איך האקרים מנצלים את סערת DeepSeek ואיך אפשר להתגונן?
אחרי סערת DeepSeek, עולות שאלות חדשות על פרטיות, אבטחה והונאות שמנצלות את הבאזז סביב ה-AI; אילו סיכונים חדשים עומדים בפני המשתמשים ואיך ניתן להתגונן?
סערת דיפסיק אומנם מאחורינו, אבל המסקנות והתובנות שעלו ממנה נשארו. בעוד עדיין יש ספקות לגבי האם החברה הסינית באמת הצליחה להשיג ביצועים דומים או טובים יותר מהמודלים המערביים עם מעבדים פחות מתקדמים, עולם ה-AI הוא כבר לא מה שהיה, יש ספקות הרבה יותר גדולים לגבי ההצדקה של השקעות הענק שחברות הטכנולוגיה עושות בכל הנוגע לבינה מלאכותית, אם כי בינתיים נראה שהן ממשיכות.
הבינה המלאכותית הולכת לשנות המון תחומים בחיים שלנו ואחד הבולטים שבהם הוא תחום הסייבר. הבכירים בתעשייה יודעים ומתכוננים לזה - נדב צפריר, המנכ"ל להחדש של צ'ק פוינט Check Point Software Technologies Ltd. -1.01% , אמר בשיחה אחרי הדוחות האחרונים: "העולם שאנחנו הולכים אליו הוא עולם אחר. כולנו מנסים להבין איזה השפעה תהיה למימד של בינה מלאכותית. אנחנו רואים תוקפים שבעבר היו להם יכולות יחסית בסיסיות שהיום יש להם כמעט יכולות על, גם במובן של דיוק וגם במובן של קנה מידה. חלק מההתקפות הכי משמעותיות שראינו בשנים האחרונות היו נראות אחרת לגמרי עם AI, זה די מפחיד. אנחנו חייבים להמשיך ולחקור".
בחברת אבטח המידע ESET סקרו את האופן שבו נוכלים משתמשים ב-DeepSeek כפיתיון להונאות ותוכנות זדוניות, והציגו כמה מבעיות הפרטיות והאבטחה המרכזיות בתקופה אחרונה, תוך הצעה של מספר דרכים להתגונן.
הונאות ותוכנות זדוניות
דוגמה אחת מגיעה ממשתמש ב-X שפרסם כמה פרטים על אתר שמחקה את האתר הרשמי וקורא למבקרים להוריד את מודל DeepSeek. עם זאת, לחיצה עליו מפעילה הורדה של קובץ הפעלה זדוני שמוצרי ESET מזהים כ-Win32/Packed.NSIS.A. בעוד
האתר במידה רבה נראה אמין, עין חדה תזהה עוד תוספת ליד כתובת האתר עצמה: בניגוד לכפתור "התחל עכשיו" באתר הרשמי, באתר המתחזה מופיע גם כפתור "הורד עכשיו". (DeepSeek השיקה אפליקציות לנייד הן עבור iOS והן עבור Android בהצלחה רבה, אך תוכלו גם להשתמש במודל הבינה המלאכותית
שלו ישירות בדפדפן הדסקטופ שלכם - ללא צורך להוריד דבר). כדי לחזק עוד יותר את סיכויי ההצלחה של ההונאה, התוכנה הזדונית חתומה דיגיטלית על ידי "K.MY TRADING TRANSPORT COMPANY LIMITED".
- דיפסיק חוזרת - מאתגרת את OpenAI ואת גוגל עם גרסאות חדשות; האם האיום אמיתי?
