"פרצות אבטחה חמורות": הסכנות שמתגלות בווייב קודינג - ומה אפשר לעשות?
הטרנד הלוהט בחודשים האחרונים הוא ווייב קודינג – תכנות באמצעות AI, שמאפשר גם למי שאין לו רקע טכני לבנות אפליקציות. אלא שדיווחים אחרונים על דליפות מידע וחולשות אבטחה שהתגלו בפלטפורמות ווייב קודינג, בהם הישראלית Base44, מעלים את השאלות - עד כמה בטוח להשתמש באפליקציות שנבנו באמצעות בינה מלאכותית, מה עושים כדי להגן על המשתמשים – ומי נושא באחריות? מומחים מסבירים
הווייב קודינג, תכנות באמצעות בינה מלאכותית, הפך לטרנד החם ביותר בחודשים האחרונים, מאחר שהוא מאפשר לכל אחד להקים אפליקציה או אתר, גם אם בסיסיים, לצרכיו – אישיים או מסחריים. בזווית הישראלית נודעה בעיקר Base44, פלטפורמת הווייב קודינג שהקים היזם מאור שלמה לבדו, שהכתה גלים בארץ ובעולם, ונמכרה לאחר חצי שנה בלבד לחברת וויקס הישראלית תמורת 80 מיליון דולר.
לצד העלייה של הווייב קודינג, התגלתה עד מהרה נקודת החולשה שלה, אבטחה שלא תמיד מספקת. בתקופה האחרונה פורסם, בין היתר, כי חוקרי האבטחה של חברת וויז הצליחו להשיג גישה לאפליקציות שנבנו על ידי המשתמשים של Base44, גם ללא רשותם, וחוקרי צ'ק פוינט חשפו חולשת RCE (הרצת קוד מרחוק) בכלי הפיתוח Cursor, אחד מכלי הפיתוח מבוססי הבינה המלאכותית הצומחים ביותר כיום.
גם ב-LOVEBLE, כלי פיתוח מבוסס AI, חוקרים גילו כי אפליקציות שנבנו באמצעותו חשפו מידע אישי רגיש, כולל שמות, כתובות אימייל, פרטי תשלום ומפתחות API.
כעת קבוצת המחקר של חברת הסייבר הישראלית אימפרבה (imperva) חשפה שלוש חולשות אבטחה חמורות ב-Base44 שהשפיעו על עשרות אלפי משתמשיה בישראל וברחבי העולם. החולשות איפשרו לתוקפים להדליף מידע על כל משתמש בפלטפורמה לאחר פתיחת קישור. המידע כולל פרטים של המשתמשים וגישה מלאה לחשבונם.
במסגרת המחקר, שהובל על ידי רון מסאס, מנהל מחקר התקפי ויוהן סילם, חוקר חולשות בכיר באימפרבה, חולשות האבטחה נמצאו במערכת ההתחברות הראשית של Base44, בדף התצוגה המקדימה של האפליקציות שנבנו בפלטפורמה, וכן במערכת ההתחברות לאפליקציות עצמן. כל אחת מהחולשות אפשרה לתוקף לגנוב את אסימוני הגישה של המשתמשים, ובכך להשתלט על חשבונם ולקבל גישה מלאה לכל המידע והפעולות הזמינות להם. Base44 פעלה לתיקון הליקויים לאחר הדיווח.
ממה נובעות בעיות האבטחה בווייב קודינג?
"היופי בכלי ווייב קודינג הוא שהם מאפשרים לכל אחד לפתח אפליקציות ואתרים במהירות, גם בלי להיות מתכנת מקצועי. אבל בדיוק בגלל זה נוצרות בעיות אבטחה חדשות", מסביר איתי שוורץ, CTO בחברת MIND, סטארטאפ שפיתח פלטפורמה למניעת דליפות מידע.
"הכלים האלה נחשפים למידע רגיש – סיסמאות, מפתחות גישה, פרטי לקוחות או מסמכים פנימיים – והם עלולים 'למחזר' אותו בקוד חדש. כך למשל, סיסמה עלולה להיות כתובה בתוך קוד שנשמר ברפוזיטורי (ניהול גרסאות) ציבורי, או שפרטי לקוחות אמיתיים יופיעו כדוגמה בקוד בדיקה. במילים פשוטות: דברים שאמורים להישאר מאחורי הקלעים של הארגון, עלולים לזלוג החוצה דרך הקוד שנכתב".
