اكتشاف الذكاء الاصطناعي الخفي: كيف تجرد المؤسسات الجزائرية أدوات الذكاء الاصطناعي غير المصرح بها

عبر المؤسسات الجزائرية — من فرق هندسة Sonatrach إلى شركات التكنولوجيا المالية الناشئة في الجزائر العاصمة — يتبنى الموظفون بهدوء أدوات ذكاء اصطناعي لم توافق عليها أقسام تكنولوجيا المعلومات لديهم. يلصقون كوداً مملوكاً في ChatGPT. يرفعون مستندات العملاء إلى Claude للتلخيص. يشغّلون نماذج مالية عبر مساعدين ذكاء اصطناعي مجانيين. كل تفاعل تسرب محتمل لا يستطيع أي جدار ناري اعتراضه.

وجدت دراسة Gartner أن 69% من المؤسسات تشتبه أو لديها أدلة أن موظفيها يستخدمون أدوات ذكاء اصطناعي محظورة. وجد تقرير IBM لعام 2025 حول تكلفة اختراق البيانات أن الاختراقات المتعلقة بأدوات الذكاء الاصطناعي غير المصرح بها تكلف نحو 670,000 دولار أكثر من المتوسط. كشف تقرير Deloitte لعام 2026 أن وصول العاملين إلى الذكاء الاصطناعي ارتفع بنسبة 50% في 2025، ومع ذلك لا تملك سوى واحدة من كل خمس شركات نموذج حوكمة ناضجاً.

بالنسبة للمؤسسات الجزائرية التي تسرّع التحول الرقمي في إطار SNTN-2030، هذا ليس مصدر قلق بعيد — بل يحدث الآن، والخطوة الأولى ليست السيطرة. إنها الاكتشاف.

لماذا الذكاء الاصطناعي الظلّي خطير بشكل خاص على الجزائر

البيئة التنظيمية الجزائرية تجعل من الذكاء الاصطناعي الظلّي خطراً حاداً. المرسوم الرئاسي 20-05 يُلزم جميع أنظمة المعلومات الحكومية بتعيين مسؤول أمن نظم المعلومات (RSSI) للإشراف على الحوكمة والاستجابة للحوادث. القانون 18-07، المعدّل في يوليو 2025، يفرض التزامات صارمة في معالجة البيانات الشخصية. مرسوم حوكمة البيانات 25-320 يُدخل متطلبات تصنيف يمكن لأدوات الذكاء الاصطناعي الظلّي انتهاكها بصمت. سجّلت البلاد أكثر من 70 مليون هجوم إلكتروني في 2024، لتحتل المرتبة 17 عالمياً بين أكثر الدول استهدافاً.

عندما يلصق موظف في بنك جزائري بيانات حسابات العملاء في روبوت دردشة ذكاء اصطناعي، تغادر هذه البيانات محتملاً الولاية القضائية الجزائرية — منتهكةً متطلبات توطين البيانات. وعندما يرفع مهندس في مؤسسة حكومية مواصفات تقنية إلى مساعد برمجة ذكاء اصطناعي، قد تُدمج تلك الملكية الفكرية في بيانات تدريب نموذج تجاري. على عكس حذف ملف من خادم، لا يمكنك طلب الحذف من شبكة عصبية.

العقوبات التنظيمية حقيقية. لكن الأضرار بالسمعة والضرر التنافسي من تسرب البيانات قد يكونان أكبر بكثير من أي غرامة.

أربعة نواقل هجوم لا ترصدها فرق تكنولوجيا المعلومات

يخلق الذكاء الاصطناعي الظلّي نقاطاً عمياء أمنية لا تستطيع المراقبة التقليدية معالجتها:

تسريب البيانات عبر الأوامر: كل أمر ذكاء اصطناعي هو نقل محتمل للبيانات. يلصق الموظفون الكود المصدري والمستندات الداخلية وبيانات العملاء والخطط الاستراتيجية في واجهات الذكاء الاصطناعي. هذه التفاعلات لا تُسجّل في أنظمة DLP لأنها تمر عبر حركة HTTPS قياسية نحو مواقع شرعية.

