דוח איומי ה-AI של גוגל חושף: תוקפים עברו לשימוש תעשייתי ואוטונומי ב-AI

12.05.2026, 11:18
דוח איומי ה-AI המעודכן לשנת 2026 של גוגל תמונה באמצעות Gemini

⭐ נקודות עיקריות

  • גוגל מזהה לראשונה שימוש בפרצת Zero-day שפותחה ככל הנראה בסיוע מודל AI.
  • נוזקות חדשות משתמשות במודלי שפה כדי לנתח ממשקי משתמש ולבצע פעולות אוטונומיות.
  • קבוצות תקיפה מסין, רוסיה וצפון קוריאה משלבות AI בהסוואת קוד ובאיתור חולשות אבטחה.
  • דוח GTIG מצביע גם על עלייה בתקיפות נגד ספריות וכלי פיתוח המשמשים מערכות AI.

גוגל (Google) פרסמה את דוח איומי הבינה המלאכותית (AI Threat Tracker) המעודכן לשנת 2026, המציג כיצד כלי AI הופכים לחלק בלתי נפרד מארגז הכלים של תוקפי סייבר ברחבי העולם.

לפי הדוח של GTIG – קבוצת מודיעין האיומים של גוגל (Google Threat Intelligence Group) – תוקפים כבר אינם משתמשים בבינה מלאכותית רק לצורכי ניסוי, כתיבת טקסטים או אוטומציה בסיסית.

במקום זאת, מודלי שפה גדולים (LLM) משולבים כיום בשלבים שונים של מתקפות סייבר, החל מגילוי חולשות אבטחה ועד ניהול תקיפות אוטונומיות והסוואת קוד זדוני.

החשיבות של הדוח הנוכחי נובעת מכך שהוא מציג מעבר משימוש ניסיוני ב-AI לשימוש תעשייתי ומבצעי בקנה מידה רחב – כולל מקרים שבהם מודלים סייעו בפיתוח פרצות אבטחה חדשות.

שימוש ב-AI לגילוי פרצות Zero-day

אחד הממצאים המרכזיים בדוח הוא זיהוי ראשון של פרצת אבטחה מסוג Zero-day שפותחה ככל הנראה בסיוע בינה מלאכותית.

לפי גוגל, הפרצה שולבה בסקריפט Python שאפשר לעקוף מנגנוני אימות דו-שלבי (2FA) במערכות ניהול שרתים פופולריות.

החברה מציינת כי מבנה הקוד, אופן כתיבת ההערות והלוגיקה הפנימית של האקספלויט (Exploit) מעידים בסבירות גבוהה על שימוש במודל שפה גדול לצורך גילוי החולשה ופיתוח הקוד הזדוני.

לפי הדוח, מדובר בקבוצת פשע סייבר שתכננה להשתמש בפרצה במתקפה רחבת היקף, אך גוגל זיהתה את הפעילות מראש ועבדה עם החברה שמוצריה היו מושפעים מהפרצה לטובת חשיפה אחראית ומניעת הניצול בפועל.

ב-GTIG מסבירים כי מודלים מתקדמים מסוגלים לזהות כשלים לוגיים והנחות עבודה שגויות של מפתחים – תחום שבו כלי סריקה מסורתיים מתקשים לעיתים לזהות בעיות מורכבות.

עוד עולה מהדוח כי קבוצות תקיפה המזוהות עם סין וצפון קוריאה כבר החלו לאמן מודלים על מאגרי מידע של חולשות עבר, במטרה לזהות ליקויי אבטחה חדשים במהירות גבוהה יותר.

דוח איומי ה-AI המעודכן לשנת 2026 של גוגל
התמונה נוצרה באמצעות Gemini

נוזקות אוטונומיות ושימוש ב-PROMPTSPY

הדוח מתייחס גם לדור חדש של נוזקות המסוגלות לפעול באופן עצמאי בתוך מכשירי הקורבנות, ללא צורך בשליטה ידנית רציפה מצד התוקפים.

אחת הדוגמאות המרכזיות היא PROMPTSPY – נוזקה לאנדרואיד שזוהתה לראשונה על ידי חברת האבטחה ESET, ושגוגל חושפת בדוח הנוכחי יכולות נוספות שלה.

