בחודשים האחרונים הצטברו תקריות שכבר לא ניתן להתעלם מהן. שלוש דוגמאות, מהאחרונות שבהן:
- סוכן ה-AI של Replit מחק מסד נתונים בייצור עם רשומות של 1,206 מנהלים ו-1,196 חברות, למרות הוראת code freeze מפורשת. אחר כך הסוכן הודה שהוא נכנס לפניקה, ושיקר על אפשרויות השחזור.
- אפליקציית הדייטינג Tea, שיועדה להגן על נשים, חשפה 72,000 תמונות פרטיות ו-13,000 תעודות מזהות ממשלתיות — אחרי שמסד הנתונים שלה נותר חשוף לאינטרנט הפתוח ללא שום אימות. הקבצים הופצו ב-4chan (פורום אנונימי שמשם הדלפות מתפזרות במהירות לכל האינטרנט) עם מפות גיאוגרפיות שנבנו מנתוני EXIF (מטא-דאטה נסתרת בכל תמונה שכוללת בין השאר את מיקום ה-GPS המדויק שבו צולמה).
- סטארטאפ בשם Enrichlead, שמייסדו התרברב ש-100% מהקוד שלו נכתב על ידי Cursor, השבית את עצמו יומיים אחרי השקה בגלל מפתחות API שנשארו חשופים בקוד הצד-לקוח ובקרות אימות שלא היו קיימות בכלל.
שלוש תקריות, שלוש פלטפורמות שונות, אותו מבנה כשל. וזה לא צירוף מקרים — זה דפוס שהמחקרים האחרונים מצליחים למדוד היטב.
הפרדוקס של 90/45
כפי שמסכמים חוקרי חברת האבטחה Kaspersky בניתוח מקיף שפרסמו לאחרונה, אנחנו עומדים מול פרדוקס מטריד: בעוד שיעור הקוד שמתקמפל בהצלחה אצל מודלים מובילים זינק מ-20% לפני שנתיים ל-90% היום, אחוז הקוד שמכיל פגיעויות אבטחה לא זז כמעט. הוא תקוע על 45%. כלומר, ככל שה-AI נעשה טוב יותר בכתיבת קוד שעובד, הוא לא נעשה טוב יותר בכתיבת קוד מאובטח. וזו בדיוק הבעיה.
הנתונים מצטברים מכיוונים שונים ומציירים תמונה עקבית: אחת מכל חמש אפליקציות שנבנות בגישת vibe coding מכילה פגיעות חמורה או שגיאת תצורה. ארגוני Fortune 50 מדווחים על עלייה של 322% בנתיבי הסלמת הרשאות (חולשות בקוד שמאפשרות למשתמש רגיל להשיג גישה שלא היתה אמורה להיות לו) בקוד שנוצר על ידי AI לעומת קוד אנושי.
מחקר של סטנפורד הראה שמפתחים שמסתמכים על AI כותבים קוד פחות בטוח — אבל בטוחים יותר שהקוד שלהם בטוח. פער הביטחון השקרי הזה הוא הבעיה שאי אפשר לסרוק אותה אוטומטית.
Kaspersky מצביעים על ממצא נוסף שמהפך את ההיגיון: כשמודל מקבל הוראה לחזור ולשפר קוד שכבר נכתב, אחוז הפגיעויות עולה ולא יורד. במחקר שצוטט בניתוח, GPT-4o קיבל את אותו קוד 40 פעמים ברצף עם הוראות שיפור, ואחרי חמש איטרציות בלבד הקוד הכיל 37% יותר פגיעויות קריטיות מהגרסה הראשונית. כלומר, ככל שאנחנו עובדים יותר על אותו קוד עם AI, הוא נעשה מסוכן יותר — לא בטוח יותר.
היכן הסיכון יושב — וזה לא רק בקוד
הסיכון בוייב קודינג לא נמצא רק במחרוזות הטקסט שה-AI כותב. הוא מופיע בהרשאות שלא הוגדרו, בסודות שמודבקים ישר בקוד (סיסמאות, מפתחות API ופרטי גישה שנכתבים בתוך הקוד עצמו במקום להישמר במקום מוגן), בתלויות שמיובאות מספריות מיושנות או כאלה שלא קיימות בכלל וצריכות להיווצר על ידי תוקף, ובפלטפורמות שמריצות את הקוד עצמן.
וכאן ההבחנה החשובה: כלים כמו Claude Code או Cursor הם עורכי קוד מבוססי AI — האחריות נשארת אצל המפתח, שרואה את השינויים ומבקר אותם. מחוללי אפליקציות כמו Lovable, Bolt או Base44 פועלים אחרת — הם בונים אפליקציות שלמות מתוך פרומפט. חלקם, כמו Lovable ו-Bolt, מאפשרים ייצוא מלא של הקוד ל-GitHub ומעבר לתשתית עצמאית. אחרים, כמו Base44, נוטים יותר לפלטפורמה סגורה עם תלות עמוקה בתשתית הספק.
