אל תסמכו על סוכני AI

28 בפברואר 2026 · Gavriel Cohen

כשבונים עם סוכני AI, צריך להתייחס אליהם כאל גורמים לא מהימנים ופוטנציאלית זדוניים. בין אם אתם מודאגים מהזרקת פרומפט, ממודל שמנסה לברוח מהסנדבוקס שלו, או ממשהו שאף אחד עדיין לא חשב עליו, לא משנה מה מודל האיומים שלכם, אל תסמכו על הסוכן. הגישה הנכונה היא לא בדיקות הרשאות טובות יותר או רשימות היתר חכמות יותר. אלא ארכיטקטורה שמניחה שסוכנים יתנהגו בצורה בעייתית ומכילה את הנזק כשזה קורה.

זה העיקרון שעליו בניתי את NanoClaw.

אל תסמכו על התהליך

OpenClaw רץ ישירות על המכונה המארחת כברירת מחדל. יש לו מצב סנדבוקס אופציונלי של Docker, אבל הוא כבוי מהקופסה, ורוב המשתמשים אף פעם לא מפעילים אותו. בלעדיו, האבטחה נשענת לחלוטין על בדיקות ברמת האפליקציה: רשימות היתר, דיאלוגי אישור, סט של פקודות “בטוחות”. הבדיקות האלה נובעות מאמון מרומז שהסוכן לא ינסה לעשות משהו לא תקין. ברגע שמאמצים את הגישה שסוכן הוא פוטנציאלית זדוני, ברור שחסימות ברמת האפליקציה לא מספיקות. הן לא מספקות אבטחה הרמטית. סוכן נחוש או שנפרץ יכול למצוא דרכים לעקוף אותן.

ב-NanoClaw, בידוד באמצעות קונטיינרים הוא חלק מרכזי מהארכיטקטורה. כל סוכן רץ בקונטיינר משלו, על Docker או Apple Container ב-macOS. קונטיינרים הם זמניים, נוצרים מחדש בכל הפעלה ונהרסים אחריה. הסוכן רץ כמשתמש ללא הרשאות מיוחדות ויכול לראות רק תיקיות שהורכבו במפורש. גבול הקונטיינר נאכף על ידי מערכת ההפעלה.

אל תסמכו על סוכנים אחרים

גם כשהסנדבוקס של OpenClaw מופעל, כל הסוכנים חולקים את אותו קונטיינר. יכול להיות שיש לכם סוכן כעוזר אישי ואחר לעבודה, בקבוצות WhatsApp או ערוצי Telegram שונים. כולם באותה סביבה, מה שאומר שמידע יכול לדלוף בין סוכנים שאמורים לגשת לנתונים שונים.

סוכנים לא צריכים לסמוך אחד על השני יותר ממה שאתם סומכים עליהם. ב-NanoClaw, כל סוכן מקבל קונטיינר משלו, מערכת קבצים משלו, והיסטוריית סשן Claude משלו. העוזר האישי שלכם לא יכול לראות את הנתונים של סוכן העבודה כי הם רצים בסנדבוקסים נפרדים לחלוטין.

קונטיינר משותף עוזר אישי סוכן עבודה סוכן קבוצת משפחה מערכת קבצים משותפת כל האישורים נגישים כל היסטוריות הסשנים גלויות כל הנתונים המורכבים משותפים כל הסוכנים רואים הכל קונטיינרים לכל סוכן עוזר אישי /data/personal סשן ייעודי ro × סוכן עבודה /data/work סשן ייעודי rw × סוכן קבוצת משפחה /data/family סשן ייעודי ro סוכנים מבודדים זה מזה

גבול הקונטיינר הוא שכבת האבטחה הקשיחה — הסוכן לא יכול לברוח ממנו ללא קשר לתצורה. מעל לכך, רשימת ההיתר להרכבה ב-~/.config/nanoclaw/mount-allowlist.json משמשת כשכבה נוספת של הגנה לעומק: היא קיימת כדי למנוע מהמשתמש להרכיב בטעות משהו שלא צריך להיחשף, ולא כדי למנוע מהסוכן לפרוץ החוצה. נתיבים רגישים (.ssh, .gnupg, .aws, .env, private_key, credentials) חסומים כברירת מחדל. רשימת ההיתר נמצאת מחוץ לתיקיית הפרויקט, כך שסוכן שנפרץ לא יכול לשנות את ההרשאות של עצמו. קוד האפליקציה המארחת מורכב לקריאה בלבד, כך ששום דבר שהסוכן עושה לא יכול להישמר אחרי שהקונטיינר נהרס.