تشتت الهويات: يُنشئ الموظفون حسابات شخصية عبر منصات ذكاء اصطناعي متعددة — ChatGPT وClaude وGemini وCopilot — باستخدام عناوين بريد إلكتروني شخصية. هذه الهويات غير مرئية لأنظمة IAM المؤسسية، مما يخلق نقاط وصول غير مُدارة لا يمكن إلغاؤها عند مغادرة الموظف.

تلوث تدريب النماذج: بعض مزودي الذكاء الاصطناعي يستخدمون بيانات التفاعل لتدريب النماذج. المعلومات المملوكة المشاركة في الأوامر قد تُدمج في مخرجات مستقبلية، مما يكشف محتملاً الأسرار التجارية للمنافسين الذين يستخدمون نفس الخدمة.

النقاط العمياء التنظيمية: استخدام الذكاء الاصطناعي الظلّي يتجاوز متطلبات معالجة البيانات المحددة بموجب القانون الجزائري 18-07 واللائحة الأوروبية لحماية البيانات GDPR (للمؤسسات ذات العمليات الأوروبية) واللوائح القطاعية للبنوك والطاقة.

خمس طرق اكتشاف فعّالة

1. تحليل حركة الشبكة

طبقة الكشف الأكثر فورية لا تتطلب أدوات جديدة. كل مؤسسة لديها خادم بروكسي أو جدار ناري يمكنها تحديد الحركة نحو نقاط نهاية الذكاء الاصطناعي المعروفة:

• api.openai.com — استدعاءات API لـ ChatGPT وGPT
• api.anthropic.com — استدعاءات API لـ Claude
• generativelanguage.googleapis.com — API لـ Google Gemini
• api.mistral.ai — استدعاءات API لـ Mistral

سجلات استعلامات DNS وسجلات وصول البروكسي تكشف أي محطات عمل ومستخدمين يتصلون بهذه الخدمات. تكشف هذه الطريقة الاستخدام على مستوى API لكنها قد تفوّت تفاعلات المتصفح التي تمر عبر HTTPS قياسي.

2. تدقيق اتصالات SSO وOAuth

أدوات الذكاء الاصطناعي الحديثة تطلب كثيراً اتصالات OAuth لخدمات المؤسسة — Google Workspace وMicrosoft 365 وSalesforce. يجب على فرق الأمن تدقيق أذونات تطبيقات OAuth بانتظام لتحديد أدوات الذكاء الاصطناعي التي سمح لها الموظفون بالوصول إلى بيانات المؤسسة.

منصات مثل Nudge Security توفر اكتشافاً مستمراً مصمماً خصيصاً لتطبيقات SaaS والذكاء الاصطناعي. للمؤسسات بدون أدوات متخصصة، يوفر التدقيق اليدوي ربع السنوي لأذونات OAuth في Google Workspace Admin Console أو Microsoft Entra ID قاعدة مرجعية.

3. مراقبة العمليات على الأجهزة الطرفية

أدوات الذكاء الاصطناعي المحلية تترك بصمات مميزة على محطات العمل. يجب على فرق الأمن مراقبة:

• عمليات Ollama (استدلال LLM محلي)
• تطبيقات سطح المكتب LM Studio أو GPT4All
• عمليات Python المتصلة بواجهات API للذكاء الاصطناعي (يمكن تحديدها من خلال مكتبات openai وanthropic وlangchain)
• إضافات المتصفح لمساعدي الذكاء الاصطناعي (ChatGPT وClaude وPerplexity)

أدوات EDR (الكشف والاستجابة للأجهزة الطرفية) المنشورة بالفعل في العديد من المؤسسات الجزائرية يمكن تهيئتها لرصد هذه التوقيعات.

4. مراقبة المعاملات المالية

مفاتيح API للذكاء الاصطناعي مكلفة. الموظفون الذين يشترون وصول API يستخدمون بطاقات ائتمان شخصية أو تعويضات مصروفات. يجب على الفرق المالية رصد تقارير المصروفات المتضمنة رسوماً من:

• OpenAI (فواتير api.openai.com)
• Anthropic (console.anthropic.com)
• Google Cloud (بنود خدمات AI/ML)
• Cohere أو Mistral أو مزودين آخرين

مراقبة بطاقات المؤسسة للرسوم المتكررة لمزودي الذكاء الاصطناعي توفر قناة كشف تكميلية مستقلة تماماً عن المراقبة التقنية.

