שיעור 0: למה אבטחה ובקרת עלויות AI זה לא 'אחר כך'?
בשלב הקודם למדת/ם לבנות API routes ולחבר AI לאפליקציה. אבל לפני שצוללים לקוד, כדאי לעצור רגע: שני סוגי כשלים ספציפיים לפיצ'רי AI חמורים בהרבה מבאגים רגילים. מפתח API שדולף לצד ה-client חשוף לכל מי שפותח DevTools — ומאפשר לכל אחד להריץ בקשות על חשבונך, או לגרום למודל לחשוף מידע שלא אמור להיות נגיש. ו
כמו שמשאירים ברז פתוח בלילה — לא רואים נזק מיד, אבל עד הבוקר הבית מוצף; קריאת AI בלי בקרה יכולה 'להציף' גם סיכון אבטחה וגם חשבון ענק לפני שמישהו שם לב.
- מפתח דלוף
- מפתח API או סוד גישה שנחשף בטעות לצד הלקוח או ל-repo ציבורי, ומאפשר לכל אחד להשתמש בו כאילו הוא הבעלים.
- הזרקת פרומפט
- קלט זדוני שמנוסח כך שיגרום למודל השפה להתעלם מההוראות המקוריות ולבצע פעולה אחרת — כמו חשיפת מידע של משתמשים אחרים.
- התפרצות עלות
- מצב שבו באג או עיצוב לקוי גורמים לקריאות AI מיותרות וחוזרות, וההוצאה גדלה מהר בלי שאף אחד שם לב עד שהחשבון מגיע.
- רדיוס נזק
- היקף הנזק שכשל בודד יכול לגרום — כמה משתמשים, נתונים או כסף נחשפים כשמשהו משתבש.