- דיפסיק על ה-AI: "השאלה אינה מה בונים אלא מה ניתן לשמר"
- המלצת המערכת: כל הכותרות 24/7
אחרים גם זיהו דומיינים דומים שנוצרו לאחרונה שמטרתם
לגרום לאנשים לחשוב שהם נחתו על הדבר האמיתי, אך במקום זאת להפריד אותם מהנתונים שלהם או מכספם, כולל על ידי שיווק מניות של מניות DeepSeek לפני ההנפקה (שאינן קיימות באמת). סיכון נוסף קשור למטבעות קריפטו מזויפים של DeepSeek שזינקו במספר רשתות בלוקצ'יין, כאשר חלקם
הגיעו לשווי שוק של מיליוני דולרים תוך זמן קצר. החברה הבהירה ב-X מוקדם יותר בינואר כי לא הנפיקה אף מטבע קריפטוגרפי.
חששות בנוגע לפרטיות ואבטחה סביב DeepSeek
מיד לאחר עלייתה המהירה, DeepSeek
ציינה כי היא עצמה הייתה מטרה ל"מתקפת סייבר בקנה מידה גדול" שגרמה לה להשעות הרשמות משתמשים חדשים. בינתיים, חברת אבטחת הסייבר בענן Wiz מצאה מסד נתונים השייך ל-DeepSeek שחשף בשוגג מפתחות API, יומני מערכת, הנחיות לצ'אט משתמשים ומידע רגיש אחר לאינטרנט הפתוח.
DeepSeek נעלה מאז את מסד הנתונים.
חברות אבטחת הסייבר KELA ופאלו אלטו מצאו כי מודלי הבינה המלאכותית של DeepSeek רגישים למה שמכונה התקפות פריצה וניתן לחתור תחת האבטחה שלהם כדי לייצר פלטים זדוניים, כולל תוכנות כופר, כמו גם לפברק תוכן
כגון הוראות מפורטות ליצירת רעלים וחומרי נפץ. בדומה למקרה של טיקטוק ושירותים מקוונים סיניים אחרים, גם שיטות איסוף הנתונים של DeepSeek זכו לביקורת כמעט מיידית, כולל מצד רשויות רגולטוריות בארה"ב, אירלנד, איטליה וצרפת.
- open AI מעניקה אופציות בשווי 1.5 מיליון דולר לעובד
- פרופ' שעשוע (שוב) מוכר חלום; בחזרה לאקזיט של מובילאיי ועל האקזיט הצפוי ב-AI21
- תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק
- "המטרה שלנו לזהות מה הלקוח רוצה, החזון להיות מנוע...
איך להתגונן?
ב-ESET מציעים לפעול לפי הכללים הבאים: בין אם מדובר באפליקציה חדשה ויראלית, פלטפורמת מדיה חברתית או אפילו הבאזז האחרון סביב כלי AI, פושעי סייבר מיומנים מאוד בניצול האופנות והטרנדים החמים לתוך התחבולות שלהם, ובסופו של דבר הופכים אותם למפתים יותר וקשים יותר
לזיהוי. כדי להגן על עצמכם מפני הונאות בנושא DeepSeek, שימו לב לכל הודעת דוא"ל או מדיה חברתית שמנסה להחזיר את הפופולריות שלה ולדחוף אתכם ללחוץ על קישורים חשודים.
מכיוון שניתן לרתום כלי AI ליצירת קמפיינים משכנעים ביותר של פישינג והתקפות
הנדסה חברתית אחרות, היו סקפטיים לגבי מסרים שמגיעים כרעם ביום בהיר, במיוחד אם הם מציעים משהו טוב מכדי להיות אמיתי כמו הזדמנויות השקעה או מייצרים תחושת דחיפות. עדיף ליצור קשר עם החברה או האדם המוזכר בהודעות ישירות באמצעות ערוצים מאומתים ולנווט לאתר הרשמי על
ידי הקלדתו בדפדפן האינטרנט שלך.