"בעיות האבטחה נובעות מהרצון לייצר פיצ'רים במהירות, לעיתים על חשבון השקעה בארכיטקטורה ובאבטחת מידע, מה שמוביל לחשיפה לפגיעויות באותן אפליקציות", מוסיף אלכס ספיבקובסקי, סמנכ"ל מחקר ואבטחת מידע בחברת הסייבר פנטרה. "למעשה, בתהליך פיתוח האפליקציה המיקוד הוא ב'יצירה' ובבניית המוצר, כאשר מה שחסר הוא ההבנה של אבטחת מידע, ואיך להטמיע אבטחה כבר בשלב הפיתוח".
ספיבקובסקי מסביר כי במהלך העשור האחרון עולם הפיתוח עשה מאמצים משמעותיים להתייחס לצרכי אבטחת מידע בשלב מוקדם בתהליך, עם דגש על DevSecOps, גישה לפיתוח תוכנה, שבה מכניסים את נושא האבטחה כחלק אינטגרלי מתהליך הפיתוח והתחזוקה, ולא משהו שנבדק רק בסוף.
"קוד מבוסס-Vibe מוחק לא מעט מההתקדמות הזו, כשהוא מחליף את היכולות האנושיות במכונות שמייצרות את הקוד, אבל עדיין לא עושות זאת בצורה מאובטחת", אומר ספיבקובסקי. "כשזה נוגע לאבטחת מידע, אין 'קסם' שמגן על אפליקציה, אלא יש צורך בתכנון מראש. השימוש בכלי low-code או AI לא פוטר מאחריות, וטעויות קטנות יכולות לחשוף נתוני משתמשים רגישים".
אם אני רוצה להקים אפליקציה באמצעות ווייב קודינג, איך עליי להגן עליה?
שוורץ: "הדבר הכי חשוב להבין הוא שהסיכון לא מגיע רק מהאקרים בחוץ, אלא גם מהתוצרים שהכלים עצמם מייצרים. מי שבונה מוצר עם vibe coding צריך לקחת בחשבון שהקוד עלול לכלול מידע רגיש – גם אם זה נעשה בטעות. לכן ההגנה חייבת להיות מובנית בתהליך הפיתוח: ניטור בזמן אמת של מה שנכנס לקוד, חסימה של פרטים רגישים לפני שהם נכתבים, ושקיפות מלאה לגבי זרימת המידע.
"במיינד, למשל, פיתחנו טכנולוגיה שמזהה אוטומטית מקרים כאלה ועוצרת אותם לפני שהופכים לדליפה אמיתית. אבל המסר הרחב יותר הוא שכל מי שמשתמש בכלי AI לפיתוח צריך לשאול את עצמו לא רק 'איך אני בונה מהר', אלא גם 'איך אני מוודא שהמידע שלי נשאר מוגן לאורך הדרך'".
ספיבקובסקי מוסיף: "יש להתחיל בבנייה נכונה מהבסיס, עם התייחסות להרשאות, הצפנה ואימות משתמשים. נוסף על כך, יש לבצע בדיקות אבטחה שוטפות באופן יזום, להשתמש בכלי ניטור מתאימים לזיהוי חולשות בזמן אמת, ולהיעזר באנשי מקצוע. עדיף להשקיע במומחה אבטחה בשלב מוקדם של הפיתוח מאשר לגלות מאוחר יותר שהמידע של הלקוחות דלף".
תומר גרשוני, שותף ומנהל שירותי הסייבר ב-PwC Israel, מציע למי שאינו מגיע מעולם התכנות ומתנסה בווייב קודינג, להימנע מבניית אתרים שאוספים מידע רגיש, ובמקום זאת לבנות אתרים ייצוגיים או מספקי מידע בלבד, בהם הסיכון קטן יותר.
בדה מרקר פורסם לאחרונה על מגייס שבנה אתר באמצעות AI, ופרטיהם של יותר מ-2,000 מחפשי עבודה דלפו לרשת. למשתמשים עצמם מומלץ לא למסור מידע אישי לאפליקציות שנבנו באמצעות AI? ומה בנוגע לתשלומים דרכן?
