[ ARTICLE · 18.06.2026 ]

Codex של OpenAI סייע לחשיפת מתקפת HTTP/2 Bomb — DoS שמרוקן 30GB+ RAM בשניות

ב-4 ביוני 2026, חוקר אבטחה שעבד על ניתוח פרוטוקול HTTP/2 פתח סשן Codex וביקש מהסוכן לעזור לו לבנות תרחישי בדיקה לזרימות זיכרון בלתי רגילות. הסוכן הציע דפוס של streams מקביליים עם headers שגורמים לשרת להקצות buffers גדולים במיוחד. תוך שעות, הצוות זיהה מתקפה חדשה שמסוגלת לרוקן 30GB של RAM בשרת תוך שניות. זו לא הייתה הדגמה תיאורטית במצגת — זו הייתה מתקפה אמיתית שרץ על שרת production, והיא נחשפה בזכות סוכן AI שעזר לחוקרים לראות דפוס שהם אולי היו מפספסים.

מהי בעצם HTTP/2 Bomb

HTTP/2 Bomb היא מתקפת DoS שמנצלת את המנגנון של HTTP/2 לשליחת streams מרובים בתוך חיבור TCP יחיד. כל stream מקצה buffer בשרת, וכל buffer צורך זיכרון. ההתקפה שולחת מספר גדול של streams במקביל, עם headers שגורמים לכל stream לתפוס כמות גדולה במיוחד של זיכרון. התוצאה: השרת מנסה להקצות buffers לכל ה-streams האלה, ובתוך שניות הוא מגיע ל-30GB ויותר.

מה שהופך את ההתקפה הזו לקשה במיוחד הוא המהירות. הקצב שבו ה-streams נשלחים הוא כה גבוה עד שלשרת אין זמן לזהות שמדובר בהתקפה, לחסום את החיבור, או להתריע למנהל. הכל קורה לפני שה-monitoring הסטנדרטי מספיק להגיב. זה שונה מ-DoS קלאסי שדורש זמן לבנות עומס מתמשך.

המתקפה דורשת רק חיבור יחיד או מספר קטן של חיבורים מתואמים. זה אומר שגם תוקף עם רוחב פס מוגבל יכול להפיל שרת גדול. בניגוד למתקפות DDoS מסורתיות שדורשות botnet, כאן מספיק סקריפט פשוט שרץ ממחשב אחד. זו הסיבה שההתקפה הזו נחשבת למסוכנת במיוחד.

איך Codex סייע בגילוי

המעורבות של Codex בתהליך הגילוי היא הצד המעניין בסיפור. חוקרי אבטחה השתמשו בסוכן כדי לבנות תרחישי בדיקה מורכבים, לסרוק קוד של שרתי HTTP/2, ולזהות דפוסים חשודים בקוד שלהם. הסוכן גם עזר לכתוב PoC (proof of concept) שמדגים את ההתקפה בצורה מבוקרת.

זו לא הפעם הראשונה שסוכן AI משמש במחקר אבטחה, אבל זו אחת הדוגמאות הבולטות שבהן התוצר סומן בפומבי כגילוי אמיתי. החוקרים הודו לסוכן במסמך המחקר, וציינו שללא הסיוע שלו, הגילוי היה לוקח יותר זמן או שלא היה מתרחש בכלל.

המשמעות היא שסוכני AI הופכים מ'כלי לבדיקות תאורטיות' ל'כלי לגילוי מציאותי'. זה הופך את המשחק בתחום האבטחה: מי שמשתמש בסוכן בצורה חכמה יכול לזהות פגיעויות מהר יותר ממי שלא. במקביל, היכולת הזו מעלה גם שאלות: תוקפים יכולים להשתמש באותם סוכנים כדי לפתח מתקפות חדשות.

