ניהול זהויות של סוכני בינה מלאכותית: הצורך החדש באבטחת מידע
סטארט-אפ הסייבר הישראלי NewCore נחשף רשמית עם גיוס מרשים של 66 מיליון דולר כדי לפתור את אחת הבעיות הבוערות ביותר בעידן האוטומציה המודרנית: כיצד לנהל, לאבטח ולאמת זהויות של סוכני בינה מלאכותית הפועלים כעובדים דיגיטליים עצמאיים בארגון, משימה שמערכות ניהול הזהויות המסורתיות כמו Okta או Microsoft Entra מתקשות לבצע בצורה מובנית.
מה זה ניהול זהויות של סוכני בינה מלאכותית?
ניהול זהויות של סוכני בינה מלאכותית הוא תהליך טכנולוגי ואבטחתי המיועד לאימות, הרשאה ובקרה על פעילותם של סוכני תוכנה אוטונומיים הפועלים במערכות המידע הארגוניות. בהקשר עסקי, סוכנים אלו אינם משמשים רק ככלי עזר פסיביים, אלא מקבלים גישה ישירה למאגרי מידע, מסוגלים לכתוב ולשנות קוד באופן עצמאי, ומבצעים משימות מורכבות המצריכות הרשאות נרחבות. לדוגמה, סוכן AI המשולב במערכת ה-CRM הארגונית ומבצע עדכוני לקוחות או שולח הודעות יזומות זקוק לזהות דיגיטלית מאובטחת ומנוהלת היטב כדי למנוע דליפות מידע או גישה לא מורשית. לפי נתוני חברת הייעוץ הבינלאומית McKinsey, כ-25,000 סוכני בינה מלאכותית כבר פועלים כיום לצד 60,000 העובדים האנושיים של החברה, מה שממחיש בצורה ברורה את קצב האימוץ המהיר ואת הצורך הקריטי בפתרון הגנה מתאים.
החשיפה של NewCore והאתגר הטכנולוגי החדש
חברת הסייבר NewCore יצאה רשמית מחשאיות (Stealth) עם גיוס משמעותי של 66 מיליון דולר בסבב סיד (Seed), אשר מעמיד את שווי החברה על 300 מיליון דולר לאחר השקעה. את הסבב הובילה קרן ההון סיכון המובילה Cyberstarts, המתמחה בהשקעות סייבר מתקדמות, בהשתתפות הקרנות הנודעות Index Ventures ו-Evolution Equity Partners. מאחורי המיזם המסקרן עומדים שלושה מייסדים מנוסים מאוד בנוף הטכנולוגי: המנכ"ל זוהר אלון (לשעבר מייסד Dome9 שנרכשה על ידי צ'ק פוינט), הטכנולוג הראשי עמיחי ניידרמן (לשעבר ראש צוות מחקר ביחידה 8200 ומייסד חברת הבינה המלאכותית Nym Health), וסמנכ"ל ההכנסות ארז ירקוני (לשעבר מנמ"ר T-Mobile ארה"ב וחברת Telstra). החברה, המעסיקה כבר למעלה מ-50 עובדים במשרדיה בארצות הברית ובישראל, מכוונת ישירות אל נקודת התורפה החדשה של אבטחת המידע הארגונית.
לפי הדיווח הרשמי, הפלטפורמה של NewCore מיועדת לנהל את הזהויות של בני אדם ושל סוכני בינה מלאכותית במערכת אחודה אחת. המערכת מתוכננת להתייחס אל סוכני AI לעסקים כזהויות מדרגה ראשונה (First-Class Identities) בעלות הרשאות ספציפיות, ניהול מחזור חיים מלא, ומנגנוני ביטול גישה מהירים ומיידיים. גישה זו שונה מהותית מהמצב הקיים, שבו סוכני תוכנה מטופלים לרוב כאל "חשבונות שירות" טכניים וסטטיים ללא הגבלות דינמיות. החברה מציעה ארכיטקטורת "מפתח מפוצל" (Split-Key) המחלקת את אישורי הזהות הקריטיים בין הלקוח לפלטפורמה עצמה, במטרה למנוע נקודת כשל יחידה שיכולה להוביל לפריצה מקיפה. בנוסף, NewCore משיקה חבילת אינטגרציה מיוחדת המיועדת לסוכני פיתוח קוד כגון Claude Code של Anthropic, כמו גם Cursor ו-OpenAI Codex, ומאפשרת להם לפעול תחת זהויות מנוהלות ומפוקחות במקום להסתמך על הפצה ידנית ומסוכנת של מפתחות API.
