في عام 2023، لصق مهندس في شركة Samsung شفرة مصدرية خاصة في ChatGPT لمساعدته في تصحيح أخطاء مشكلة برمجية. احتوت الشفرة — التي تتضمن مواصفات تصنيع أشباه الموصلات — على معلومات بالغة الحساسية، وجرى معالجتها على خوادم OpenAI، واستُخدمت محتملاً كبيانات تدريب، ما يعني أنها انتقلت فعلياً خارج محيط الأمان الخاص بالشركة. حظرت Samsung أدوات الذكاء الاصطناعي التوليدي على مستوى الشركة بأسرها في غضون أسابيع من الحادثة. كان الضرر قد وقع بالفعل.
لم تكن تلك الحادثة استثناءً. كانت أولى الحالات الموثقة على نطاق واسع لظاهرة باتت واحدة من أبرز تحديات أمن المؤسسات في عام 2026: الذكاء الاصطناعي الخفي (Shadow AI).
ما هو Shadow AI؟
Shadow AI هو الاستخدام غير المصرح به لأدوات الذكاء الاصطناعي — ولا سيما أنظمة الذكاء الاصطناعي التوليدي كـ ChatGPT وClaude وGemini وMicrosoft Copilot — من قِبل الموظفين لإنجاز مهام عمل، دون موافقة تقنية المعلومات، أو مراجعة أمنية، أو حوكمة مؤسسية.
يستعير المصطلح من “Shadow IT” — وهو ممارسة استخدام الموظفين لبرامج وخدمات سحابية غير معتمدة للتحايل على إجراءات المشتريات البطيئة في تقنية المعلومات. Shadow AI يمثل Shadow IT بحجم جديد كلياً: بدلاً من استخدام أداة غير معتمدة لإدارة المشاريع، يُغذّي الموظفون أنظمة ذكاء اصطناعي خارجية ببيانات سرية تعالجها وتخزّنها وربما تستخدمها لتحسين نسخ النماذج المستقبلية.
الفارق جوهري: البيانات التي تغادر المؤسسة ليست بيانات وصفية أو سجلات استخدام — فكثيراً ما تكون الملكية الفكرية الأكثر قيمة للمؤسسة.
حجم المشكلة
الأرقام صادمة. في عام 2025، قدّرت دراسات مستقلة متعددة نسبة العمال المعرفيين الذين يستخدمون أدوات الذكاء الاصطناعي التوليدي لمهام عمل — عبر حسابات شخصية دون علم أصحاب العمل — بما بين 40% و65%. كشف تحليل أجرته Cyberhaven لحركة البيانات عبر نقاط نهاية المؤسسات أن الموظفين يلصقون وثائق حساسة في أدوات الذكاء الاصطناعي بمعدل يتجاوز أي ناقل سابق لتسريب بيانات المؤسسات.
ما أنواع البيانات المعرضة للخطر؟ وثّقت فرق الأمن التي حقّقت في استخدامات Shadow AI:
- الشفرة المصدرية والخوارزميات الخاصة — مطورون يستخدمون ChatGPT لإكمال الشفرة وتصحيح الأخطاء، مقدّمين قواعد شفرة كاملة للمراجعة
- بيانات العملاء والمعلومات الشخصية القابلة للتعريف (PII) — فرق المبيعات ودعم العملاء تلصق سجلات العملاء لصياغة مراسلات أو تحليل شكاوى
- التوقعات المالية ومعلومات عمليات الاندماج والاستحواذ — فرق المالية تستخدم الذكاء الاصطناعي لتلخيص عروض مجلس الإدارة أو تحليلات الاستحواذ
- بيانات الموارد البشرية وتقييم الأداء — المديرون يستخدمون الذكاء الاصطناعي لصياغة تقارير الأداء المتضمنة بيانات سرية عن المكافآت والإجراءات التأديبية
- العقود القانونية ووثائق الاستراتيجية — الفرق القانونية تستخدم الذكاء الاصطناعي لمراجعة وتلخيص عقود تحتوي على شروط تجارية بالغة الحساسية
- السجلات الصحية وبيانات المرضى — الكوادر الصحية تستخدم أدوات الكتابة بالذكاء الاصطناعي للتوثيق السريري، بما في ذلك المعلومات الصحية المحمية
التعرض التنظيمي
Shadow AI ليس مجرد خطر سمعاتي للشركات — بل يُفضي إلى مسؤولية تنظيمية ملموسة.
اللائحة العامة لحماية البيانات (GDPR) وقوانين حماية البيانات: نقل البيانات الشخصية المتعلقة بمقيمي الاتحاد الأوروبي إلى نظام ذكاء اصطناعي تابع لجهة خارجية دون اتفاقية معالجة بيانات يُشكّل على الأرجح انتهاكاً للمادة 28 من GDPR. قد تكون المؤسسات غير مدركة أن هذا النقل حدث، نظراً لغياب تسجيله في أي نظام معلوماتي. الغرامات قد تصل إلى 4% من الإيرادات السنوية العالمية.
