الذكاء الاصطناعي الخفي (Shadow AI): التعرف والتصرف
أصبح الذكاء الاصطناعي الخفي حقيقة واقعة في العديد من الشركات. تظهر الدراسات أن غالبية الموظفين يستخدمون أدوات ذكاء اصطناعي غير مصرح بها ويدخلون بيانات حساسة. تقدم هذه المقالة دليلاً خطوة بخطوة لجعل الذكاء الاصطناعي الخفي مرئيًا وإدارته دون إعاقة الابتكار.
أساسيات الذكاء الاصطناعي الخفي
يشير الذكاء الاصطناعي الخفي إلى استخدام أنظمة الذكاء الاصطناعي في الشركة التي تحدث خارج الهياكل الرسمية لتكنولوجيا المعلومات والحوكمة. تصف Swisscom هذا بأنه استخدام أدوات ذكاء اصطناعي غير مصرح بها أو خاصة مع بيانات الشركة، والتي لا يتم التحكم فيها ولا توثيقها ( swisscom.ch). ). يؤدي هذا إلى "نقاط عمياء" في مجالات الأمن وحماية البيانات والامتثال، حيث يصبح من غير الواضح ما هي البيانات التي تتدفق وأين، وما هي النماذج التي تؤثر على القرارات ( swisscom.ch).
يلخص تحالف أمن السحابة (Cloud Security Alliance) المشكلات الرئيسية: تسرب البيانات غير المتحكم فيه، وتزايد مخاطر الامتثال، وسير العمل الآلي الذي يتجاوز الضوابط المعمول بها ( cloudsecurityalliance.org). ). تشمل الأمثلة الموظفين الذين يستخدمون روبوتات الدردشة الخاصة لصياغة رسائل البريد الإلكتروني، والفرق التي تدمج نماذج مفتوحة المصدر دون تنسيق، أو إضافات المتصفح ذات وظائف الذكاء الاصطناعي التي تقرأ المحتوى من رسائل البريد الإلكتروني أو بيانات إدارة علاقات العملاء (CRM).
المصدر: يوتيوب
الخطوة 1: تحديد التعريف والمجال
قبل التعرف على الذكاء الاصطناعي الخفي، يجب تحديد ما يعتبر ذكاء اصطناعياً خفياً في سياق عملك بوضوح. تساعد ثلاثة أسئلة إرشادية:
- ما هو استخدام الذكاء الاصطناعي المسموح به رسميًا؟ هل هناك أدوات معتمدة، مثل روبوت دردشة داخلي أو أدوات الذكاء الاصطناعي التوليدي (GenAI) المعتمدة التي تندرج تحت حوكمة تكنولوجيا المعلومات ( swisscom.ch)?
- ما هي البيانات التي تعتبر تستحق الحماية بشكل خاص؟ يشمل ذلك البيانات الصحية، وبيانات العملاء، والبيانات المالية، وأسرار الإنتاج، أو بيانات الموظفين الشخصية. يجب أن تتبع معالجات الذكاء الاصطناعي نفس قواعد حماية البيانات، وخاصة اللائحة العامة لحماية البيانات (GDPR) فيما يتعلق بالبيانات الشخصية ( ambersearch.de).
- ما هو الهدف في الخطوة الأولى؟ هل هو تحديد استخدام الذكاء الاصطناعي، أو التعرف على تدفقات البيانات الحرجة، أو تقليل أكبر المخاطر؟
صياغة تعريف مكتوب، مثل "الذكاء الاصطناعي الخفي هو أي استخدام لأدوات أو نماذج أو وظائف الذكاء الاصطناعي مع بيانات الشركة لم يتم التصريح به صراحة من قبل تكنولوجيا المعلومات وأمن المعلومات وحماية البيانات"، ينشئ خطًا واضحًا لجميع الخطوات التالية.
طرق التعرف

المصدر: walkme.com
يشكل الذكاء الاصطناعي الخفي مخاطر كبيرة على الشركات، بما في ذلك المعلومات الخاطئة والكشف عن البيانات الحساسة.