חזקו את ההגנה של החשבונות המקוונים שלכם באמצעות אימות דו-שלבי (2FA) במידת האפשר, כך שיהיה הרבה יותר קשה לפושעי סייבר לגשת לחשבונות שלכם, גם אם הם משיגים את פרטי הכניסה שלכם. הקפידו להשתמש גם בתוכנת
אבטחה רב-שכבתית בכל המכשירים שלכם. בעת אינטראקציה עם DeepSeek או, למעשה, כל מודל AI אחר, שימו לב לנתונים שאתם מזינים לתוכו, כולל שמות, כתובות דוא"ל והעדפות אישיות רגישות. כנ"ל לגבי מידע ארגוני ומידע רגיש אחר.
און גולן, מנכ"ל מייסד 4Model קרדיט: יח"צ"יש היערכות עולמית למצב מתוח או למלחמה ופה אנחנו נכנסים"
שיחה עם און גולן, מייסד ומנכ"ל 4Model
ספר בקצרה על עצמך:
במקור מחדרה, נשוי פלוס 2. מהנדס מכונות בהשכלה שלי, כאשר התחלתי בתור מתכנן בתחום הביטחוני. שירתי בשייטת במשך 6 שנים, ואת הפרויקט גמר של התואר עשיתי ביחידה. היום אני מנכ"ל 4Model ובנוסף אני בוחן פרויקטי גמר שהם מסווגים ונעשים עם חיל הים של סטודנטים במכללת אפקה, וזו סוג של סגירות מעגל עבורי כי גם אני למדתי בה.
ספר על החברה ומניין בא הרעיון?
כמהנדס, כאשר עובדים על פיתוח חדש, ברגע ששלב התכנון נגמר, צריך לייצר אותו, גם אם בכמויות נמוכות ולשם בדיקת המוצר. בנקודה הזו, הרגשתי שיש מצוקה בשוק. אם הייתי מסיים תכנון תוך ארבעה חודשים, כדי לייצר את המוצר היה לוקח עוד חצי שנה, כי צריך לעבור בין 5 ל-30 קבלני משנה רק כדי לייצר אבטיפוס, כאשר אצל כל אחד מהם אתה הלקוח הכי לא חשוב, וזה חונק הרבה חברות הנדסה.
התחלתי לחפש ספקים בסין, טסתי המון פעמים, יצרתי קשרים עם מפעלים. ראיתי שהייצור שם יעיל ומהיר, ואפשר לעשות את רוב העבודה במקום אחד. אחרי עשר שנים כמתכנן מכאני בעצמי, ובשנת 2022, פתחתי את 4Model.
החברה החלה עם ייצור בסין כאשר הלקוחות הראשונים היו חברות הנדסה וסטודיואים שיצרו מוצרים ונתקלו בבעיית ייצור. כיום אנחנו עובדים עם חמישה מפעלים בסין ובהודו. היום במדינת ישראל יש פיקוח של אפ"י כאשר יש חלקים שמותר לייצר בסין ויש כאלה שאסור, ואנחנו מייצרים בהודו במפעל מאושר תעשייה ביטחונית, כאשר הלקוחות שלי הם ברובן בתחום הדיפנס. אפ"י זו מחלקה במשרד הביטחון, והיא הגוף המפקח על הייצור הביטחוני שמכתיב מה מותר ומה אסור. יש רשימה של מדינות שמותר לנו לעבוד איתן ואלו מדינות אסור לנו.
- מתווכי הנשק גוזרים עמלה של 350 מיליון דולר בשנה מהתעשייה הביטחונית בישראל
- לראשונה בישראל: תערוכה ביטחונית בהשתתפות חברות ומשלחות מהעולם
- המלצת המערכת: כל הכותרות 24/7
היום, גם מפעלי ייצור מקומיים מדברים על כך שלפני המלחמה או לפני חמש שנים, רק 30% מההלקוחות שלהם היו מהתעשייה הביטחונית ו-70% אזרחית. היום היחס הזה הוא הפוך. היום כשאנחנו מדברים על תעשייה ביטחונית, בין אם על מערכות התקפה או הגנה וציוד נלווה, ואפילו ייצור מדים ונעליים, הכל חווה גידול מטורף וזה הכל חלק מתעשיית הדיפנס.