DoS קלאסיעומס מתמשך, דורש botnetמתבסס על כמות; זמן לזהות ולחסום; דורש תשתית תוקף משמעותית

HTTP/2 Bombbuffers ב-streams, חיבור בודדמתבסס על זיכרון; מסתיים תוך שניות; דורש סקריפט פשוט בלבד

הפגיעות הטכנית: איפה ה-buffer מתפוצץ

כדי להבין את ההתקפה, צריך להבין איך HTTP/2 מקצה זיכרון. כל stream שמגיע לשרת דורש buffer לכותרות, ל-body של הבקשה, ולמצב הפנימי של החיבור. בקונפיגורציה סטנדרטית, buffer לכותרות יכול להגיע ל-16KB או יותר. כשמגיעים אלפי streams במקביל, הכפלה פשוטה מראה שמדובר בעשרות GB.

הבעיה היא שרוב שרתי ה-HTTP/2 לא הטמיעו הגבלות חזקות מספיק על מספר ה-streams הפתוחים לכל חיבור. חלק מהשרתים איפשרו עד 1000 streams פתוחים במקביל, וחלק אפילו יותר. ההתקפה מנצלת את המגבלה הזו: היא שולחת streams רבים במקביל, והשרת מנסה להקצות buffer לכולם בעת ובעונה אחת.

התוצאה היא exhaustion של זיכרון ברמת ה-process. השרת לא יכול להקצות עוד buffers, ה-OS מתחיל להחליף דפים לדיסק, הביצועים צונחים, ובסופו של דבר ה-process נופל או שה-OS מתחיל להרוג תהליכים. בקיצור, שרת שלא מוגדר נכון קורס תוך שניות מתחילת ההתקפה.

ההגנות האפשריות

ההגנה הראשונה היא rate limiting. שרת שמגביל את מספר ה-streams הפתוחים לכל חיבור TCP (למשל ל-100 במקום 1000) מקטין באופן דרמטי את ההשפעה של ההתקפה. שרת שמגביל גם את הקצב שבו streams חדשים נפתחים יוצר זמן תגובה להגנה אוטומטית.

ההגנה השנייה היא monitoring של צריכת זיכרון ברמת התהליך. אם המערכת מזהה ש-process ספציפי מתחיל לצרוך יותר זיכרון מהרגיל, היא יכולה לסגור חיבורים חשודים לפני שהמצב יוצא מכלל שליטה. זה דורש hooks ברמת ה-application או ברמת ה-reverse proxy.

ההגנה השלישית היא עדכוני שרת. רוב השרתים הגדולים (nginx, Apache, Envoy, Caddy) פרסמו הנחיות מעודכנות אחרי החשיפה. מנהלי שרתים צריכים לעקוב אחרי ההנחיות האלה, לעדכן את הקונפיגורציה, ולבדוק שההגנות החדשות עובדות. מי שמשתמש ב-managed services צריך לוודא שהספק כבר עדכן את התשתית.

ההקשר הרחב: סוכני AI במחקר אבטחה

המקרה של HTTP/2 Bomb הוא לא הראשון שבו סוכן AI סייע בגילוי פגיעות, אבל הוא אחד הבולטים ב-2026. במקביל, חוקרים אחרים משתמשים ב-Codex, Claude Code, ו-Cursor כדי לבצע reverse engineering, לכתוב exploits, ולנתח קוד זר. המגמה היא שסוכני AI הופכים לכלי סטנדרטי בארגז הכלים של חוקר אבטחה מקצועי.

למגמה הזו יש שני צדדים. הצד החיובי: סוכן AI יכול לזהות דפוסים במהירות, לסרוק קוד בקנה מידה שאדם לא יכול, ולהציע תרחישי בדיקה שלא חשבו עליהם. הצד השלילי: אותו סוכן יכול לשמש תוקף כדי למצוא פגיעויות, לכתוב exploits, ולהאיץ מתקפות. המשחק בין ההגנה להתקפה הופך הדוק יותר, והכלים הופכים דומים יותר.