המעבר מכלי תוכנה לעובדים מן המניין
הצורך בניהול זהויות מתקדם עבור סוכנים אוטונומיים מתגבר ככל שהכלים הללו מתחילים לקבל תפקידים הדומים לאלו של עובדים אנושיים בארגון. בשנה שעברה נחשף כי בנק ההשקעות העולמי Goldman Sachs בחן את סוכן פיתוח הקוד האוטונומי Devin כעובד חדש לכל דבר בצוותים שלו. כמו כן, יו"ר ענקית שירותי הטכנולוגיה ההודית TCS, נ' צ'נדרסקרן, ציין לאחרונה כי מספרם של סוכני ה-AI בארגונים עשוי להגיע בעתיד הלא רחוק לממדים הדומים למצבת כוח האדם האנושית של החברה. כאשר סוכני תוכנה אוטונומיים מחזיקים בהרשאות גישה למערכות הליבה של הארגון ומקבלים החלטות באופן עצמאי, פלטפורמות ניהול הזהויות המסורתיות שנבנו לפני 15 או 20 שנה פשוט אינן מותאמות לעמוד בקצב, במורכבות ובקנה המידה החדש. כפי שמסביר המייסד זוהר אלון, הפתרונות הקיימים כיום בשוק מציעים פתרונות טלאי שאינם משולבים באמת בליבת המערכת, מה שמייצר חשיפת סייבר חמורה.
השלכות על חברות וארגונים בישראל
עבור עסקים וחברות בישראל – ובמיוחד עבור ארגונים במגזר הפיננסי, חברות הייטק, משרדי עורכי דין, סוכנויות ביטוח וקליניקות המאמצים פתרונות אוטומציה עסקית מתקדמים – המגמה הזו מציבה אתגר רגולטורי ואבטחתי משמעותי מאוד. בישראל, תקנות חוק הגנת הפרטיות מחייבות פיקוח הדוק ומבוקר על כל זכות גישה למאגרי מידע המכילים פרטים אישיים של לקוחות או עובדים.
הטמעה של סוכני בינה מלאכותית או בוטים אוטונומיים ללא מערכת ניהול זהויות קפדנית עלולה לחשוף חברות לקנסות כבדים מצד הרשות להגנת הפרטיות, לצד סיכונים ממשיים של דליפת מידע רגיש. חברות ישראליות המשלבות מערכות AI לניהול לידים או למענה אוטומטי ללקוחות חייבות להבין כי הסוכן הדיגיטלי הוא משתמש לכל דבר במערכות המידע שלהן. יש להגדיר עבורו הרשאות מדויקות, לנטר את פעילותו בזמן אמת, ולוודא כי מיושם עקרון "אפס אמון" (Zero Trust) המונע גישה חופשית למשאבי רשת שאינם קשורים ישירות לתפקידו.
מה לעשות עכשיו? צעדים מעשיים לארגונים
על מנת להיערך בצורה מיטבית לעידן העבודה המשותפת עם סוכני תוכנה אוטונומיים, מומלץ לארגונים ולמנהלי טכנולוגיה לנקוט בצעדים המעשיים הבאים:
- מיפוי מקיף של סוכני ה-AI בארגון: בצעו סקר מערכות מקיף כדי לאתר את כל כלי ה-AI והבוטים הפועלים כיום ברשת הארגונית, כולל אלו המשולבים בתוך מערכות ה-CRM, ה-ERP וכלי האוטומציה הפנימיים.
- הגדרת ישויות מנוהלות נפרדות: הפסיקו להשתמש בחשבונות שירות כלליים או במפתחות API משותפים. הגדירו לכל סוכן אוטונומי משתמש ייעודי משלו עם הרשאות מינימליות הנדרשות לביצוע תפקידו (Principle of Least Privilege).
- בניית מנגנוני פיקוח אנושי (Human-in-the-Loop): יישמו שכבת הגנה המצריכה אישור ידני של עובד אנושי עבור פעולות בעלות רגישות גבוהה, כגון שינוי פרטי חשבון בנק של לקוחות, העברת קבצים מחוץ לרשת הארגונית או מחיקת נתונים.
- ניטור ואיתור חריגות בזמן אמת: שלבו פתרונות אבטחה מודרניים המסוגלים לזהות דפוסי פעילות חריגים של סוכני ה-AI ולחסום את גישתם באופן אוטומטי במידה ומזוהה התנהגות שאינה תואמת את הגדרות התפקיד המקוריות.
מבט קדימה
עולם העבודה המודרני צועד בצעדי ענק לקראת סביבות היברידיות שבהן בני אדם ומכונות פועלים יחד בסינרגיה מלאה. חברת NewCore הישראלית מזהה נכון את אחת מנקודות התורפה הקריטיות ביותר של המהפכה הזו: הצורך בשליטה ובאבטחה הדוקה על הגורמים שמבצעים את המשימות מאחורי הקלעים. כדי להבטיח שהמעבר לשימוש בפתרונות אוטומציה מתקדמים לא יהפוך לפרצת האבטחה הבאה שלכם, יש לתכנן את הטמעת סוכני ה-AI בשילוב הדוק עם ארכיטקטורת אבטחה מודרנית ואימות זהות קפדני.