בינה מלאכותית (AI) משנה באופן מהיר את אופי ושיטות מתקפות הסייבר, מה שמעלה שאלות קריטיות לגבי מידת האפקטיביות של טכניקות ומסגרות האבטחה הקיימות. דו"ח חדש של אנתרופיק (Anthropic) מנסה לספק תשובות, ובחן 832 חשבונות שנחסמו עקב פעילות סייבר זדונית מבוססת AI בין מרץ 2025 למרץ 2026. הנתונים מופו מול מסגרת MITRE ATT&CK, מאגר מוכר של טקטיקות וטכניקות המשמשות תוקפי סייבר. חלק מהממצאים פורסמו גם בדו"ח DBIR לשנת 2026 של Verizon, וכעת אנו מפרטים את הניתוח המלא.

מהניתוח התגלו שלוש מסקנות מרכזיות:

  1. שחקנים זדוניים משתמשים ב-AI בדרכים שהופכות אותם למסוכנים יותר, ובפרט, הם משלבים AI בשלבים מאוחרים ומורכבים יותר של פעולות הסייבר שלהם.
  2. מתקפות הסייבר הופכות אוטונומיות יותר, והיכולת של AI לחבר יחד שלבים רבים במתקפה פוגעת באפקטיביות של שיטות ההבחנה המסורתיות בין תוקפים בסיכון גבוה לנמוך.
  3. מסגרת MITRE ATT&CK אינה לוכדת באופן מלא את הכלים והפעילויות שהופכים תוקפים מבוססי AI למסוכנים כל כך.

להלן נסכם כל אחת מהמסקנות הללו. ניתוח מעמיק יותר זמין בבלוג Frontier Red Team שלנו.

כיצד AI הופך תוקפים למסוכנים יותר

הפעילויות הנפוצות ביותר מבוססות AI במאגר הנתונים שלנו היו קשורות להכנה למתקפת סייבר, כמו כתיבת נוזקות (560 מתוך 832 החשבונות שנבחנו, שהם 67.3%, השתמשו ב-AI למטרה זו). מספר קטן יותר של סוכנים משתמשים ב-AI לפעילויות מורכבות יותר – לדוגמה, 54 מהסוכנים (6.5%) השתמשו ב-AI כדי לסייע ב"תנועה לרוחב" (lateral movement), הכרוכה בניווט עמוק בתוך רשת שנפרצה.

מצאנו עדויות עקביות לכך ש-AI מסייע להעלות את רמת האיום מצד התוקפים. במחצית הראשונה של הניתוח, 33% מהסוכנים סווגו על ידי מערכת ניקוד הסיכונים שלנו כבעלי סיכון בינוני ומעלה. אך במחצית השנייה, שיעור זה זינק ל-56% – עלייה של פי 1.7 בקירוב.

לאורך התקופה שנבחנה, השימוש של תוקפים ב-AI עבר מטכניקות להשגת גישה ראשונית למערכת לפעילויות המבוצעות בתוך המערכת. לדוגמה, השימוש ב-AI לגילוי חשבונות – זיהוי חשבונות תקפים בתוך סביבה שנפרצה – עלה ב-8.9%, בעוד שפישינג בעזרת AI – טכניקה נפוצה להשגת גישה למערכת – ירד ב-8.6%. נתון זה מצביע על כך שתוקפים מיישמים יותר ויותר AI עמוק יותר במחזור חיי המתקפה.

טכניקות "לאחר פריצה" מסוג זה היו בעבר מוגבלות לסוכנים בעלי ידע טכני ספציפי. החקירה שלנו מראה כי AI יכול כעת לבצע פעילויות אלו בשם סוכנים פחות מתוחכמים.

מדוע קשה יותר להעריך את רמת האיום של סוכן

כיצד צוותי אבטחה מעריכים את רמת הסיכון של תוקף סייבר? באופן מסורתי, הם השתמשו במידע כמו מספר הטכניקות השונות שהם מפעילים, ואילו כלים או ממשקים הם מנצלים. אך הניתוח שלנו מצביע על כך שהאותות הללו כבר אינם מציגים תמונה מדויקת של רמת הסיכון של סוכן איום נתון.

כעת, כאשר AI יכול לבצע משימות טכניות ברמה גבוהה בשם סוכן, קיים מתאם מועט בין מיומנותו של סוכן איום למספר הטכניקות שבהן הוא משתמש: הסוכנים הפחות מיומנים במאגר הנתונים שלנו השתמשו בממוצע בכ-16 טכניקות נפרדות, בעוד שהמיומנים ביותר השתמשו בכ-20. באופן דומה, הפלטפורמה הספציפית שבה נעשה שימוש – Claude Code, API או ממשק צ'אט – גם לא היתה קשורה לרמת הסיכון של הסוכן.