המשמעות למפתחים היא שכל אפליקציה שמשרתת HTTP/2 חשופה למתקפה הזו, ושהמהירות שבה צוותי האבטחה יכולים לזהות ולתקן פגיעויות היא קריטית. מי שמחכה לעדכון אוטומטי של הספק שלו מסתכן בפער זמן שבו הוא חשוף. מי שעוקב אחרי גילויים כמו HTTP/2 Bomb ומעדכן את הקונפיגורציה שלו באופן יזום נמצא בצד הבטוח.

מה אפשר ללמוד מהמקרה

הלקח הראשון הוא שפרוטוקולים ישנים יותר יכולים להפתיע. HTTP/2 קיים כבר שנים, ורוב הצוותים חושבים שהוא 'פתר'. המתקפה הזו מראה שגם פרוטוקול בוגר יכול להכיל דפוסי ניצול חדשים שלא חשבו עליהם. הבדיקה התקופתית של קונפיגורציות HTTP/2 בשרתים צריכה להיות סטנדרט.

הלקח השני הוא שסוכני AI הופכים לכלי לגיטימי במחקר אבטחה. זה אומר שצוותי אבטחה צריכים לשלב אותם ב-workflow שלהם, לא להתעלם מהם. מי שמתעלם מהכלים האלה יישאר מאחור.

הלקח השלישי הוא שהגנה צריכה להיות רב-שכבתית. rate limiting לבדו לא מספיק; צריך גם monitoring, גם עדכוני שרת, וגם תוכנית תגובה לאירוע. ארגון שמסתמך על שכבת הגנה אחת ימצא את עצמו חשוף כשהשכבה הזו נכשלת.

בדיקת חשיפה ל-HTTP/2 Bomb: (1) בדוק את הקונפיגורציה של ה-reverse proxy וה-application server לגבי מספר max streams פתוחים לכל חיבור TCP. ערך מומלץ: לא יותר מ-100. (2) ודא שיש rate limiting ספציפי לפתיחת streams חדשים, לא רק לבקשות HTTP. (3) הוסף monitoring לצריכת זיכרון ברמת ה-process, עם התראה אם חריגה מ-80% מהזיכרון המוקצה. (4) בדוק שהגרסאות של nginx, Apache, Envoy או כל שרת אחר בשימוש עדכניות, ושהן כוללות את ההגנות העדכניות.

מה לא ידוע עדיין

למרות החשיפה הפומבית, יש כמה שאלות פתוחות. האם יש וריאציות נוספות של ההתקפה שמנצלות חלקים אחרים בפרוטוקול? האם הספקים הגדולים (Cloudflare, AWS, Fastly) כבר פרסמו הגנות מובניות? ומה הסיכוי שתוקפים ינצלו את אותו Codex שעזר לחוקרים כדי לפתח גרסאות משלהם?

גם לא ברור עד כמה ההתקפה נמצאת בשימוש בשטח. המסמך שפורסם מתאר את ההתקפה ואת ההגנות, אבל לא מציין נפח תקיפות אמיתיות. סביר שהיא תהפוך לכלי סטנדרטי בארסנל של תוקפים בחודשים הקרובים.

מה שבטוח: המקרה הזה מסמן נקודת מפנה במחקר אבטחה. סוכני AI הופכים לכלי לגיטימי, והגילויים שמגיעים בעזרתם זוכים להכרה פומבית. זה ימשיך לגדול, ולאן זה יוביל — אנחנו עוד נגלה.

מתקפה שמסוגלת לרוקן 30GB של RAM בשרת תוך שניות היא לא בעיה טכנית קטנה — והעובדה שסוכן AI סייע לגלות אותה מראה שאנחנו נכנסים לעידן חדש במחקר אבטחה, שבו הכלים הופכים דומים בין הצדדים.