الخطوة 2: سؤال الموظفين بصراحة بدلاً من مجرد المراقبة
غالبًا ما يستخدم الموظفون الذكاء الاصطناعي بدافع الرغبة في زيادة الإنتاجية. تظهر IBM أنهم يرون الذكاء الاصطناعي كوسيلة مساعدة، ولكنهم يلجأون إلى الأدوات الخاصة بسبب نقص العروض الرسمية ( ibm.com). ). بدلاً من المراقبة، تكون الشفافية أكثر فعالية. يمكن أن يوفر استبيان قصير وصادق إيضاحًا:
- “ما هي أدوات الذكاء الاصطناعي التي تستخدمها حاليًا لعملك؟”
- “ما هي البيانات التي تقوم بإدخالها عادةً هناك؟”
- “أي من هذه الأدوات تود أن تستخدمها رسميًا؟”
- “أين لديك مخاوف بشأن حماية البيانات أو الأمان؟”
يمكن لورش العمل مع المناطق الرئيسية (مثل المبيعات والموارد البشرية والتطوير) الكشف عن حالات استخدام ملموسة. من المهم التأكيد على أن الأمر لا يتعلق بالسيطرة، بل بالبحث المشترك عن حلول آمنة. يستخدم الموظفون الذكاء الاصطناعي الخفي جزئيًا بموافقة ضمنية من الرؤساء، بسبب نقص البدائل الرسمية ( techradar.com). ). النتيجة هي خريطة أولية للواقع وتحديد الحلول الخفية القيمة.
الخطوة 3: تحليل مسارات الشبكة والمتصفح
تعد القياسات الموضوعية من خلال الوصول إلى الشبكة واستخدام المتصفح أمرًا بالغ الأهمية. في البيئات الأصغر، يمكن استخدام سجلات الوكيل (Proxy) أو جدار الحماية (Firewall)، وفي البيئات الأكبر، يمكن استخدام بوابات الويب الآمنة (Secure-Web-Gateways) أو وسطاء أمان الوصول إلى السحابة (Cloud-Access-Security-Broker). الهدف هو معرفة خدمات الذكاء الاصطناعي التي يتم الوصول إليها من الشبكة ومن قبل من.
المؤشرات النموذجية هي:
- نطاقات روبوتات الدردشة ومنصات الذكاء الاصطناعي المعروفة.
- الاستخدام المكثف لوظائف الذكاء الاصطناعي في أدوات التعاون.
- عمليات الوصول اللافتة للنظر من مناطق حساسة (الموارد البشرية، المالية) إلى أدوات الذكاء الاصطناعي الخارجية.
يظهر تقرير من Cyera أن أدوات الذكاء الاصطناعي التوليدي مثل ChatGPT هي سبب رئيسي لتسرب البيانات، حيث يقوم الموظفون بنسخ ولصق محتويات حساسة في حسابات شخصية ( tomsguide.com). ). غالبًا لا تتعرف أدوات منع فقدان البيانات (DLP) التقليدية على ذلك. الهدف هو تحديد الأنماط: ما هي خدمات الذكاء الاصطناعي التي تظهر بانتظام، وما هي التي لم يتم ذكرها في الاستبيانات، وما هي المناطق التي تبرز بشكل خاص؟
الخطوة 4: فحص تطبيقات SaaS وتكاملات الهوية
يختبئ الذكاء الاصطناعي الخفي أيضًا في التطبيقات والإضافات المرتبطة. تشمل الفحوصات الهامة:
- Microsoft 365 / Google Workspace:تحقق في لوحات الإدارة من تطبيقات الطرف الثالث التي لديها حق الوصول إلى صناديق البريد أو Drive/OneDrive أو التقويم. تسجل العديد من أدوات مساعدة الذكاء الاصطناعي نفسها بحقوق مثل "قراءة رسائل البريد الإلكتروني" دون موافقة الأمان أو حماية البيانات ( cloudsecurityalliance.org).
- تطبيقات SaaS المركزية (CRM، نظام التذاكر):افحص الأسواق والإضافات بحثًا عن إضافات الذكاء الاصطناعي التي تحلل المحتوى أو تصدر البيانات. تشير Swisscom إلى أن تكاملات الذكاء الاصطناعي التوليدي التي يمكن تثبيتها بسهولة غالبًا ما تلامس البيانات الحرجة وتخلق مخاطر ( swisscom.ch).
