יועץ אבטחת מידע   |   דצמבר 30, 2025

מחקר של Black Duck מצא ש־95% מהארגונים סומכים על AI בפיתוח תוכנה. ומה לגבי סיכוני שרשרת אספקה? כנסו וגלו!

ה־AI מאיץ את הפיתוח למהירות שיא, אך משאיר את הארגון חשוף לפרצות אבטחה "שקופות". איך לשמור על המהירות בלי להפקיר את הארגון לתוקפים?

AI בקוד: מהירות עצומה, אבל גם סיכון שאי אפשר להתעלם ממנו

מי שלא בודק את הקוד שה־AI יוצר משאיר את "דלתות הארגון" פתוחות לרווחה

המהפכה כבר כאן: כולם משתמשים ב־AI, אבל כמעט אף אחד לא בודק אותו. מחקרים עדכניים (Black Duck) חושפים תמונה מטלטלת: בעוד ש־95% מהארגונים כבר משתמשים בכלי בינה מלאכותית (AI) כדי לכתוב קוד מהר יותר, רק 24% מהם באמת בודקים את הקוד הזה לפני שהוא נכנס למערכת.
מה זה אומר בפועל? שחלקים נרחבים מהתוכנה שלכם נכתבים על ידי מכונה, אך הם עוברים פחות בקרות מאשר קוד שנכתב על ידי אדם. אנחנו נמצאים בעידן שבו הטכנולוגיה רצה קדימה, אבל האבטחה מתקשה להדביק את הקצב.

הסיכון: "חורים שחורים" בשרשרת האספקה שלכם

תלות, ריבוי מודלים, אוטומציה ומהירות פיתוח פותחים דלת לפגיעויות

כשאנחנו מדברים על "שרשרת אספקה" בתוכנה, הכוונה היא לכל רכיבי הקוד החיצוניים שהאפליקציה שלכם נשענת עליהם. ה־AI נוטה להשתמש בספריות קוד חיצוניות ובמודלים שאינם תמיד שקופים לנו.
התוצאה היא איבוד שליטה על רכיבים חיצוניים:
• חוסר שקיפות: אנחנו לא תמיד יודעים מאיפה ה־AI "הביא" את הפתרון.
• ספריות "טרמפיסטיות": ה־AI עלול להכניס לקוד רכיבים חיצוניים שאי אפשר לנטר בקלות.
• קושי בפיקוח: קצב הפיתוח כה מהיר שקשה לעצור ולוודא שכל שורת קוד עומדת בתקני האבטחה והרישוי.
במילים פשוטות: קל יותר לשחרר גרסה חדשה ללקוחות, אבל הרבה יותר קשה להבטיח שהיא בטוחה.

2030: כשהקוד יהיה חזק יותר מהיכולת האנושית לבדוק אותו

כשהאוטומציה חזקה מהאנשים

התחזיות מראות שעד שנת 2030, כמעט 95% מהקוד בעולם ייווצר על ידי בינה מלאכותית. כבר היום בסטארטאפים צעירים, ה־AI אחראי על רוב הקוד שנכתב.
הבעיה היא שמתכנתים אנושיים כבר לא מסוגלים לקרוא ולסרוק ידנית את כל הכמויות האלו. לכן אנחנו זקוקים לשיטה חדשה – "מערכות חכמות שיבדקו מערכות חכמות" – ואוטומציה מלאה של תהליכי הבדיקה.

המלצות מאת מומחי אבטחת המידע של IPV Security:

  1. קוד AI הוא "קוד זר": התייחסו לכל מה שה־AI כתב כאל מוצר צד שלישי. הוא דורש בדיקה, תיעוד ואישור מחדש.
  2. ניהול רשימת "מרכיבים" (SBOM): דרשו פירוט מלא של כל רכיבי התוכנה (כמו רשימת רכיבים על מוצר מזון). ארגונים שעושים זאת מוכנים הרבה יותר להתמודדות עם תקיפות.
  3. אוטומציה של תיקון חולשות: השתמשו בכלים שמסוגלים לזהות ולתקן פרצות באופן אוטומטי ורציף.
  4. שקיפות מספקים: ודאו שספקי ה־AI שלכם מצהירים על מקורות הקוד והנתונים שלהם.

לסיכום,

הבעיה היא לא בבינה המלאכותית – היא בקצב האבטחה שלא הותאם אליה. ארגונים שישכילו לאמץ תהליכי בקרה חכמים, תיעוד קפדני ואוטומציה, יוכלו לא רק לשרוד את מהפכת ה־AI, אלא להשתמש בה כדי לצמוח בבטחה.

למידע נוסף: AI-generated code leaves businesses open to supply chain risk | SC Media

 

מעוניינים לבצע מבדקי חדירה תשתיתיים ואפליקטיביים? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה