
64 מיליון בני אדם הגישו מועמדות לעבודה. סיסמת "123456" חשפה את הסודות שלהם.
הייתי בשיחה עם לקוח פוטנציאלי — חברת לוגיסטיקה בגודל בינוני — כשסיפור McHire התפוצץ. השותף המייסד שלי שלח לי קישור באמצע משפט. הצצתי בו, קראתי את שתי השורות הראשונות, ונדמתי לחלוטין. הלקוח שאל אם אני עדיין שם.
"סליחה," אמרתי. "בדיוק קראתי שפלטפורמת הגיוס מבוססת ה-AI של מקדונלד'ס — זו שמסננת מיליוני מועמדים — הייתה מוגנת בסיסמה '123456'. ומישהו פשוט נכנס."
השתררה שתיקה ארוכה. ואז הלקוח אמר: "זה בעצם המערך שלנו."
הוא צחק חצי בצחוק. אבל רק חצי.
פרצת McHire של יוני 2025 חשפה את הנתונים האישיים של כ-64 מיליון מחפשי עבודה — שמות, כתובות אימייל, מספרי טלפון, כתובות IP, תמלילי צ'אט עם מגייסת AI בשם "אוליביה", והכי מטריד — תוצאות מבחני האישיות שלהם. וקטור התקיפה לא היה מתקפה מתוחכמת של מדינת לאום. זה לא היה ניצול zero-day שדרש צוות האקרים עילית. זו הייתה סיסמת מנהל ברירת מחדל שנותרה ללא שינוי מאז 2019, בחשבון ללא אימות רב-שלבי, ששמרה על API שאִפשר לכל אחד לעבור בין מזהי מועמדים בשורת הכתובת של הדפדפן.
כשאני מספר לאנשים מה אנחנו עושים ב-Veriprajna — בונים מערכות AI עם אבטחה וממשל שמוטמעים בארכיטקטורה — אני לפעמים מקבל את הנהון הנימוסי שמשמעותו "בטח, אבל זה לא יותר מדי?" פרצת McHire היא התשובה שלי. זה לא יותר מדי. זה המינימום ההכרחי. ורוב החברות אפילו לא עושות את זה.
מה בעצם קרה בתוך פלטפורמת McHire?

הפרצה לא התגלתה על ידי צוות מודיעין איומים או סוכנות ממשלתית. היא התחילה עם שני חוקרי אבטחה — איאן קרול וסם קרי — ששמו לב למשהו שגרתי: משתמשים התלוננו שצ'אטבוט "אוליביה" מלא באגים. חוויית הקצה הקדמי הייתה מסורבלת ולא אמינה.
הפרט הזה חשוב. מניסיוני, ממשק קצה שבור הוא כמעט תמיד סימן. אם חברה לא השקיעה בחלק שהמשתמשים רואים, תארו לעצמכם מה קורה בחלקים שהם לא.
קרול וקרי התחילו לחטט ומצאו פורטל ניהול המיועד לעובדי Paradox.ai — הספק שבנה והפעיל את McHire בשם מקדונלד'ס. הם ניסו חשבון בדיקה. שם המשתמש? "123456". הסיסמה? "123456". זה עבד.
אני זוכר שקראתי את זה והרגשתי סוג מסוים של כעס שכל מי שאי פעם בנה מערכות ייצור יזהה. זו לא הפתעה — זהו הזעם של הידיעה שזה היה ניתן למניעה לחלוטין. זו לא הייתה תצורה שגויה עדינה באשכול Kubernetes. זה היה המקבילה הדיגיטלית להשארת דלת הכספת פתוחה עם פתק שאומר "המפתח מתחת לשטיח".
אבל הסיסמה הייתה רק השלב הראשון. ברגע שנכנסו, החוקרים גילו פגיעות מסוג Insecure Direct Object Reference — IDOR, בשפת האבטחה. זה אומר שה-API לא אימת אם משתמש מחובר באמת מורשה לראות את הנתונים של מועמד מסוים. על ידי שינוי מספר מזהה המועמד בכתובת ה-URL — פשוט כפשוטו הגדלת מספר — הם יכלו לשלוף את הרשומות המלאות של כל מועמד במערכת.
שישים וארבעה מיליון מהם.
מדוע נתוני מבחני אישיות הם הסוג הגרוע ביותר של נתונים לדלוף
כאן רוב הסיקור של הפרצה הזו טועה. הכותרות התמקדו בסיסמה — "123456", חה חה, כמה טיפשי — והמשיכו הלאה. אבל האסון האמיתי אינו פרטי הגישה. זה מה שהיה מאחורי זה.
מספרי כרטיסי אשראי אפשר לבטל. סיסמאות אפשר לשנות. אבל תוצאות הערכת אישיות? ציוני סינון התנהגותי? התמלילים של שיחה שבה AI חקר את המזג שלך, את התגובות הרגשיות שלך, את סגנון הקונפליקט שלך?
הנתונים האלה הם אתה. הם לא פגים תוקף.
כשפרופיל אישיות דולף, אי אפשר להחליף אותו כמו סיסמה. טביעת האצבע הפסיכומטרית שלך עוקבת אחריך לנצח.
ביליתי לילה מאוחר אחרי הפרצה בקריאת מחקרים על ההשפעה הפסיכולוגית של חשיפת נתונים. המספרים מדהימים: כמעט 70% מקורבנות הפרצות מדווחים על חוסר יכולת מתמשך לבטוח באחרים. שני שלישים חווים חוסר אונים עמוק. מחקרים קישרו חשיפת נתונים אישיים לחרדה, דיכאון ו-PTSD. וחומרת הפגיעה גדֵלה עם האינטימיות של הנתונים — כתובת אימייל שדלפה צורבת; הערכת אישיות שדלפה שאומרת שאתה "לא יציב רגשית" או בעל "מצפוניות נמוכה" יכולה להרגיש כמו נתיחה פומבית.
עבור מחפשי עבודה — רבים מהם צעירים, רבים מהם מגישים מועמדות לעבודה הראשונה שלהם ברשת מזון מהיר — זה אכזרי במיוחד. הם נכנעו למבחן אישיות כי AI אמר להם. לא הייתה להם דרך משמעותית להבין אילו נתונים נאספו, כיצד הם אוחסנו, או מי יכול לגשת אליהם. וכעת הנתונים האלה שם בחוץ, פוטנציאלית לנצח, בעולם שבו מעסיקים עתידיים, מבטחים או גורמים זדוניים עלולים להשתמש בתכונות שהוסקו נגדם.
לצוות שלי הייתה מחלוקת על זה. אחד המהנדסים שלנו אמר, "תראה, הנתונים נחשפו אבל כנראה לא הוצאו בפועל בקנה מידה גדול — החוקרים דיווחו על זה באחריות." ומבחינה טכנית, זה נכון. Paradox תיקנה את הפגיעות תוך שעות מההודעה. אבל התנגדתי בחריפות. השאלה אינה אם מערך הנתונים הספציפי הזה הסתיים בפורום ברשת האפלה. הנקודה היא שהארכיטקטורה אִפשרה את זה. המערכת תוכננה באופן שבו סיסמת ברירת מחדל ודפדפן הספיקו כדי לגשת לפרופילים הפסיכומטריים של 64 מיליון בני אדם. זו לא כמעט-החמצה. זהו כשל בפילוסופיית העיצוב.
המפתח בווייטנאם והסיסמה שפתחה הכול
יש עלילת משנה לסיפור הזה שלא זכתה למספיק תשומת לב. חקירות חשפו שמפתח של Paradox.ai הממוקם בווייטנאם נפרץ על ידי זן תוכנה זדונית בשם Nexus Stealer — כלי לגניבת פרטי גישה הנמכר בפורומים של פשיעת סייבר. ההדבקה הוציאה מאות סיסמאות ממכשיר המפתח. רבות מהן היו חלשות וממוחזרות, תוך שימוש באותה סיסמת בסיס בת שבע ספרות על פני שירותים מרובים.
אותו מפתח בודד שנפרץ חשף פרטי גישה המשויכים לחשבונות Paradox.ai של לקוחות כולל Pepsi, Lockheed Martin, Lowe's ו-Aramark.
אני רוצה שתשהו עם זה לרגע. אדם אחד. מחשב נייד נגוע אחד. סיסמה ממוחזרת אחת. ופתאום נתוני הגיוס של חלק מהמעסיקים הגדולים ביותר באמריקה נמצאים בסיכון.
זה מה שאני מכנה בעיית "הצומת האנושי", וזה הדבר שמדיר שינה מעיניי הרבה יותר מכל וקטור תקיפה אקזוטי של AI. אתה יכול לבנות את המודל המתוחכם ביותר בעולם, לכייל אותו על נתונים נקיים, לעטוף אותו ב-guardrails — ואז היגיינת הסיסמאות של מפתח בודד מפילה את כל מגדל הקלפים. העלות הממוצעת של פרצת נתונים ב-2025 הגיעה ל-4.44 מיליון דולר. אבל ארגונים ממשיכים להתייחס לניהול זהויות כמחשבה שלאחר מעשה, משהו שצוות ה-IT מטפל בו עם סרטון הדרכה שנתי שאף אחד לא צופה בו.
האבטחה של מערכת ה-AI שלך לעולם אינה חזקה יותר מפרט הגישה האנושי החלש ביותר בשרשרת.
ב-Veriprajna, בנינו את הארכיטקטורה שלנו סביב ההנחה שגישה אנושית היא וקטור בסיכון גבוה הדורש אימות מתמשך — מה שהתעשייה מכנה Zero Trust. לא כי איננו בוטחים בצוות שלנו, אלא כי ראיתי מה קורה כשבוטחים בכל נקודת אימות בודדת שתחזיק את הקו.
מה "Deep AI" בעצם אומר — ולמה שיהיה לך אכפת?
אני צריך להציג הבחנה שאני חושב שהיא הרעיון החשוב ביותר ב-AI ארגוני כרגע, ואחת שפרצת McHire ממחישה בצורה מושלמת: ההבדל בין AI Wrapper ומה שאנחנו מכנים Deep AI.
AI Wrapper הוא מה שרוב החברות בעצם בונות כשהן אומרות שהן "עושות AI". זו שכבת אפליקציה דקה — לעיתים קרובות צ'אטבוט או טופס — ששולחת קלטי משתמש למודל יסוד כמו GPT-4 או Claude דרך API, מקבלת תגובה, ומציגה אותה. ה-AI הוא שירות שאתה שוכר. האפליקציה שלך היא חלון הראווה. האבטחה, ניהול הנתונים, הממשל — כל זה מוברג מלמעלה בדיעבד, תוך שימוש באותן שיטות פיתוח אינטרנט שהיית משתמש בהן לכל אפליקציית CRUD.
"אוליביה" של Paradox.ai הייתה, מבחינה ארכיטקטונית, wrapper. מתוחכם, בהחלט. אבל תנוחת האבטחה הייתה מעוגנת בתשתית אינטרנט מסורתית — והתשתית הזו נכשלה ברמה הבסיסית ביותר שאפשר לדמיין.
Deep AI שונה מהותית. הוא מתייחס למודל ה-AI כאל פרימיטיב ארכיטקטוני — כמו מסד נתונים או תור הודעות — עם גבולות אבטחה משלו, בקרות גישה משלו, מסלולי ביקורת משלו. המודל אינו קופסה שחורה שאתה קורא לה; הוא רכיב שאתה מנהל. אתה בונה נתבי prompt, שכבות זיכרון, מעריכי משוב. אתה מיישם הגנות שכבתיות שמניחות שכל קלט עוין וכל פלט אינו מהימן.
כתבתי על פילוסופיה ארכיטקטונית זו לעומק בגרסה האינטראקטיבית של המחקר שלנו, אבל התובנה המרכזית פשוטה: אם אסטרטגיית אבטחת ה-AI שלך היא "נוסיף אימות ו-WAF", אתה בונה wrapper, ואתה במרחק סיסמת ברירת מחדל אחת מאסון.
ההגנה בת 5 השכבות שאף אחד לא רוצה לבנות

אחרי החדשות על McHire, כינסתי את צוות ההנדסה שלי לחדר ואמרתי: "הסבירו לי בדיוק כיצד המחסנית שלנו הייתה מונעת את זה." לא כי פקפקתי בהם — אלא כי רציתי להעמיד במבחן לחץ כל הנחה.
בילינו על זה שלוש שעות. בשלב מסוים, מהנדס האבטחה הראשי שלנו צייר על הלוח תרשים שנראה כמו חתך של טירה מימי הביניים — טבעות הגנה קונצנטריות, שכל אחת פועלת באופן עצמאי. אם אחת נופלת, הבאה מחזיקה. הנה איך זה נראה בפועל:
הטבעת החיצונית ביותר היא חיטוי קלט — כל prompt, כל קריאת API עוברים ניקוי מכל דבר שעלול להתפרש בטעות כפקודת הזרקה. הטבעת השנייה היא זיהוי איומים היוריסטי, שסורק באופן פעיל אחר דפוסים יריביים ידועים. השלישית היא עטיפת מטא-prompt, שבה בקשת המשתמש נעטפת במעטפה מאובטחת של הוראות שהמודל אינו יכול לעקוף.
הטבעת הרביעית היא המקום שבו זה נעשה מעניין: מודלי canary ומודלי הכרעה. מודל קטן יותר מנתח את הבקשה תחילה. אם הוא מסמן משהו חשוד, מודל שני מקבל את ההחלטה הסופית. זו מערכת חברים ל-AI — אף מודל בודד אינו רשאי לפעול באופן חד-צדדי.
הטבעת החמישית והפנימית ביותר היא אימות פלט. כל תגובה שה-AI מייצר נחשבת לא מהימנה עד שיוכח אחרת. שכבות הסתרת PII סורקות אחר נתונים רגישים. מסווגי רעילות בודקים תוכן מזיק. שום דבר לא עובר בלי שייבדק.
הנה הדבר שתסכל אותי במהלך אותה ישיבת לוח: שום דבר מזה אינו אקזוטי. שום דבר מזה אינו דורש פריצת דרך מחקרית. זו משמעת הנדסית המיושמת על תחום חדש. הסיבה שרוב החברות לא עושות את זה היא שזה יקר, זה איטי, וזה לא מדגים היטב. צ'אטבוט wrapper אפשר לבנות בסוף שבוע ולהציג לדירקטוריון ביום שני. מערכת AI מנוהלת כראוי לוקחת חודשים. נחשו איזו מהן מקבלת מימון.
לתעשיית ה-AI יש בעיית הדגמה: הדבר שמרשים משקיעים במצגת הוא ההפך הארכיטקטוני מהדבר שמגן על משתמשים בייצור.
מדוע החוק מתייחס לנתוני אישיות כאילו הם רדיואקטיביים?
שאלה שאני מקבל מכל CTO שאני מדבר איתו: "עד כמה החשיפה המשפטית כאן גרועה, באמת?"
התשובה: פוטנציאלית קיומית.
על פי ה-CCPA, ניתן לתבוע עסק אם מידע אישי לא מוצפן נגנב עקב כשל בשמירה על "נהלי אבטחה סבירים". פיצויים סטטוטוריים הם 750 דולר לצרכן לכל אירוע. הכפילו את זה ב-64 מיליון רשומות ואתם מסתכלים על חבות תיאורטית של 48 מיליארד דולר. שום בית משפט לא היה פוסק את הסכום המלא הזה, אבל אפילו חלק קטן ממנו מסיים חברה.
על פי GDPR, הקנסות מוגבלים ל-20 מיליון אירו או 4% מהמחזור השנתי הגלובלי — הגבוה מביניהם. וה-EU AI Act, המסווג AI לגיוס כ"סיכון גבוה", מציג קנסות של עד 35 מיליון אירו או 7% מהמחזור הגלובלי על אי-עמידה בהערכות סיכונים חובה ובדרישות פיקוח אנושי.
אבל הנה מה שרוב הניתוחים המשפטיים מפספסים: הנזק התדמיתי גרוע יותר מהקנסות. שוחחתי עם CHRO בחברת Fortune 500 כמה שבועות אחרי הפרצה. היא סיפרה לי שהצוות שלה העריך כלי גיוס מבוססי AI וצמצם לרשימה קצרה של שלושה ספקים. אחרי סיפור McHire, המנכ"ל חיסל את כל היוזמה. "נעשה את זה ידנית עוד שנה," הוא אמר. "אני לא הולך להיות הכותרת הבאה."
זו העלות האמיתית. לא רק ל-Paradox.ai, אלא לכל חברת AI לגיטימית שמנסה לבנות אמון עם קונים ארגוניים. פרצה קטסטרופלית אחת מרעילה את הבאר עבור כולם.
כיצד באמת מנהלים AI שמקבל החלטות על אנשים?
כאן אני חייב להיות כן לגבי משהו לא נוח: מסגרות ממשל נשמעות משעממות. ISO 42001, NIST AI RMF, OWASP Top 10 for LLMs — אלה אינם הדברים שמלהיבים מייסדים בארוחות ערב. אבל הם הדברים שמפרידים בין חברות ששורדות ביקורת רגולטורית לבין חברות שלא.
ISO 42001 הוא התקן הבינלאומי הראשון בעולם למערכות ניהול AI. הוא דורש מארגונים לזהות סיכונים ייחודיים ל-AI, לקבוע יעדים ברורים לשקיפות ובטיחות, לבצע הערכות השפעה לכל מערכת AI, ולקיים ניטור מתמשך באמצעות ביקורות פנימיות. זה לא תרגיל של סימון תיבה — זו מערכת ניהול שמכריחה אותך לחשוב על ממשל AI כמו שאתה חושב על בקרות פיננסיות.
מסגרת ניהול הסיכונים של NIST ל-AI מספקת את עוגן המדיניות, מאורגנת סביב ארבע פונקציות: GOVERN, MAP, MEASURE, MANAGE. בפרצת Paradox, פונקציית ה-GOVERN נכשלה בצורה הבולטת ביותר — לא הייתה אחריותיות ארגונית לביטול חשבון המנהל המיושן שישב שם מאז 2019.
ומסגרת OWASP — במיוחד העדכון שלה מ-2025 עבור agentic AI — מעניקה למפתחים טקסונומיה מדורגת של הפגיעויות הקריטיות ביותר. Agent Goal Hijack, שבו תוכן זדוני משנה את ההתנהגות המרכזית של סוכן. Tool Misuse, שבו סוכן מרומה להשתמש ביכולת לגיטימית למטרה מזיקה. Memory Poisoning, שבו נתונים רעים מוזרקים לזיכרון ארוך הטווח של סוכן מתמשך.
עבור הפירוק הטכני המלא של האופן שבו מסגרות אלה מצטלבות, כולל פרטי יישום ומפת דרכים בת 90 יום ל-CXO, פרסמתי מסמך נלווה מפורט. אבל התקציר הניהולי הוא זה: עד 2026, ממשל AI לא יהיה אופציונלי. הוא יהיה תנאי מוקדם לעשיית עסקים עם כל ארגון שיש לו צוות משפטי.
"אי אפשר פשוט להוסיף אבטחה מאוחר יותר?"
אנשים שואלים אותי את זה כל הזמן. התשובה תמיד זהה, והיא תמיד לא נוחה: לא. אי אפשר.