גם לאנשים בקבוצות שלכם אין לסמוך. קבוצות שאינן הקבוצה הראשית הן לא מהימנות כברירת מחדל. קבוצות אחרות, והאנשים בהן, לא יכולים לשלוח הודעות לצ’אטים אחרים, לתזמן משימות לקבוצות אחרות, או לצפות בנתונים של קבוצות אחרות. כל אחד בקבוצה יכול לשלוח הזרקת פרומפט, ומודל האבטחה מתחשב בכך.

אל תסמכו על מה שאתם לא יכולים לקרוא

ל-OpenClaw יש כמעט חצי מיליון שורות קוד, 53 קבצי תצורה, ויותר מ-70 תלויות. זה שובר את ההנחה הבסיסית של אבטחת קוד פתוח. ל-Chromium יש יותר מ-35 מיליון שורות, אבל אתם סומכים על תהליכי הסקירה של Google. רוב פרויקטי הקוד הפתוח עובדים הפוך: הם נשארים קטנים מספיק כדי שעיניים רבות יוכלו באמת לסקור אותם. אף אחד לא סקר את 400,000 השורות של OpenClaw. הוא נכתב בשבועות ללא תהליך סקירה ראוי. מורכבות היא המקום שבו פרצות מתחבאות, והניתוח של Microsoft אישר זאת: הסיכונים של OpenClaw יכולים לצוץ דרך קריאות API רגילות, כי אף אדם אחד לא יכול לראות את התמונה המלאה.

השוואת שורות קוד: OpenClaw עם כ-400,000 שורות מול NanoClaw עם כ-3,000 שורות

NanoClaw הוא תהליך אחד וקומץ קבצים. אנחנו נשענים בכבדות על Claude Agent SDK של Anthropic, המעטפת סביב Claude Code, לניהול סשנים, דחיסת זיכרון, ועוד הרבה, במקום להמציא את הגלגל מחדש. מפתח מוכשר יכול לסקור את כל קוד המקור בצהריים אחד. זה אילוץ מכוון, לא מגבלה. הנחיות התרומה שלנו מקבלות תיקוני באגים, תיקוני אבטחה, ופישוטים בלבד.

פונקציונליות חדשה מגיעה דרך מיומנויות: הוראות עם מימוש ייחוס מלא ועובד שסוכן קידוד ממזג לתוך קוד המקור שלכם. אתם סוקרים בדיוק איזה קוד יתווסף לפני שהוא נכנס. ואתם מוסיפים רק את האינטגרציות שאתם באמת צריכים. כל התקנה מסתיימת בכמה אלפי שורות קוד המותאמות בדיוק לדרישות הבעלים.

זה ההבדל האמיתי. עם קוד מונוליטי של 400,000 שורות, גם אם אתם מפעילים רק שתי אינטגרציות, שאר הקוד עדיין שם. הוא עדיין נטען, עדיין חלק משטח התקיפה שלכם, עדיין נגיש להזרקות פרומפט וסוכנים סוררים. אי אפשר להפריד בין מה שפעיל למה שרדום. אי אפשר לבקר את זה כי אי אפשר אפילו להגדיר את הגבול של מה שנחשב “הקוד שלכם”. עם מיומנויות, הגבול ברור: כמה אלפי שורות, הכל קוד שבחרתם להוסיף, ואתם יכולים לקרוא כל שורה ממנו. הליבה בפועל מתכווצת עם הזמן: תמיכת WhatsApp, למשל, נשלפת ונארזת כמיומנות.

תכננו לחוסר אמון

אם הזיה או סוכן שמתנהג לא כשורה יכולים לגרום לבעיית אבטחה, אז מודל האבטחה שבור. אבטחה חייבת להיאכף מחוץ למשטח הסוכני, לא להיות תלויה בהתנהגות תקינה של הסוכן. קונטיינרים, הגבלות הרכבה, ובידוד מערכת קבצים קיימים כדי שגם כשסוכן עושה משהו בלתי צפוי, רדיוס הפגיעה מוכל.

שום דבר מזה לא מבטל סיכון. סוכן AI עם גישה לנתונים שלכם הוא מטבעו סידור בסיכון גבוה. אבל התגובה הנכונה היא להפוך את האמון הזה לצר וניתן לאימות ככל האפשר. אל תסמכו על הסוכן. בנו חומות סביבו.

אתם יכולים לקרוא את קוד המקור ואת מודל האבטחה המלא של NanoClaw; הם קצרים מספיק כדי לקרוא בצהריים אחד.