- الأذونات والوصول إلى البيانات:أنشئ قائمة بالإضافات الذكية التي لديها حق الوصول إلى أي أنواع من البيانات وأين تتداخل البيانات الحساسة للغاية مع أدوات خارجية غير مفحوصة.
هنا تصبح الظلال "الصامتة" مرئية: وظائف الذكاء الاصطناعي المدمجة بشكل غير ملحوظ في الأنظمة، ولكن لديها وصول عميق.
الخطوة 5: فحص التطوير وخطوط الأنابيب والنماذج
في تطوير البرمجيات، غالبًا ما يوجد الذكاء الاصطناعي الخفي في نظام الكود البيئي. تشمل نقاط البداية العملية:
- البحث في المستودعات (Repositories):ابحث عن مكتبات الذكاء الاصطناعي النموذجية أو عملاء واجهة برمجة التطبيقات (API) أو ملفات النماذج. يمكن أن تشكل النماذج والمكتبات غير المفحوصة في خطوط أنابيب التكامل المستمر والتسليم المستمر (CI/CD) مخاطر أمنية ( cloudsecurityalliance.org).
- تحليل خطوط أنابيب CI/CD:افحص نصوص البناء والنشر بحثًا عن التحميل التلقائي للنماذج، أو إدخال بيانات تدريب خارجية، أو عمليات الفحص القائمة على الذكاء الاصطناعي دون توثيق.
- الأسرار ومفاتيح API:استخدم الماسحات الضوئية للأسرار (Secret Scanners) للكشف عن مفاتيح API لمقدمي خدمات الذكاء الاصطناعي في الكود. يحدث جزء كبير من استخدام الذكاء الاصطناعي الخفي عبر "استدعاءات API ذاتية الصنع" للخدمات الخارجية ( ibm.com).
تكشف هذه الخطوة عن المشاريع التقنية الخفية: النماذج الداخلية أو النصوص البرمجية أو الأتمتة التي تعمل بشكل فعال، ولكن لم تمر أبدًا بعملية حوكمة.
الاستراتيجيات والإدارة

المصدر: demeterict.com
تتطلب معالجة الذكاء الاصطناعي الخفي فهمًا مشتركًا للمخاطر وتطوير استراتيجيات حلول مناسبة في الشركة.
الخطوة 6: تطبيق تصنيف البيانات
التعرف وحده لا يكفي؛ فتقييم المخاطر أمر بالغ الأهمية. تتمثل إحدى الطرق العملية في تحديد فئات بيانات بسيطة:
- عامة
- داخلية
- سرية
- حساسة للغاية (مثل بيانات المرضى، البيانات المالية)
بعد ذلك، يتم تصنيف حالات استخدام الذكاء الاصطناعي المكتشفة: ما هي حالات الذكاء الاصطناعي الخفي التي تؤثر على البيانات الداخلية غير الشخصية فقط؟ هل يتم تقديم بيانات العملاء أو المرضى أو الموظفين إلى خدمات خارجية غير منظمة؟ تؤكد Swisscom أن الذكاء الاصطناعي الخفي يصبح خطيرًا عندما تصل البيانات الحساسة إلى الأدوات التي ليست مؤمنة تعاقديًا ولا خاضعة للرقابة التقنية ( swisscom.ch). ). تحذر Cyera من أن الذكاء الاصطناعي التوليدي يتجاوز القنوات التقليدية كمصدر رئيسي لتسرب البيانات، حيث يقوم الموظفون بنسخ محتوى سري في محادثات الذكاء الاصطناعي ( tomsguide.com). ). يعتبر الجمع بين "البيانات الحساسة للغاية" و"الذكاء الاصطناعي الخارجي غير المتحكم فيه" هو مجال الأولوية الأول للإجراءات.