اللوائح الخاصة بالقطاعات: تواجه المؤسسات الصحية الخاضعة لـ HIPAA في الولايات المتحدة انتهاكات محتملة عند دخول بيانات المرضى إلى أنظمة ذكاء اصطناعي خارجية. تتعرض شركات الخدمات المالية للمساءلة وفق قواعد الإفصاح الصادرة عن هيئة SEC ولوائح FINRA وMiFID II في الاتحاد الأوروبي عند نقل معلومات مادية غير عامة إلى الخارج.
فقدان الملكية الفكرية: خلافاً لاختراقات البيانات التقليدية التي تترك آثاراً في السجلات الشبكية وأنظمة الأمان، قد يكون التعرض عبر Shadow AI غير قابل للكشف. الشفرة المصدرية الملصقة في أداة ذكاء اصطناعي قد تظهر لاحقاً في مخرجات الذكاء الاصطناعي لدى المنافسين دون أي أثر جنائي يُذكر.
إعلان
حوادث حقيقية تتجاوز قضية Samsung
Samsung هو الحالة الأكثر شهرة، لكن النمط تكرر في قطاعات متعددة.
اكتشفت شركة خدمات مالية كبرى في عام 2024 أن موظفين في قسم الاستشارات للاندماج والاستحواذ كانوا يستخدمون أداة ذكاء اصطناعي استهلاكية لتلخيص تحليلات متعلقة بأهداف استحواذ — وثائق تحتوي على معلومات مادية غير عامة. كشف التحقيق الداخلي أن مئات الوثائق قُدّمت على مدار ثلاثة أشهر.
وجد مكتب محاماة أوروبي أن المحامين المساعدين يستخدمون بشكل روتيني أدوات ذكاء اصطناعي مجانية لصياغة بنود تعاقدية، بما في ذلك عمليات لصق من اتفاقيات العملاء المتضمنة شروطاً تجارية شديدة السرية.
أفاد مزودو الرعاية الصحية في دول عدة بأن الكوادر الصحية بدأت تستخدم مساعدي الكتابة بالذكاء الاصطناعي للملاحظات السريرية، دون إدراك أن هذه الأدوات تنقل البيانات إلى خوادم خارجية.
كيف تستجيب المؤسسات
يتراوح طيف الاستجابات بين الحظر الشامل (الذي نادراً ما ينجح) وبرامج حوكمة الذكاء الاصطناعي المنظّمة.
الحظر الشامل: الاستجابة الأولية لـ Samsung. المشكلة: الموظفون يجدون حلولاً بديلة. الأجهزة الشخصية والأدوات المتاحة عبر المتصفح تجعل التطبيق شبه مستحيل دون مراقبة تدخلية تُفرز إشكالياتها القانونية والأخلاقية الخاصة.
أدوات الذكاء الاصطناعي المؤسسية المعتمدة: النهج الأكثر فعالية. المؤسسات التي تنشر أدوات ذكاء اصطناعي مؤسسية معتمدة — Microsoft Copilot لـ Microsoft 365، أو Google Workspace Gemini، أو حلول ذكاء اصطناعي مؤسسي مخصصة مع حماية تعاقدية للبيانات — توفر للموظفين بديلاً مُحكَماً يُلبّي الحاجة الإنتاجية دون تعريض الأمن للخطر. يترابط اعتماد الأدوات المعتمدة ارتباطاً مباشراً مع انخفاض استخدام الأدوات غير المصرح بها.
ضوابط منع فقدان البيانات (DLP): أضافت منصات DLP الحديثة (Netskope وZscaler وMicrosoft Purview) ضوابط خاصة بالذكاء الاصطناعي قادرة على اكتشاف إرسال فئات البيانات الحساسة إلى نقاط نهاية الذكاء الاصطناعي وحجبها أو تسجيلها. القيد: تعمل DLP على الأجهزة التي تستطيع مراقبتها — تظل الأجهزة الشخصية ونقاط النهاية غير المُدارة نقاطاً عمياء.
سياسات حوكمة الذكاء الاصطناعي: سياسات مكتوبة رسمية تُحدد أدوات الذكاء الاصطناعي المعتمدة، والبيانات التي يمكن تقديمها، والعواقب المترتبة على المخالفات. ضرورية لكنها غير كافية وحدها — السياسة دون أدوات لا تُغيّر السلوكيات إلا هامشياً.
تثقيف الموظفين: تعليم الموظفين أن “الذكاء الاصطناعي لا يعالج نصك محلياً فحسب” يبقى تدخلاً بالغ الفاعلية. معظم الموظفين الذين يمارسون Shadow AI ليسوا خبيثين — بل يحلون مشكلة إنتاجية دون فهم تدفق البيانات.