מה שכן מסייע להבחין בין סוכנים בסיכון גבוה יותר הוא השלב במחזור חיי המתקפה שבו הם מיישמים AI. לדוגמה, הם ממקדים את השימוש ב-AI בטכניקות תובעניות יותר מבחינה תפעולית – כאלו הדורשות זמן ניכר, פיקוח או קבלת החלטות בזמן אמת – כמו גילוי חשבונות, תנועה לרוחב והרחבת הרשאות, ולא רק במשימות המאפשרות להם להשיג גישה ראשונית למערכת.

אך אפילו אות זה נשחק כבר: כפי שנדון בסעיף הקודם, טכניקות תפעוליות אלו הן בדיוק הכיוון שאליו נוטה האוכלוסייה הרחבה יותר ככל שיותר סוכנים מסווגים בסיכון גבוה. המבדיל העמיד יותר הוא סוג ה"פיגומים" (scaffolding) שתוקפים בונים סביב המודל: סוכנים בסיכון גבוה מתכננים ארכיטקטורות המאפשרות למודלים לחבר יחד שלבים נפרדים של מתקפת סייבר ולבצע אותם במינימום התערבות אנושית.

מדוע מסגרות אבטחה צריכות להשתנות

רבות מההתנהגויות המבדילות את הסוכנים בסיכון הגבוה ביותר – כמו שימוש ב-AI כדי לתזמר שלבים בשרשרת המתקפה ברצף, לקבל החלטות בזמן אמת לגבי הצעד הבא, ולבצע פעולות ללא התערבות אנושית – עדיין אינן כלולות כטכניקות תוקף במסגרת MITRE ATT&CK.

ניקח לדוגמה את מבצע ריגול הסייבר בחסות מדינה ששיבשנו בנובמבר 2025. במקרה זה, סוכן זדוני תימרן את Claude Code לנסות לחדור למטרות ברחבי העולם, עם מעט מאוד התערבות אנושית. מיפוי האירוע מול מסגרת MITRE ATT&CK מראה שהסוכן השתמש ב-30 טכניקות על פני 13 טקטיקות, נתון שהיה דומה לסוכנים רבים בסיכון בינוני במאגר הנתונים שלנו. ברור שהתמקדות במספר הטכניקות שבהן השתמש סוכן זה אינה משקפת כמה מסוכנים הם היו באמת (לשם השוואה, יישום מתודולוגיית ניקוד הסיכונים שלנו על מתקפה זו העניק לה ציון סיכון מקסימלי של 100).

באותה מתקפה, המודל פעל כסוכן אוטונומי: הוא ביצע פקודות, ניצל חולשות, גנב אישורי כניסה וקיבל החלטות טקטיות, ודרש התערבות אנושית רק ברגעים קריטיים בודדים. אין מזהה ATT&CK עבור סוג זה של תזמור סוכני – אך אלו הן בדיוק ההתנהגויות שאנו צופים לראות הרבה יותר ככל שסוכני AI יהפכו ליכולתיים יותר.

מבט קדימה

ממצאי ניתוח זה סייעו בגיבוש מנגנוני ההגנה שאנו בונים במודלים שלנו. לדוגמה, פיתחנו ופרסנו מנגנוני הגנה קיברנטיים במודלים היכולתיים ביותר שלנו, כדי לזהות ולחסום חלק מהפעילויות שנחשפו כאן, כמו פיתוח נוזקות או הוצאת נתונים המונית. בעקבות עבודתנו עם Verizon, אנו נמצאים גם בדיונים עם MITRE לגבי האופן שבו מסגרת ATT&CK עשויה להתפתח כדי לכלול את ההתנהגויות מבוססות AI שצפינו בהן.

מודלי חזית משנים במהירות את הכלים העומדים לרשותם של תוקפים ומגנים כאחד. אנו מחויבים לסייע למגנים להקדים את הטקטיקות המתפתחות הללו, ולשים את הכלים החזקים ביותר בידי המגנים תחילה. נמשיך לשתף את מה שאנו לומדים מפרויקט Glasswing, ממאגרי נתונים כמו זה שאספנו כאן, ומפעילויות הסייבר האחרות שלנו.

בפוסט בבלוג Red שלנו, אנו משתפים הדמיה אינטראקטיבית של הטכניקות שבהן השתמשו התוקפים, כדי לסייע למגנים להקדים את איומי הסייבר מבוססי AI.