דו"ח תחזיות הסייבר של חברת הסייבר סייברארק (CyberArk) לשנת 2026 מציג מציאות מאתגרת במיוחד, כזו שבה הטכנולוגיה רצה קדימה מהר יותר מיכולתם של אנשים וארגונים להדביק את הקצב. במרכזו עומדת נקודת מפנה דרמטית בתחום אבטחת הזהויות, שמוגדרת כמרכיב הקריטי ביותר בשמירה על רציפות עסקית בעידן שבו זהויות מכונה מתרבות במהירות, תעודות גישה מתקצרות, ומערכות מבוזרות פותחות פתח לשיבושים חדשים.

לפי סייברארק, הזהות – אנושית או מכונתית – תהפוך בשנה הקרובה לקו הבקרה האחרון של ארגונים. מספר עצום של סוכני AI אוטונומיים מתחברים למערכות קריטיות באמצעות פרוטוקולים דוגמת MCP, לעיתים ללא ידע מספק בניהול הרשאות, והדבר יוצר סכנה של סוכנים “יוצאים משליטה” שמבצעים פעולות לא מורשות ומתפשטים בין מערכות. הכשל הבא, מעריכה החברה, לא יגיע מפרצה קלאסית אלא מהתנהגות שגויה של סוכן AI שהוטעה על ידי דליפה, הנחייה זדונית או שורת קוד לא מבוקרת. בעולם כזה, “מתג ההשבתה” האמיתי הוא לא כבל חשמל אלא היכולת לבטל זהות דיגיטלית בתוך שניות ולהחזיר שליטה לתוך הארגון.

גם בחדרי הדירקטוריון יופיעו סוכני AI, לא כתחליף למנהלים אנושיים אלא כ"מועצות צללים" המסייעות בניתוח נתונים ובסימולציות החלטה. השילוב הזה יעניק ל-AI גישה לשכבות המידע העמוקות ביותר של הארגון ויחייב מערך הגנה חדש לניהול זהויות AI עוצמתיות יותר מכל מה שהכרנו.

לצד זאת, סייברארק מזהירה מפני העמקת "פער ה-AI". מרוץ החימוש לחומרה, שבבים ומינרלים בין מעצמות כמו ארה"ב וסין, יחד עם מגבלות יצוא ומכסים, דוחף ארגונים קטנים מחוץ למשחק. העלויות האדירות של תשתיות AI – משרתים שעולים מאות אלפי דולרים ועד שימוש יומי בענן שיכולה להגיע לאלפי דולרים – מקבעות את השליטה בידי הענקיות, שחלקן רוכשות תחנות כוח שלמות כדי להבטיח אספקת חשמל רציפה למרכזי הנתונים שלהן. בעידן כזה, הבטחת ה-AI עלולה להישאר בלתי ממומשת עבור חלק גדול מהשוק.

הדו"ח מתייחס גם לאיום הפוסט-קוונטי. על אף שה־Q-Day עוד רחוק, היכולות הקוונטיות מתקרבות לנקודה שבה ניתן יהיה לפצח RSA 2048, והדבר מאפשר לשחקני מדינה להתחיל לאסוף כעת מידע מוצפן כדי לפענח אותו בעתיד. סייברארק קוראת לארגונים להפסיק להתייחס לכך כתוכנית עתידית ולהתחיל ביישום מיידי של הגנות פוסט-קוונטיות.

אולם החזית המשמעותית ביותר, על פי הדו"ח, היא דווקא אנושית. בינה מלאכותית מקלה על מציאת מידע אך שוחקת את החשיבה הביקורתית, ומייצרת קרקע פוריה לדיסאינפורמציה ולהנדסה חברתית. עובדים משתמשים בכלי AI לא מאושרים כדי לזרז עבודה ויוצרים “בינה מלאכותית בצללים” שמסתירה פעולות מעיני צוותי האבטחה. עומס ההתראות ומנגנוני האימות גורמים לעייפות המובילה להתעלמות מהתרעות קריטיות. ובמקביל, המצוקה הכלכלית הגוברת הופכת כל עובד פוטנציאלית למטרה: לא עוד עובד ממורמר הפועל לבדו, אלא עובד שנענה לפיתוי כספי מצד גורמי פשע מאורגן או מדינות לאום.

מנקודת מבטם של התוקפים, שנת 2026 תהיה שנת "גניבת המפתחות". עוגיות דפדפן יהפכו ליעד מרכזי, משום שהן מאפשרות להתחבר לשירותים מבלי להזין סיסמה או לעבור אימות רב־שלבי. בעולם של מכונות וסוכנים, מפתחות API ואסימוני גישה יהיו “המפתח הראשי” שפותח דלתות מבלי להשאיר עקבות. בתשתיות low-code ו-no-code ימשיכו להתגלות חולשות, והמהנדסים שבונים סוכני AI ייהפכו למטרה בפני עצמם.

לפי סייברארק, המסר הוא ברור: 2026 תהיה השנה שבה מודל האמון הארגוני יאלץ להיבנות מחדש. ההתמודדות כבר אינה טכנית בלבד, אלא משלב לתוכה גורמים כלכליים, חברתיים והתנהגותיים. אבטחת זהויות – של בני אדם, של מכונות ושל סוכני AI – תהפוך למנגנון המרכזי שיקבע את החוסן הארגוני בעידן החדש. כפי שמסכם הדו"ח, אי אפשר לעצור את ההתקדמות, אבל אפשר לשלוט בזהות שמפעילה אותה.