בכנס הסייבר העולמי: חברה ישראלית מצאה פרצה חמורה ב-ChatGPT

בלאק האט 2025: שתי חברות סייבר ישראליות חשפו פרצות חמורות בכלי AI ובמערכות ניהול סודות ארגוניים. Zenity ו-Cyata, הציגו בכנס הסייבר העולמי Black Hat 2025 בארה"ב פרצות אבטחה קריטיות בכלים ומערכות הנפוצים ביותר בשוק, עם פוטנציאל לפגיעה רחבת היקף בארגונים ובמשתמשים פרטיים ברחבי העולם.

פריצת "0 click" ראשונה ל-ChatGPT

Zenity, שהוקמה ב-2021 על ידי בן קליגר ומיכאל ברגורי, חשפה לראשונה בעולם חולשת "0 click" (פריצה ללא כל פעולה מצד המשתמש) ב-ChatGPT ובכלי AI פופולריים נוספים, בהם Microsoft Copilot Studio ו-Salesforce Einstein. ההדגמה, שבוצעה על הבמה על ידי ברגורי, הראתה כיצד תוקף יכול להשתלט לחלוטין על חשבון ChatGPT של משתמש, כולל שיחות קיימות ועתידיות, רק באמצעות ידיעת כתובת המייל שלו - מידע שממש קל להשיג בימינו.

החדירה מאפשרת גישה לשירותים שמקושרים לחשבון כמו גוגל דרייב, שליטה על מטרות השיחה והשפעה על תוכן התשובות - זה יכול לבוא לידי ביטוי בשכנוע המשתמש להוריד וירוס מבלי שידע או קבלת החלטות עסקיות שגויות כדי לפגוע לו בעסק. החולשה השפיעה על משתמשי ChatGPT עם חיבור לגוגל דרייב ותוקנה לאחר ש-Zenity דיווחה עליה ל-OpenAI.

התקיפה מתבססת על עיקרון בסיסי שאומר שאם מגיע למשתמש מסוים מידע מהתוקף, אז התוקף יכול לנצל חולשות שיש לך במערכת. כאשר יש צד ג' שלא קשור למשתמש, שיכול לחלוק איתו מידע, כמו למשל - שיתוף קובץ בגוגל דרייב, והמידע הזה נמצא ב"שדה הראיה" של מערכת ה-AI איתה אתה עובד, במקרה הזה ChatGPT, מערכת ה-AI שרואה את זה כ"מידע שהתקבל" תעבד את המידע ותפעל לפיו.

ברגורי הזהיר כי המעבר מ-AI Assistants לאייג'נטים (סוכנים) עצמאיים שמבצעים פעולות מורכבות בשם המשתמשים הופך אותם ל"מגרש משחקים" עבור האקרים: "במציאות שבה הטכנולוגיה רצה קדימה הרבה יותר מהר מפתרונות האבטחה, ארגונים חייבים לגלות אחריות יתרה ולוודא שהם לא ישלמו מחיר הרבה יותר גדול מהחיסכון וההתייעלות שהסוכנים הביאו לפתחם".

חלק מהחברות, כולל OpenAI ו-Microsoft Copilot Studio, הוציאו תיקונים בעקבות הדיווח על החולשות. עם זאת, ספקים אחרים סירבו לטפל בפרצות, בטענה שמדובר בהתנהגות מכוונת של המערכת. תגובה מעורבת זו מדגישה את הפער הקריטי באופן שבו תעשיית הבינה המלאכותית מתמודדת עם סוגיית אבטחת AI Agents.

בצל האקזיט הגדול

Cyata, שהוקמה ב-2024 ומפתחת את פלטפורמת ההגנה הראשונה לסוכני Agentic Identities, זהויות מבוססות AI, חשפה 14 חולשות אבטחה קריטיות בשתי מערכות ה-Secrets Management הנפוצות ביותר בשוק הארגוני - HashiCorp Vault ו-CyberArk Conjur (המערכת של סייברארק, שנקנתה לפני כשבוע על ידי פאלו אלטו נטוורקס) - בהן משתמשות רוב חברות הענק בעולם, ביניהן סיילפורס, אדובי, אנבידיה, סמסונג ועוד. 

החולשות כוללות שרשראות של הרצת קוד מרחוק (RCE) והשתלטות מלאה על הכספות הארגוניות ללא צורך באימות. מדובר בפרצת ה-RCE הראשונה שהתגלתה ב-HashiCorp Vault מאז הושקה לפני עשור, המבוססת על באג שקיים מעל תשע שנים. בחלק מהמקרים הצליחו החוקרים לפרוץ לכספת באמצעות בקשת API פשוטה וללא הרשאות.

החברה דיווחה על הממצאים לשתי הספקיות, שפיתחו תיקונים ויידעו את לקוחותיהן. במקביל פרסמה Cyata עמוד ייעודי עם הסברים, כלים לזיהוי פריצות והמלצות טכניות, והמליצה לארגונים לפעול מיידית לאיתור סימנים לניצול הפגיעויות ולהוסיף שכבות הגנה סביב הכספות הדיגיטליות.

שחר טל, מנכ"ל ומייסד-שותף של סיאטה וירדן פורת, חוקר ראשי בחברה אמר בכנס הסייבר העולמי Black Hat: "זהו תרחיש האימים של אבטחת מידע ארגונית. כשתוקפים יכולים לפרוץ לכספת הארגונית ללא כל אימות, הם מקבלים גישה מלאה לכל מסד נתונים, לכל API, ולכל משאב ענן בכל רחבי הארגון".

בסייברארק מסרו בתגובה: "סייברארק עדכנה לאחרונה על סדרת תיקוני אבטחה במוצר CyberArk Secrets Manager, Self-Hosted ובגרסת הקוד הפתוח Conjur OSS. החולשות אותרו על ידי חברת Cyata כחלק מתהליך מחקר עצמאי, ובעקבות כך פעלו מיידית בחברה לאימות הממצאים, פיתוח תיקונים ושיתוף עדכון מסודר עם לקוחותינו. התיקונים זמינים להורדה, והחברה ממשיכה ללוות את לקוחותיה בתהליך היישום.

"עבור סייברארק, אבטחת המידע של לקוחותיה היא עיקרון יסוד, ובחברה ממשיכים לפעול באופן יזום ופתוח כחלק מהסטנדרטים הגבוהים שמציבים בתחום".

החשיפות של Zenity ו-Cyata מדגישות את הסיכונים ההולכים וגוברים בעולם שבו מערכות AI הופכות לשחקן מרכזי בתשתיות ארגוניות, וממחישות כיצד חולשה אחת עלולה להוביל לנזק חמור בקנה מידה עולמי. במקביל, הן מציגות עד כמה חברות הסייבר הישראליות רלוונטיות בתחומן.