סם אלטמן openaiopen AI מעניקה אופציות בשווי 1.5 מיליון דולר לעובד
מדובר בשיא חסר תקדים כאשר החברה גם הרחיבה את מערך הבונוסים ושימור העובדים ואף מעניקה מענקי שימור בשווי מיליונים לעובדים משמעותיים
חברת OpenAI העניקה לעובדיה חבילות תגמול מבוססות מניות בשווי ממוצע של כ־1.5 מיליון דולר לעובד, נתון חסר תקדים בקרב סטארטאפים פרטיים, כך על פי דיווח של הוול סטריט ג'ורנל . מדובר בסכומים שמציבים את עובדי החברה בשורה אחת עם עובדים בכירים בחברות ציבוריות ותיקות, עוד לפני ש־OpenAI עצמה הונפקה או קבעה מסלול ברור להנפקה עתידית. העיתון מציין כי חלק ניכר מהתגמול אינו מגיע בשכר מזומן אלא באופציות וביחידות
הון הצמודות לשווי החברה, שהוערך בעסקאות משניות בעשרות מיליארדי דולרים.
המרוץ העולמי אחר טאלנטים בתחום הבינה המלאכותית הפך בשנים האחרונות לאחד הגורמים המרכזיים שמעצבים את שוק ההייטק, ו־OpenAI ניצבת בלב הזירה הזו. לפי שורת פרסומים בעיתונות הכלכלית האמריקאית והבריטית, החברה פיתחה מדיניות תגמול חריגה בהיקפה, שבמרכזה מתן אופציות ומענקי הון לעובדים כמעט בכל הדרגים, במטרה לשמר כוח אדם איכותי ולהתמודד עם תחרות אגרסיבית מצד ענקיות טכנולוגיה וחברות AI חדשות.
לפי דיווחים ברשת בלומברג ובפייננשל טיימס, מדיניות האופציות של OpenAI עברה בשנה האחרונה שינוי עמוק. החברה צמצמה תחילה את תקופת ההבשלה המקובלת של אופציות, ובהמשך אף ביטלה לחלוטין מנהג המכונה vesting cliff, לפיו קיימת תקופת המתנה ראשונית שבה העובד אינו זכאי לאף חלק מההון. המשמעות היא שעובדים חדשים מקבלים זכות מיידית לחלק מהאופציות שלהם, מהלך חריג שנועד להקטין את הפיתוי לעבור לחברות מתחרות שמציעות תגמול מהיר וגבוה.
המהלך הזה אינו מתרחש בוואקום. לפי דיווחים, OpenAI מתמודדת עם לחצים כבדים מצד שחקנים כמו מטה, גוגל וסטארטאפים ממומנים היטב, שמוכנים לשלם סכומים עצומים עבור חוקרים ומהנדסים מובילים בתחום ה־AI. בתגובה, OpenAI הרחיבה גם את מערך הבונוסים ושימור העובדים, כולל מענקי שימור של מיליוני דולרים לעובדים מרכזיים, וגמישות רבה יותר בבחירה בין שכר מזומן לבין תגמול הוני.
- אמזון בוחנת השקעה של כ־10 מיליארד דולר ב־OpenAI
- בזמן שמצמצתם: OpenAI שידרגה את יכולות עיבוד התמונה והמדעים של ChatGPT
- המלצת המערכת: כל הכותרות 24/7
עם זאת, העיתונות הכלכלית מדגישה כי למדיניות הזו יש גם מחיר. היקף התגמול ההוני מהווה מרכיב משמעותי בהוצאות החברה ותורם להפסדים התפעוליים המדווחים שלה. אנליסטים שצוטטו בפייננשל טיימס מציינים כי חלוקת אופציות בהיקפים כה גדולים עלולה ליצור דילול מהותי לבעלי המניות הקיימים ולהשפיע על האופן שבו משקיעים מעריכים את שווי החברה בעתיד.
