אנתרופיק מטלטלת את הסייבר: "היכולת של התוקפים תגבר משמעותית עם קלוד"
הכלי החדש של חברת ה-AI שסורק את הקוד של הארגון ומוצא פרצות אבטחה, מעורר חשש מפגיעה בחברות הגנת קוד. שי מישל ממרלין ונצ'רס מדבר על “איום מיידי” ודוחף לאדפטציה מהירה. קובי סמבורסקי מגלילות סבור שהאיום אינו קיומי – אך מחייב בנייה מחדש של עולם ההגנה על תוכנה
הפצצה שהטילה אנתרופיק על תעשיית הסייבר מעוררת הדים לא רק בוול סטריט - אלא גם בקרב משקיעי הסייבר בישראל. אתמול (ו') מניותיהן של חברות אבטחת הסייבר קרסו במסחר בוול סטריט, לאחר שאנתרופיק שחררה מוצר חדש שסורק את הקוד של הארגון ומוצא פרצות אבטחה. היום (שבת), בשיחה עם כלכליסט, מעריכים שני משקיעים בכירים בתחום כיצד תשפיע ההתפתחות האחרונה על התעשייה. להערכת שי מישל, שותף בקרן ההון סיכון מרלין ונצ'רס, הפיתוח האחרון צפוי לעורר גלים רבים בשוק הישראלי. מישל סבור שמדובר לא רק באיום על תעשיית הסייבר - אלא על כוח חדש בידי התוקפים.
"מהצד ההתקפי אנחנו נראה הרבה יותר תקיפות מורכבות ותכופות", אומר מישל ל"כלכליסט". "עם יכולת כתיבת הקוד המהירה - היכולת של התוקף הולכת להיות הרבה יותר חזקה", הוא מוסיף. קובי סמבורסקי, שותף בקרן ההון סיכון גלילות, מאמין שהידע בתחום הסייבר עדיין קריטי, ולכן האיום על חברות הסייבר אינו קיומי. סמבורסקי סבור כי בעוד שחברות קטנות יוכלו להסתפק ביכולות של קלוד, חברות גדולות לא יוכלו להסתפק בו (בקלוד). לדבריו, חברות שסורקות קוד ומתריעות על כשלים היו בבעיה עוד לפני קלוד, והבעיות יגדלו משמעותית גם כעת.
קלוד שחררה כאמור בסוף השבוע כלי ייעודי לסריקת קוד (Vulnerability Scanner) המבוסס על המודלים המתקדמים ביותר של החברה (כמו Claude Opus 4.6). בניגוד לכלים מסורתיים שפועלים לפי חוקים קבועים (Static Analysis), הכלי של אנתרופיק "חושב" כמו חוקר אבטחה אנושי: הוא ממפה את זרימת הנתונים באפליקציה ומזהה כשלי לוגיקה מורכבים שכלים רגילים מפספסים. הכלי לא רק מוצא את הפרצה, אלא גם מציע קוד מתוקן לאישור המפתח. לפי החברה, הכלי הצליח למצוא למעלה מ-500 פגיעויות אבטחה בקוד פתוח (Production) שהיו קיימות עשורים ולא התגלו עד היום.
"יש הרבה חברות סייבר שיכולות להיפגע. חברות סייבר רבות שעוסקות בסריקה ואיתור תקלות יכולות להיפגע. חברות צריכות לעשות אדפטציה לעידן החדש או שייפגעו מהמוצר של קלוד", אומר מישל. "המוצר החדש של קלוד יכול לחזק משמעותית את התוקפים, הם קיבלו לידיהם יכולת לכתוב קוד מאובטח והם יידעו לעשות בזה שימוש. יש לחץ בטווח הקצר, אבל הרבה ארגונים שיעשו אדפטציה ל-AI יתגברו על זה בצורה הטובה ביותר. אנחנו עוברים לחברות שהן נייטיב AI סקיוריטי בלבד. אין יותר חברות ש-AI הוא לא הבסיס שלהן ומי שלא חייב אדפטציה מאוד מהירה זו הזדמנות טובה להקים חברות בתחום".
לדברי מישל, "זוהי דחיפה משמעותית לחדשנות. הסיכון עבור המותגים הגדולים הוא לא שמישהו ישחזר את Splunk או Crowdstrike בן לילה - הסיכון הוא שעלויות המעבר צונחות כמעט לאפס, בזכות סוכני בינה מלאכותית (Agents) שמנהלים את תהליך ההגירה. כבר אי אפשר פשוט 'לשבת' על הנתונים ותהליכי העבודה של הלקוחות ולהשתמש בהם כחפיר כדי להשאיר אותם כלואים באקו-סיסטם שלכם. ברגע שמישהו בונה מוצר שפותר את אותה בעיה בצורה טובה יותר, הוא יכול כעת להעביר אליו את הלקוחות שלכם בקלות רבה הרבה יותר".
לדברי סמבורסקי, "כל העולם של כתיבת קוד משתנה מול העיניים. כיום מפתחים חלק משמעותי בקלוד. הסיפור של קלוד מתרחב יותר ויותר ומסכן בעיקר חברות שמתעסקות עמוק בפיתוח של תוכנה. עולמות של סקיוריטי יוצרים הזדמנות. עולמות של הגנה של תוכנה יצטרכו לעבור שינוי ולהיבנות מחדש לאיך שהתוכנה נבנית מחדש. יש איום מיידי של חברות שעוסקות בתחום של פיתוח תוכנה והגנה עליה ועל הקוד - הן נמצאות על קרקע מאוד לא יציבה. כל תהליך כתיבת הקוד והתוכנה, הבדיקה שלהם והאבטחה - נמצא תחת איום. האיום נמצא בשינוי גדול שכעת משפיע גם על הסייבר. כל תעשיית ה-SaaS חוטפת מכה רצינית וכיום ניתן לכתוב תוכנה במהירות. בסייבר נדרשת אחריות אבל יש כאן איום ממשי על חברות שמתעסקות בהגנה על אפליקציות. קלוד לא תמחק את השוק וחברות יישארו כאן - אבל יצטרכו לעבור למקומות אחרים. אנחנו נמצאים כעת בעולם הסייבר באזור לא פשוט, באדמה רעועה, ולא קל לחברות שפועלות בתחום, אבל זו גם הזדמנות כי מנהלי מערכות מידע מחפשים את הביטחון שנותנות חברות הסייבר", אומר סמבורסקי.
