בלי ערפול. הנה בדיוק מה שרץ, מה זה מוכיח, ובכנות — מה זה לא מוכיח.
תפיסה מוטעית נפוצה: שהצ׳אט "מייצר" את התוצאות. הוא לא. 17 כלים אמיתיים (Python, רצים על השרת, במקביל) מבצעים את הסריקה. ה-AI רק מתרגם את הפלט הגולמי שלהם לעברית/אנגלית ברורה ולתיקון מוכן להעתקה. כל ממצא מגובה בתוצאה אמיתית של כלי — ממופה ל-CVSS, CWE ו-OWASP — לא מומצא על ידי מודל שפה.
כל כלי מחזיר ציון-משנה 0–100. הציון הכולל הוא ממוצע משוקלל (המשקלים מסתכמים ל-100 — למשל TLS 13%, headers 9%, HTML 9%). כלי שלא הצליח לרוץ מוחרג מהממוצע במקום להיחשב אפס, כך שהמספר נשאר כן ויציב.
סריקה פסיבית מודדת את היגיינת האבטחה החיצונית שלך. היא לא מוכיחה שאף אחד לא יכול לפרוץ — אפשר לקבל 100 ועדיין להיות פגיע להזרקה שמתגלה רק כשתוקפים אקטיבית את הקלט. הוכחת חסינות אמיתית מחייבת ניצול (exploitation), שזו יכולת נפרדת ומגודרת.
בדיקה אקטיבית רצה רק על דומיין שהוכחת שאתה שולט בו (רשומת DNS — לא רק checkbox). ה-probes הם canaries לא-הרסניים: הם מוכיחים שחולשה קיימת, לעולם לא מוחקים או פוגעים בכלום. זה הסטנדרט שכל חברת pentest מקצועית פועלת לפיו.