5. الاستطلاعات المباشرة وبرامج العفو

أحياناً الطريقة الأبسط هي الأكثر فعالية. استطلاع منظّم وغير عقابي يسأل الموظفين عن استخدامهم لأدوات الذكاء الاصطناعي يولّد إفصاحات تفوتها الأساليب التقنية. المفتاح هو التأطير: الهدف هو الجرد لا العقاب. المؤسسات التي تقرن الاستطلاعات بـ “نافذة عفو” تحقق باستمرار معدلات مشاركة أعلى.

تشير أبحاث Deloitte إلى أنه عندما تتعامل المؤسسات مع اكتشاف الذكاء الاصطناعي كتمكين لا كإنفاذ، تحدد 2 إلى 3 أضعاف الأدوات غير المصرح بها مقارنة بالمراقبة التقنية وحدها.

بناء سجل أدوات الذكاء الاصطناعي

الاكتشاف بدون توثيق جهد ضائع. كل أداة ذكاء اصطناعي مُحدَّدة يجب تسجيلها في مخزون مركزي يلتقط:

• اسم الأداة والمزود
• المستخدمون والأقسام
• أنواع البيانات المُتاحة (مصنفة، شخصية، عامة)
• طريقة التكامل (API، متصفح، تطبيق سطح مكتب، OAuth)
• تصنيف المخاطر (بناءً على حساسية البيانات ومستوى الاستقلالية)
• حالة الموافقة (معتمد، قيد المراجعة، محظور)

هذا السجل يصبح أساس جميع قرارات الحوكمة اللاحقة.

من الاكتشاف إلى الحوكمة

الرؤية وحدها غير كافية. يجب أن تغذي عملية الاكتشاف مباشرةً إطار حوكمة مصمماً للبيئة التنظيمية الجزائرية.

وضع سياسات استخدام ذكاء اصطناعي واضحة: تحديد أي أدوات ذكاء اصطناعي معتمدة، وأي فئات بيانات يمكن مشاركتها، وما هي العواقب عند المخالفة. نشر السياسات بالعربية والفرنسية والإنجليزية. الحظر الشامل لا ينجح — بل يدفع الاستخدام إلى الخفاء.

إنشاء قائمة أدوات معتمدة: توفير أدوات ذكاء اصطناعي بمستوى مؤسسي — مثل Azure OpenAI Service أو AWS Bedrock مع معالجة بيانات متوافقة مع المتطلبات الجزائرية — ليكون لدى الموظفين بدائل محوكمة.

تطبيق ضوابط قائمة على المخاطر: مستويات تحكم مختلفة حسب حساسية البيانات. الأدوات التي تصل لمعلومات عامة قد تحتاج فقط للتسجيل. الأدوات التي تعالج بيانات مصنفة أو شخصية تتطلب مراجعة أمنية ودمج DLP ومراقبة الاستخدام.

رسم خرائط التزامات الامتثال: مطابقة أدوات الذكاء الاصطناعي المكتشفة مع متطلبات تصنيف المرسوم 25-320 والتزامات معالجة البيانات في القانون 18-07 وتفويضات حوكمة مسؤول أمن المعلومات في المرسوم 20-05.

تعيين مسؤولي حوكمة الذكاء الاصطناعي: توسيع صلاحيات مسؤول أمن المعلومات (كما يقتضي المرسوم 20-05) لتشمل مسؤوليات حوكمة الذكاء الاصطناعي.

لا يمكنك تأمين ما لا تراه. ابدأ بما لديك: سجلات البروكسي ولوحات إدارة OAuth والحوار المباشر مع رؤساء الأقسام. ابنِ السجل. ثم حوكم من موقع المعرفة لا العمى.

المصادر والقراءات الإضافية

• The Hidden Security Risks of Shadow AI in Enterprises — The Hacker News
• 12 Critical Shadow AI Security Risks Your Organization Needs to Monitor in 2026 — Netwrix
• Best Shadow AI Detection Tools for Enterprise Security Teams in 2026 — Netwrix
• AI Agent Discovery: Inventory and Govern Shadow AI Agents — Nudge Security via Security Boulevard
• What Is Shadow AI? How It Happens and What to Do About It — Palo Alto Networks
• The Rise of Shadow AI: Auditing Unauthorized AI Tools in the Enterprise — ISACA
• Algeria Strengthens Cybersecurity Framework to Protect National Infrastructure — TechAfrica News