בטיחות ואחריות ב-AI

מתאמן עובד לפי תוכנית AI ללא מאמן ונפצע.

כל תוכנית AI עוברת אישור מאמן לפני שליחה. תמיד לציין: "תוכנית זו נבנתה בסיוע AI ואושרה ע"י המאמן."

AI נותן "עצה" על כאב שבפועל דורש רופא.

כל Prompt כולל: "אם יש כאב — הפנה לרופא." System Prompt: "לעולם אל תיתן אבחון רפואי."

מתאמן עם מחלת רקע עוקב אחר תפריט AI ומחמיר מצבו.

תמיד לציין: "אלו רעיונות כלליים. לתוכנית תזונה אישית — פנה לדיאטן."

העלאת קוד עם API Key ל-GitHub — כל מי שרואה ה-Repo יכול להשתמש בו.

API Keys תמיד ב-.env בלבד. .gitignore כולל .env. לעולם לא ב-Code.

מישהו שולח "פתח שער" ממספר גנוב ומכניס לא מורשה.

9 שלבי בדיקה לפני פתיחה. Rate Limit. Audit Log. Human-in-the-loop בשלב ראשון. Test Mode נפרד.

מגבלות, פציעות, מחלות כרוניות חשופים ללא הגנה.

הצפנת שדות רפואיים. גישה מוגבלת למאמן הישיר בלבד. לא להעביר ל-AI כללי.

אוטומציה שלא נכונה פותחת שערים / שולחת הודעות שגויות / מוחקת נתונים.

בשלב MVP: כל פעולה רגישה עוברת אישור ידני. רק אחרי הוכחת אמינות — אוטומציה מלאה.

פעולה שגויה בוצעה ולא ניתן לאתר מי, מה ומתי.

Audit Log לכל פעולה רגישה. לא ניתן למחיקה. כולל: מי, מה, מתי, IP.

מישהו שולח 1000 בקשות ל-API ומשתק את המערכת.

Rate Limit לכל API ו-Bot. 3 ניסיונות ב-15 דקות לGate. עם Exponential Backoff.

Database נמחק / Hosting נפל — ואבדו כל הנתונים.

Daily Backup אוטומטי. Backup נפרד מ-Hosting. בדיקת Restore חודשית.

שמירת נתוני לקוחות ללא הסכמה כתובה = חשיפה משפטית.

Privacy Policy + Terms of Use לפני שמתאמנים מכניסים נתונים. ייעוץ עורך דין מומלץ.

נסיון לחבר WhatsApp API ללא אישור Meta — חסימה מיידית.

Meta Business Verification → אישור טמפלייטים → Webhook → Backend. סדר קבוע.

בנייה על הנחה שיש API ל-PALGATE — כשבפועל אין.

לפנות לספק/מתקין PALGATE לפני כל פיתוח. לשאול: "האם יש API? יש תיעוד?"

בדיקת Gate Access עם שער אמיתי — פתיחת שער בטעות.

סביבת TEST נפרדת. Mock PALGATE ב-Dev. Production רק אחרי QA מלא.

אוטומציה "משתגעת" — שולחת הודעות לכולם / פותחת שער שלא צריך.

כפתור "כיבוי חירום" שמבטל את כל האוטומציות מיד. מוגדר מהיום הראשון.