אבטחה שמוברגת בדיעבד היא תיאטרון אבטחה. זה מנעול על דלת שכבר הוסרה מציריה. פרצת McHire מוכיחה את זה — ל-Paradox.ai היה אימות. היה להם פורטל מנהל. ככל הנראה היה להם איזשהו תהליך ביקורת אבטחה. אבל בגלל שהאבטחה לא הוטמעה בארכיטקטורה מהיום הראשון, כל המערכת הייתה חזקה בדיוק כמו סיסמה שפעוט יכול לנחש.
התנגדות נוספת שאני שומע: "אבל אנחנו משתמשים בספק ענן גדול. האבטחה שלהם לא מספיק טובה?" המפתח של Paradox בווייטנאם נפרץ על ידי תוכנה זדונית סטנדרטית — לא ניצול של תשתית ענן. לספק הענן שלך יכולה להיות אבטחה מושלמת והמערכת שלך עדיין יכולה להיפרץ כי מפתח מיחזר סיסמה על פני שירותים. ההיקף אינו במקום שאתה חושב שהוא נמצא.
ואז יש את זה שגורם לי לכעוס באמת: "ספק ה-AI שלנו מטפל באבטחה." זה בדיוק מה שמקדונלד'ס חשבה. הם העבירו את הגיוס מבוסס ה-AI שלהם במיקור חוץ ל-Paradox.ai, ובכך העבירו במיקור חוץ גם את תנוחת האבטחה שלהם לספק שפורטל המנהל שלו היה מוגן ב"123456". שרשרת האספקה היא היקף האבטחה כעת. אם אינך מנהל את תשתית ה-AI של הספקים שלך באותה קפדנות שאתה מיישם על שלך, אינך מאציל סיכון — אתה מתעלם ממנו.
המחשבה שאני לא מצליח לנער מעליי
הנה מה שאני חוזר אליו שוב ושוב, שבועות אחרי שסיפור McHire התפוצץ לראשונה.
שישים וארבעה מיליון בני אדם — רבים מהם בני נוער, רבים מהם מגישים מועמדות לעבודה הראשונה שלהם — ישבו מול מסך וענו על שאלות מצ'אטבוט AI. הם שיתפו מידע על עצמם כי המערכת אמרה להם. לא היה להם מנוף, לא כוח מיקוח, לא יכולת לומר "בעצם, אני מעדיף לא לעשות מבחן אישיות כדי להפוך המבורגרים." אי-הסימטריה בכוח הייתה מוחלטת.
והמערכת שהחזיקה את הנתונים שלהם — השמות שלהם, הפרופילים ההתנהגותיים שלהם, הערכת ה-AI לאישיות שלהם — הייתה מוגנת באותה סיסמה שהבת שלי משתמשת בה לחשבון ה-Roblox שלה.
בנינו מערכות AI שיכולות להעריך אישיות אנושית בקנה מידה גדול. פשוט שכחנו להגן על בני האדם.
זו לא בעיה טכנולוגית. זו בעיית ערכים. זה מה שקורה כשהתעשייה מתייחסת ל-AI כמוצר לשילוח ולא כמערכת לנהל. כש"תזוז מהר ותשבור דברים" פוגש "אנחנו מקבלים החלטות אוטומטיות על פרנסתם של אנשים."
עידן ה-wrapper הסתיים. החברות ששורדות את הגל הבא של רגולציה, את הפרצה הבאה, את יום הדין הציבורי הבא — יהיו אלה שבנו אבטחה אל תוך היסוד, לא אלה שהבריגו אותה בדיעבד אחרי הכותרת. ב-Veriprajna, זה סוג ה-AI היחיד שאנחנו מוכנים לבנות. לא כי זה קל יותר. אלא כי החלופה בלתי ניתנת להגנה.
הסיסמה "123456" צריכה להיות שריד עבר. הארכיטקטורה שאִפשרה לה להיות משמעותית צריכה להיכחד. ו-64 מיליון בני האדם שהנתונים שלהם נחשפו ראויים למשהו טוב יותר מההגדרה הנוכחית של התעשייה ל"מספיק טוב".