השורה התחתונה: HTTP/2 Bomb היא לא רק מתקפת DoS נוספת; היא דוגמה לכך שפרוטוקול בוגר יכול להפתיע, ושסוכני AI הופכים לכלי מציאותי במחקר אבטחה. מי שמשרת HTTP/2 צריך לבדוק את הקונפיגורציה שלו, לעדכן את השרתים, ולשלב את הכלים החדשים ב-workflow שלו. המתקפה עצמה תעבור; המגמה שהיא מייצגת רק מתחילה.

מקורות

OpenAI's Codex Helps Discover HTTP/2 Bomb DoS Attack (Yahoo Tech)

נקודות עיקריות

ב-4 ביוני 2026 חשפו חוקרים מתקפת DoS חדשה מסוג HTTP/2 Bomb שמסוגלת לרוקן 30GB+ של זיכרון בשרת תוך שניות.
ההתקפה פועלת במהירות שמונעת מהשרת להגיב — אין זמן לזהות, לחסום, או להתריע לפני שהמערכת קורסת.
הגילוי הגיע בסיוע סוכן Codex של OpenAI, ששימש ככלי סיוע לחוקרים במהלך תהליך חשיפת הפגיעות.
מדובר באחת הדוגמאות הבולטות ב-2026 לכך שסוכן AI תורם באופן ישיר למחקר אבטחה מציאותי, לא רק לבדיקות תאורטיות.
המתקפה מנצלת את הפרוטוקול HTTP/2 ואת ה-streaming mechanism שלו כדי להגדיל באופן דרמטי את צריכת הזיכרון של שרת שמקבל בקשות רבות במקביל.
המקרה מדגיש את הכיוון הדו-פני של סוכני AI באבטחה: מצד אחד מאיצים גילוי פגיעויות, מצד שני גם משמשים כלי לחקר מתקפות חדשות.

שאלות נפוצות

מהי מתקפת HTTP/2 Bomb?

HTTP/2 Bomb היא מתקפת DoS חדשה שנחשפה ב-4 ביוני 2026, שמנצלת את פרוטוקול HTTP/2 ואת ה-streaming שלו כדי להגדיל את צריכת הזיכרון של שרת. בתוך שניות היא מסוגלת לרוקן מעל 30GB של RAM — לפני שהשרת מספיק להגיב.

איך Codex סייע בגילוי?

סוכן Codex של OpenAI שימש כ-agent סיוע במהלך מחקר האבטחה. הוא עזר לחוקרים לבנות תרחישי בדיקה, לסרוק קוד, ולזהות דפוסים שמנצלים את HTTP/2. זו אחת הדוגמאות הבולטות לכך שסוכן AI תורם באופן ישיר למחקר פגיעויות מציאותי.

למה ההתקפה מסוכנת כל כך?

ההתקפה פועלת במהירות שמונעת מהשרת להגיב. אין זמן לזהות, לחסום, או להתריע לפני שהמערכת קורסת. זה שונה מ-DoS קלאסי שמצריך זמן לבנות עומס — כאן, בקשה אחת או כמה בקשות מתואמות מספיקות כדי להפיל שרת גדול.

איך אפשר להתגונן?

ההגנה הראשונה היא rate limiting אגרסיבי על חיבורי HTTP/2, הגבלת מספר streams פתוחים לכל חיבור, ו-monitoring של צריכת זיכרון ברמת התהליך. עדכוני שרת חיוניים גם הם — רוב השרתים הגדולים (nginx, Apache, Envoy) כבר פרסמו הנחיות מעודכנות אחרי החשיפה.

מה המשמעות למפתחים?

כל אפליקציה שמשרתת HTTP/2 חשופה למתקפה הזו אם השרת לא מוגדר נכון. צוותי DevOps צריכים לבדוק את התצורה שלהם, לעדכן את ה-reverse proxy, ולהוסיף monitoring ל-RAM. מי שמשתמש ב-managed services צריך לוודא שהספק שלו כבר טיפל בעדכון.