אבל לא משנה מה רמת הפתיחות — ברגע שאפליקציה רצה על שרתי הספק, גורל האבטחה שלה קשור לגורל האבטחה שלו. ביולי 2025 נחשפה פרצה ב-Base44 שאיפשרה גישה לכל אפליקציה פרטית בפלטפורמה תוך דקות, רק עם מזהה אפליקציה שהיה גלוי לציבור. הפרצה תוקנה תוך 24 שעות, אבל היא חשפה את הצד הפחות מדובר של הנוחות.
כשהפלטפורמה נופלת, כל מי שבנה עליה נופל איתה.
ויש סיכון נוסף, סמוי יותר: סוכני ה-AI שכבר מותקנים אצל המפתחים בעצמם הופכים לכלי תקיפה. במתקפת Nx באוגוסט 2025, הראשונה מסוגה, תוקפים הפיצו חבילת קוד נגועה במאגר npm — ואחת הפעולות הראשונות שלה היתה להפעיל את Claude, Gemini ו-Q המקומיים של המפתחים כדי לסרוק את המחשבים שלהם וללקט סיסמאות, מפתחות SSH וטוקנים. כלי הפיתוח עצמם הפכו לכלי הריגול.
חזית האבטחה הישראלית
מעניין לראות שמרבית הפרצות הגדולות שזוהו השנה בעולם ה-AI לפיתוח — ב-Cursor, ב-Claude Code, ב-Base44, ב-Claude.ai — נחשפו על ידי מעבדות מחקר וחברות אבטחה ישראליות. רובן הוקמו על ידי בוגרי יחידות 8200 ו-81.
רק לפני ימים ספורים פורסמה תקרית חדשה שכונתה Claudy Day, שבה שרשור של שלוש פרצות ב-Claude.ai איפשר לתוקף לחלץ מידע רגיש משיחות פרטיות דרך מודעת חיפוש שנראתה לגיטימית לחלוטין. הפעם זה לא היה דורש שום אינטגרציה, שום MCP (פרוטוקול שמחבר סוכני AI לכלים חיצוניים), שום הגדרה — רק לחיצה על קישור.
המספרים שמרכזים חוקרי Kaspersky — 45% פגיעויות בקוד AI, אחת מחמש אפליקציות vibe-coded עם בעיה חמורה, 37% יותר פגיעויות קריטיות אחרי איטרציה חמישית, ו-322% עלייה בנתיבי הסלמת הרשאות — לא משאירים מקום לוויכוח. וייב קודינג לא יחזור אחורה, ואין סיבה שיחזור. הוא הופך פיתוח לנגיש לעשרות מיליוני אנשים שלא היה להם מקום בעולם הזה לפני שנתיים. אבל הוא לא ביטל את האבטחה, רק העביר אותה למקום אחר. במוצר קטן או דמו פלטפורמה מנוהלת היא בחירה לגיטימית. במוצר רגיש שעובד עם נתונים אמיתיים — צריך לחזור לעקרונות הישנים: סקירת קוד, הגדרת הרשאות, בדיקות חודרניות, ולא להניח לרגע שה-AI עשה את זה כמו שצריך. הבחירה הנכונה היא לא בין AI לבין כתיבה ידנית — היא בין מהירות שמשתלמת לבין מהירות שמתפוצצת אחרי השקה.
ויש עוד מחשבה אחת שמעסיקה אותי לאחרונה. בעולם האבטחה האמריקני מדברים בשנים האחרונות על תרחיש שנקרא The Big One — אירוע סייבר שיכול להשבית מערכות פיננסיות, רפואיות ולוגיסטיות בכל העולם בו זמנית. אנשים כמו לאון פאנטה (לשעבר שר ההגנה האמריקני) וקווין מנדיה (מייסד Mandiant) טוענים שכניסת ה-AI הזיזה את התרחיש מהקטגוריה של תיאוריה לקטגוריה של מתי. שרשור של פגיעות אחת בכלי שמשמש מיליוני מפתחים, או בפלטפורמה שמריצה אלפי אפליקציות עסקיות, יכול להפיל שרשראות אספקה שלמות תוך שעות. את גרסת באג 2000 של עידן ה-AI עוד לא ראינו — אבל בניגוד לבאג 2000, הפעם אין לנו שלוש שנים של הכנה ואין תקציב לאומי שמחכה לזה. כל הרכיבים כבר על השולחן.