ينتشر الذكاء الاصطناعي في أماكن العمل بشكل أسرع من أي تقنية أخرى في الذاكرة الحديثة. في كل يوم، يقوم الموظفون بربط تقنيات الذكاء الاصطناعي بأنظمة المؤسسة، غالبًا بدون إذن أو إشراف من فرق أمن تكنولوجيا المعلومات. والنتيجة هي ما يسميه الخبراء Shadow AI – شبكة متنامية من الأدوات وعمليات التكامل التي تصل إلى بيانات الشركة دون مراقبة.
يقول الدكتور تال شابيرا، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في شركة Reco، مزود حلول حوكمة الأمن والذكاء الاصطناعي SaaS، إن هذا الزحف غير المرئي يمكن أن يصبح أحد أكبر التهديدات التي تواجه المؤسسات اليوم، خاصة وأن السرعة الحالية لاعتماد الذكاء الاصطناعي قد تجاوزت إجراءات الحماية المؤسسية.
وقال شابيرا: “لقد انتقلنا من “الذكاء الاصطناعي قادم” إلى “الذكاء الاصطناعي في كل مكان” في حوالي 18 شهرًا. والمشكلة هي أن أطر الحوكمة ببساطة لم تلحق بالركب”.
المخاطر غير المرئية داخل أنظمة الشركة
وقال شابيرا إن معظم أنظمة أمن الشركات مصممة لعالم قديم حيث يبقى كل شيء خلف جدران الحماية وحدود الشبكات. يكسر Shadow AI هذا النموذج لأنه يعمل من الداخل، مختبئًا في أدوات الشركة الخاصة.
تتصل العديد من أدوات الذكاء الاصطناعي الحديثة مباشرة بأنظمة SaaS الأساسية اليومية مثل Salesforce أو Slack أو Google Workspace. على الرغم من أن هذا لا يشكل خطرًا في حد ذاته، إلا أن الذكاء الاصطناعي غالبًا ما يفعل ذلك من خلال الأذونات والمكونات الإضافية التي تظل نشطة بعد التثبيت. يمكن لهذه الروابط “الهادئة” أن تستمر في منح أنظمة الذكاء الاصطناعي إمكانية الوصول إلى بيانات الشركة، حتى بعد أن يتوقف الشخص الذي قام بإعدادها عن استخدامها أو يغادر المؤسسة. هذه مشكلة كبيرة في الذكاء الاصطناعي.
وقال شابيرا: “المشكلة الأعمق هي أن هذه الأدوات تدمج نفسها في البنية التحتية للشركة، أحيانًا لأشهر أو سنوات دون أن يتم اكتشافها”.
من الصعب بشكل خاص تتبع فئة المخاطر الجديدة نظرًا لأن العديد من أنظمة الذكاء الاصطناعي احتمالية. بدلاً من تنفيذ أوامر واضحة، يقوم الذكاء الاصطناعي بعمل تنبؤات بناءً على الأنماط، بحيث يمكن أن تتغير أفعالهم من موقف إلى آخر، مما يجعل مراجعتها والتحكم فيها أكثر صعوبة.
عندما يصبح الذكاء الاصطناعي مارقًا
إن الضرر الناجم عن الظل الاصطناعي واضح بالفعل في حوادث العالم الحقيقي. عملت شركة Reco مؤخرًا مع إحدى الشركات المالية المدرجة ضمن قائمة Fortune 100 والتي اعتقدت أن أنظمتها آمنة ومتوافقة. في أيام من نشر مراقبة Reco، كشفت الشركة عن أكثر من 1000 عملية تكامل غير مصرح بها لجهات خارجية في بيئتي Salesforce وMicrosoft 365 – أكثر من نصفها مدعوم بالذكاء الاصطناعي.
إحدى عمليات التكامل، وهي أداة النسخ المتصلة بـ Zoom، كانت تسجل كل مكالمة للعملاء، بما في ذلك مناقشات التسعير والتعليقات السرية. وأشار شابيرا إلى أنهم “كانوا يدربون دون قصد نموذجًا تابعًا لجهة خارجية على بياناتهم الأكثر حساسية”. “لم يكن هناك عقد، ولا فهم لكيفية تخزين تلك البيانات أو استخدامها.”
