנים אותן. כלי זה זמין רק בתוך גוגל עצמה שם נעשה בו שימוש שוטף (וייתכן שיש כאן פספוס של החברה, שהיתה יכולה להקדים את אנתרופיק לשוק עם מוצר שכבר הוכיח את עצמו בחברת ענק), אבל הוא לא ביטל את כל פעילות הגנת הסייבר הרחבה של החברה, או ייתר את הצורך שלה לרכוש את וויז הישראלית תמורת 32 מיליארד דולר.
תחום הגנת הסייבר הוא נרחב, מגוון, משתנה תמיד ומורכב מאוד. מוצר נישתי אחד לא מייתר את כל הפעילות של החברות שפועלות בתחום, לא יכול להחליף אותן, אפילו לא משבש את המודל העסקי של מרביתן. או, כמו שכבר נאמר בשנינות מדויקת, העובדה שמישהו המציא גלאי עשן ביתי, לא אומר שלא צריך עוד מכבי אש. המקרה זה, השוק העצבני שהחרד מכל התפתחות אפשרית בתחום ה-AI וההשפעה של על מודלים עסקיים קיימים, הגיב באופן פאבלובי מנותק מההשפעה האמיתית של הפיצ'ר שהוצג.
כל זה, בהסתייגות אחת חשובה: הדבר נכון לשעת כתיבת מלים אלו בלבד. בקצב שבו שוק ה-AI מתקדם, ומוצרים חדשים מגיעים לשוק, לא בלתי נתפס שעוד כמה שבועות, אולי אפילו פחות, יגיע מוצר שיהווה איום אמיתי על ענקיות הסייבר ויצדיק צניחה חדה במניותיהן.