الخطوة 7: إنشاء مساحة آمنة لتجارب الذكاء الاصطناعي وقنوات إبلاغ
الحظر وحده لا يزيل الذكاء الاصطناعي الخفي؛ بل يشجع على استراتيجيات التحايل. يشير العديد من المديرين التنفيذيين إلى أن الموظفين يتحولون إلى أدوات خاصة عندما لا تتوفر بدائل رسمية ( upwork.com). ). لذلك، من المهم:
- رسالة واضحة: "إذا كنت تستخدم الذكاء الاصطناعي لعملك أو بدأت تجربة ذكاء اصطناعي داخلية، فنريد أن نعرف – حتى نتمكن من جعلها آمنة معًا."
- قناة إبلاغ سهلة الوصول:نموذج أو قناة مخصصة (مثل Teams/Slack Channel) يمكن للموظفين من خلالها الإبلاغ عن الأدوات الجديدة أو حالات الاستخدام دون خوف من العواقب.
- الاختيار الإيجابي:إذا كان المشروع الخفي يجلب قيمة مضافة، فيجب فحص كيفية تحويله إلى شكل رسمي وآمن، على سبيل المثال، من خلال خدمة منظمة تعاقديًا أو ما يعادلها داخليًا ( ibm.com).
). وبهذه الطريقة، يتحول الذكاء الاصطناعي الخفي من خطر إلى رادار للأفكار للاستخدامات الرسمية والمجدية للذكاء الاصطناعي.
المصدر: يوتيوب
الخطوة 8: اعتماد المراقبة المستمرة والقواعد الواضحة
الذكاء الاصطناعي الخفي هو عملية مستمرة تتطلب رؤية تقنية وإرشادات واضحة. وتشمل مكوناتها:
- فحوصات تقنية منتظمة:تحليل سجلات الشبكة والوكيل كل بضعة أشهر، وفحص تكاملات تطبيقات SaaS، ومسح المستودعات. يوصي تحالف أمن السحابة بالمراقبة المستمرة القائمة على السياق ( cloudsecurityalliance.org).
- "سياسة الاستخدام المقبول للذكاء الاصطناعي" (AI Acceptable Use Policy):سياسة واضحة ومفهومة تحدد أدوات الذكاء الاصطناعي المسموح بها، والبيانات التي لا يجب إدخالها أبدًا، وما هي الأدوار/الأقسام التي تحتاج إلى موافقات خاصة. هذا يساعد على تحقيق التوازن بين الابتكار والمخاطر ( ibm.com).
- الجمع بين الحوكمة وحماية البيانات:تؤكد إرشادات حماية البيانات للذكاء الاصطناعي التوليدي على تقليل البيانات، وتحديد الغرض، والشفافية، والأساس القانوني القوي للمعالجة ( ambersearch.de). ). إن ربط نتائج الذكاء الاصطناعي الخفي بهذه المبادئ يخلق إطارًا قويًا.
هذا يحول التوازن من القرارات الخفية العشوائية إلى استخدام الذكاء الاصطناعي المرئي والقابل للإدارة.
الخلاصة والتوقعات

المصدر: user-added
يمكن أن تكون الظلال الناتجة عن الذكاء الاصطناعي خفية ولا يلاحظها أحد للوهلة الأولى – تمامًا مثل الذكاء الاصطناعي الخفي في عمليات الشركة.
التعرف على الذكاء الاصطناعي الخفي في الشركات لا يعني بدء مطاردة للموظفين. إنه يعني تحليل صادق لأين يتم استخدام الذكاء الاصطناعي بالفعل، وما هي البيانات التي يتم نقلها، وما هي المخاطر الحرجة. تظهر الأرقام أن الاستخدام غير المصرح به للذكاء الاصطناعي هو القاعدة وليس الاستثناء اليوم، مع جميع الفرص والمخاطر ( cybernews.com) ibm.com).
من خلال تنفيذ خطوات هذا الدليل – التعريف، الاستبيان المفتوح، الرؤية التقنية، تصنيف البيانات، إنشاء مساحة آمنة، والحوكمة المستمرة – يمكن للشركات جعل الذكاء الاصطناعي الخفي مرئيًا، وتقييمه بشكل منهجي، وتحويل المشاريع الخفية إلى حلول ذكاء اصطناعي رسمية وآمنة. الفرصة الحقيقية تكمن في العمل مع الأشخاص الذين يستخدمون الذكاء الاصطناعي بشكل خلاق بالفعل، بدلاً من العمل ضدهم.