بناء إطار حوكمة الذكاء الاصطناعي
تُعامل المؤسسات التي تنتقل من موقف رد الفعل إلى الاستباق اعتماد أدوات الذكاء الاصطناعي كأي برنامج طرف ثالث له حق الوصول إلى البيانات، عبر:
- جرد الاستخدام الحالي للذكاء الاصطناعي — استطلاع الموظفين واستخدام مراقبة الشبكة لفهم الأدوات المستخدمة قبل صياغة أي سياسة
- تصنيف حساسية البيانات — تحديد فئات البيانات التي لا يجوز إطلاقاً تقديمها لأدوات الذكاء الاصطناعي، وما يمكن تقديمه عبر أدوات مؤسسية باتفاقيات معالجة، وما لا قيد عليه
- نشر البدائل المعتمدة — التأكد من توفر أدوات ذكاء اصطناعي معتمدة لكل وحدة أعمال تُلبّي احتياجاتها
- تطبيق الضوابط التقنية — قواعد DLP وتصفية عناوين URL لنقاط نهاية الذكاء الاصطناعي غير المعتمدة ومراقبة حركة البيانات الحساسة
- التدريب والتواصل — تدريب منتظم لا مجرد علامة اختيار في نموذج مرة واحدة
- إنشاء دليل الاستجابة للحوادث — تحديد كيفية تصنيف أحداث تعرض البيانات عبر Shadow AI والتحقيق فيها والإبلاغ عنها (بما في ذلك للجهات التنظيمية عند الاقتضاء)
إعلان
رادار القرار (المنظور الجزائري)
| البُعد | التقييم |
|---|---|
| الأهمية للجزائر | عالية — ينطبق على أي مؤسسة تنشر أدوات الذكاء الاصطناعي؛ البنوك والاتصالات وشركات التقنية الجزائرية تواجه أنماط سلوك موظفين مماثلة للمؤسسات العالمية |
| هل البنية التحتية جاهزة؟ | جزئياً — أدوات DLP المؤسسية ومنصات الذكاء الاصطناعي المعتمدة متوفرة؛ معظم المؤسسات الجزائرية تفتقر إلى أطر حوكمة ذكاء اصطناعي رسمية وإلى نشر DLP |
| هل المهارات متوفرة؟ | جزئياً — مهارات الأمن السيبراني موجودة في الجزائر، لا سيما في الاتصالات والمصارف؛ حوكمة الذكاء الاصطناعي بوصفها تخصصاً تتطلب تدريباً إضافياً |
| الجدول الزمني للعمل | فوري — Shadow AI يحدث بالفعل داخل المؤسسات الجزائرية؛ السؤال هو ما إذا كان مرئياً أم خفياً |
| أصحاب المصلحة الرئيسيون | مدراء أمن المعلومات، مدراء تقنية المعلومات، الفرق القانونية والامتثال، الموارد البشرية، كل مسؤول تنفيذي معني بحماية الملكية الفكرية |
| نوع القرار | استراتيجي |
خلاصة سريعة: Shadow AI مشكلة عالمية لا إعفاء جغرافياً منها. الشركات الجزائرية التي تمتلك ملكية فكرية ذات قيمة أو بيانات عملاء أو التزامات تنظيمية بموجب قانون حماية البيانات 18-07 يجب أن تعتبر هذا الأمر أولوية فورية: رصد الاستخدام الحالي لأدوات الذكاء الاصطناعي، ونشر بدائل مؤسسية معتمدة، وتطبيق ضوابط DLP أساسية قبل أن تفرض حادثة على غرار Samsung استجابة رد فعل غير مُسيطَر عليها.
المصادر والقراءات الإضافية
- 4.2% من العمال لصقوا بيانات الشركة في ChatGPT — Cyberhaven Research
- Samsung تحظر ChatGPT بعد مشاركة موظفين بيانات حساسة — Bloomberg
- ما هو Shadow AI؟ — Gartner
- استخدام أدوات الذكاء الاصطناعي بأمان في مكان العمل — UK NCSC
- Microsoft Purview AI Hub: حوكمة مخاطر بيانات الذكاء الاصطناعي — مدونة Microsoft Security
- المبادئ التوجيهية للـ GDPR ومعالجة بيانات الذكاء الاصطناعي — المجلس الأوروبي لحماية البيانات
🔗 مقالات ذات صلة
إدارة الثغرات الأمنية بمساعدة الذكاء الاصطناعي: من الفحص إلى التصحيح في ساعات لا أسابيع
هجمات حقن التعليمات: الثغرة الأمنية المتأصلة في كل تطبيق ذكاء اصطناعي
كشف المحتوى المُولَّد بالذكاء الاصطناعي: C2PA وSynthID وسباق التسلح حول الأصالة
اقتصاد التصيد الاحتيالي كخدمة: كيف يشتري 50 دولارًا هجومًا إلكترونيًا في 2026
إعلان