"מומלץ לצמצם ככל האפשר את המידע האישי שנמסר בשימוש באפליקציות שנבנו בכלי ווייב קודינג או פלטפורמות דומות", מסכים רון מסאס, מנהל מחקר התקפי בחברת אימפרבה.
"לא תמיד ברור באילו סטנדרטים של אבטחת מידע המפתח השתמש, מה שמוביל לחשיפה של נתונים רגישים. מסירת פרטים כמו שם מלא, כתובת מייל או מספר טלפון מעלה את רמת הסיכון, ולכן כדאי לחשוב היטב לפני שמשאירים אותם.
"בכל הקשור לתשלומים, ברוב המקרים האפליקציה מתחברת לספק סליקה חיצוני ומוסמך, כך שהתשלום עצמו מתבצע בצורה מאובטחת יחסית. עם זאת, הבעיה עלולה לנבוע מהאינטגרציה: אם המפתח לא הגדיר נכון את ההגדרות או לא שמר על סטנדרטים נאותים, ייתכן שפרטים רגישים נשמרים במערכת שלו באופן עקיף. זה יוצר פתח לדליפות מידע גם אם הספק עצמו עומד בתקנים מחמירים".
ההמלצה של מסאס היא להפעיל שיקול דעת בכל השימוש באפליקציות מסוג זה - למסור מינימום פרטים אישיים, לוודא שהאתר או האפליקציה עובדים בפרוטוקול מאובטח (HTTPS), ובמקרה של תשלום - להשתמש באמצעי תשלום שמאפשרים שכבת הגנה נוספת - כרטיס וירטואלי חד-פעמי או שירותים כמו PayPal.
במקרה של דליפת מידע מאתר שנבנה באמצעות AI, של מי האחריות?
"נקודת המוצא היא שפרטיות המידע של המשתמשים היא באחריות הבעלים של התוכנה או האפליקציה - לא של ספק הענן כמו AWS או גוגל", טוען ספיבקובסקי. "גם אם הכלי מייצר את הקוד באופן אוטומטי, היזם עדיין אחראי לוודא שהקוד מאובטח ונבדק כראוי. ההמלצה המרכזית שלי היא להשקיע במומחה אבטחה שילווה את הפיתוח, החל משלב התכנון ועד לבדיקות חדירות וניטור שוטף".
ערן רונן, מנכ"ל ciso JUMBOmail, מדגיש: "כאשר יוצרי אתרים, גם אם הם לא טכניים, מחליטים לאסוף מידע אישי מהמשתמשים שלהם, האחריות הבסיסית והראשונית חלה עליהם. מרגע זה, הם הופכים להיות "בקרי המידע" (Data Controller) – תפקיד המטיל עליהם חובת זהירות.
"הטענה 'אני לא מתכנת' לא פוטרת מאחריות זו. גם ללא ידע טכני, עליהם לשאול שאלות בסיסיות: 'מי בדיוק יכול לראות את המידע הזה? האם הקישור שיצרתי הוא פרטי או ציבורי? האם ניסיתי להיכנס אליו מדפדפן אחר שבו אני לא מחובר, כדי לראות מה אדם זר יראה?'. הטיעון 'סמכתי על הפלטפורמה' הוא הגנה מספקת כשהפרטיות של אנשים אחרים מונחת על הכף".
יחד עם זאת, מסביר רונן כי האחריות של פלטפורמות ווייב קודינג היא "עמוקה ומערכתית". לדבריו, "כאשר חברה מנגישה כלים כה עוצמתיים לקהל הרחב, היא נוטלת על עצמה אחריות מוגברת לוודא שהתוצרים בטוחים כברירת מחדל. כשלים ארכיטקטוניים יסודיים, כמו כאלו שאפשרו דליפת מידע ממסדי נתונים או השתלטות על חשבונות משתמשים, הם לא רק 'באג', אלא עדות להיעדר מוחלט של תפיסת "פרטיות בתכנון" (Privacy by Design). פלטפורמה כזו חייבת להניח שהמשתמש שלה אינו מומחה אבטחה ולבנות עבורו 'מעקות בטיחות' שימנעו טעויות קריטיות".