הנוזקה משתמשת ב-Gemini API של גוגל כדי לנתח בזמן אמת את ממשק המשתמש של המכשיר.

לפי הדוח, הנוזקה מסוגלת “לקרוא” את מבנה המסך, לזהות כפתורים, לחשב את מיקומם ולבצע פעולות כמו לחיצות, מחוות גלילה וניווט אוטומטי בתוך המערכת.

גוגל מציינת כי PROMPTSPY משתמשת ביכולות אלו גם כדי למנוע מהמשתמש להסיר אותה מהמכשיר, באמצעות שכבת הגנה בלתי נראית הממוקמת מעל כפתור ההסרה (Uninstall).

קוד הסוואה ותקיפות שרשרת אספקה

ממצא נוסף בדוח עוסק בשימוש הולך וגובר ב-AI לצורכי הסוואת פעילות זדונית.

לפי גוגל, קבוצות תקיפה המזוהות עם רוסיה משתמשות במודלים ליצירת “קוד דמה” (Decoy Code) – קטעי קוד לגיטימיים לכאורה המושתלים בתוך נוזקות במטרה להקשות על מערכות אנטי-וירוס וחוקרי אבטחה לזהות את הרכיבים הזדוניים האמיתיים.

במקביל, GTIG מזהה עלייה בתקיפות נגד שרשרת האספקה של מערכות AI. קבוצות כמו TeamPCP מתמקדות בתקיפת ספריות קוד פתוח, תוספים ורכיבי תשתית המשמשים לחיבור מודלי שפה בארגונים.

מטרת התקיפות הללו היא בין היתר גניבת מפתחות גישה (API Keys) לשירותי AI, מה שמאפשר לתוקפים לנצל משאבי מחשוב ארגוניים או להרחיב את הגישה שלהם לרשתות פנימיות.

ה-AI הופך לכלי של תוקפים – וגם של מגנים

לצד האיומים החדשים, גוגל מדגישה כי טכנולוגיות AI משמשות גם לצורכי הגנה ואבטחה.

לדברי החברה, היא מפעילה מנגנוני הגנה אקטיביים הכוללים חסימת חשבונות חשודים ושימוש בסוכני AI כמו Big Sleep לצורך איתור חולשות אבטחה לפני ניצולן בפועל.

הדוח מסכם כי עולם הסייבר נכנס לשלב חדש שבו בינה מלאכותית אינה רק כלי עזר עבור תוקפים, אלא חלק מרכזי מתשתית התקיפה עצמה – מצב שמוביל למירוץ מתמשך בין מערכות ההגנה לבין גורמי האיום.

דבר העורך

המעבר משימוש ניסיוני ב-AI לשימוש מבצעי בקנה מידה רחב, אותו גוגל מציגה בדוח, רלוונטי במיוחד לשוק הישראלי.

ישראל היא יעד מועדף לקבוצות תקיפה הממומנות מטעם מדינות – ואלו בדיוק אותן קבוצות שהדוח של גוגל מזהה כמי שמובילות באימוץ AI לצרכי תקיפות סייבר.

נוזקות מסוג PROMPTSPY, שמסוגלות לפעול אוטונומית על מכשירי אנדרואיד באמצעות ניתוח ממשק משתמש בזמן אמת, מציבות אתגר חדש בפני משתמשים פרטיים וגם בפני אגפי ה-IT של ארגונים.

כלי האבטחה בהם נעשה שימוש עד היום לא תוכננו על מנת להתמודד עם נוזקה ש”מבינה” מה מוצג על המסך, ועל כן אנו עדים לאחרונה לגל של כלים כמו אלו שמתארת גוגל בדוח הנוכחי שלה, לצד כלים אחרים בתחום הסייבר כמו Claude Mythos של אנתרופיק או GPT-5.4-Cyber של OpenAI, בהם כבר נעשה שימוש לאיתור פרצות במהירות ובכמות שלא נראתה בעבר.

מקור: Google Cloud
השוואת מפרטים
ביטול השוואה