وفي حالة أخرى، قام أحد الموظفين بربط ChatGPT مباشرة بـ Salesforce، مما سمح للذكاء الاصطناعي بإنشاء مئات التقارير الداخلية في ساعات. قد يبدو ذلك فعالاً، لكنه يعرض أيضًا معلومات العملاء وتوقعات المبيعات لنظام ذكاء اصطناعي خارجي.
كيف يكتشف Reco ما لم يتم اكتشافه
تم تصميم منصة Reco لمنح الشركات رؤية كاملة حول أدوات الذكاء الاصطناعي المتصلة بأنظمتها والبيانات التي يمكن لهذه الأدوات الوصول إليها. فهو يقوم بفحص بيئات SaaS بحثًا عن منح OAuth وتطبيقات الطرف الثالث وملحقات المتصفح بشكل مستمر. بمجرد تحديدها، يعرض Reco المستخدمين الذين قاموا بتثبيتها، والأذونات التي يمتلكونها، وما إذا كان السلوك يبدو مريبًا.
إذا بدا الاتصال محفوفًا بالمخاطر، فيمكن للنظام تنبيه المسؤولين أو إلغاء الوصول تلقائيًا. وقال شابيرا: “السرعة مهمة لأن أدوات الذكاء الاصطناعي يمكنها استخراج كميات هائلة من البيانات في ساعات، وليس أيام”.
على عكس منتجات الأمان التقليدية التي تعتمد على حدود الشبكة، يركز Reco على طبقة الهوية والوصول. وهذا يجعله مناسبًا تمامًا للمؤسسات التي تعتمد على السحابة أولاً، والتي تعتمد على SaaS، حيث تعيش معظم البيانات خارج جدار الحماية التقليدي.
دعوة للاستيقاظ الأمني على نطاق أوسع
يقول محللو الصناعة إن عمل ريكو يعكس اتجاها أكبر في أمن المؤسسات: التحول من منع الذكاء الاصطناعي إلى السيطرة عليه. وفقًا لتقرير صدر مؤخرًا عن سيسكو حول جاهزية الذكاء الاصطناعي، اعترفت 62% من المؤسسات في عام 2025 بأن لديها رؤية قليلة حول كيفية استخدام الموظفين لأدوات الذكاء الاصطناعي في العمل، وقد شهد نصفها تقريبًا حادثة بيانات واحدة على الأقل تتعلق بالذكاء الاصطناعي.
مع دمج ميزات الذكاء الاصطناعي في البرامج السائدة – بدءًا من برنامج Einstein التابع لشركة Salesforce وحتى برنامج Microsoft Copilot – يتزايد التحدي. قال شابيرا: “قد تظن أنك تستخدم منصة موثوقة، لكن قد لا تدرك أن هذه المنصة تتضمن الآن ميزات الذكاء الاصطناعي التي يمكنها الوصول إلى بياناتك تلقائيًا”.
يساعد نظام Reco على سد الفجوة من خلال مراقبة أنشطة الذكاء الاصطناعي المحظورة وغير المصرح بها، مما يساعد الشركات على بناء صورة أوضح عن مكان تدفق بياناتها ولماذا.
تسخير الذكاء الاصطناعي بشكل آمن
يعتقد شابيرا أن الشركات تدخل ما يسميه مرحلة البنية التحتية للذكاء الاصطناعي – وهي الفترة التي ستتضمن فيها كل أداة عمل شكلاً من أشكال الذكاء الاصطناعي، سواء كان مرئيًا أم لا. وهذا يجعل المراقبة المستمرة والوصول الأقل امتيازًا والأذونات قصيرة العمر أمرًا ضروريًا.
وأشار إلى أن “الشركات التي تنجح لن تكون هي التي تعرقل الذكاء الاصطناعي”. “سيكونون هم من سيتبنونها بأمان، مع حواجز حماية تحمي الابتكار والثقة.”
وقال إن Shadow AI ليس علامة على تهور الموظفين، بل على مدى سرعة تحرك التكنولوجيا. وقال: “يحاول الناس أن يكونوا منتجين”. “مهمتنا هي التأكد من أنهم يستطيعون القيام بذلك دون تعريض المنظمة للخطر.”
بالنسبة للمؤسسات التي تحاول تسخير الذكاء الاصطناعي دون فقدان السيطرة على بياناتها، فإن رسالة Reco بسيطة: لا يمكنك تأمين ما لا يمكنك رؤيته.
مصدر الصورة: أونسبلاش