الذكاء الاصطناعي الخفي (Shadow AI): تطبيق السياسات في الشركات

Avatar
Lisa Ernst · 31.10.2025 · Technik · 5 min

غالباً ما تُجرَّب أدوات الذكاء الاصطناعي قبل الموافقات الرسمية، مما يزيد من مشكلات المخاطر والحوكمة. الذكاء الاصطناعي الخفي هو ثاني أكثر أشكال تكنولوجيا المعلومات الخفية شيوعاً. يبدأ تطبيق قانون الذكاء الاصطناعي للاتحاد الأوروبي تدريجياً، مع وجود قواعد سارية بالفعل للممارسات المحظورة والمواصفات للذكاء الاصطناعي للأغراض العامة.

مقدمة

يشير الذكاء الاصطناعي الخفي إلى استخدام أدوات الذكاء الاصطناعي التوليدي دون علم أو موافقة قسم تكنولوجيا المعلومات. يحدث هذا، على سبيل المثال، عندما يتم إدراج نصوص، أو أكواد، أو بيانات عملاء في محادثات خارجية دون مراجعة مسبقة للعقد أو حماية البيانات. وتشير تكنولوجيا المعلومات الخفية (Shadow IT) إلى التقنيات التي تُقدم بشكل غير رسمي خارج العمليات الرسمية؛ بينما الذكاء الاصطناعي الخفي هو الشكل المحدد للذكاء الاصطناعي. تشكل الحوكمة الإطار التنظيمي للاستخدام الآمن والمتوافق مع القانون للذكاء الاصطناعي، بما في ذلك السياسات، والأدوار، والضوابط. ومن الأمثلة على ذلك NIST AI Risk Management Framework مع وظائف الحوكمة، ورسم الخرائط، والقياس، والإدارة. تشمل إدارة مخاطر النموذج (MRM) جرد النماذج، والتحقق من صحتها، والمراقبة، والتوثيق. وهي مطبقة في الرقابة المالية منذ سنوات (SR 11-7) وقابلة للتطبيق على نماذج الذكاء الاصطناعي. بالنسبة لنظام إدارة على مستوى المؤسسة، يتوفر ISO/IEC 42001:2023.

الوضع الحالي

يشير 1Password-Report 2025 الحالي إلى أن الذكاء الاصطناعي الخفي هو ثاني أكثر فئة شيوعاً لتكنولوجيا المعلومات الخفية بعد البريد الإلكتروني. استخدم 27% من الموظفين تطبيقات ذكاء اصطناعي غير مصرح بها. بالإضافة إلى ذلك، قال 37% إنهم يتبعون سياسات الشركة "في معظم الأوقات" فقط، مما يشير إلى وجود ثغرات في السياسات. وتشير ملاحظة سوقية أخرى من Zluri، عبر Help Net Security ، إلى أن 80% من أدوات الذكاء الاصطناعي التي يستخدمها الموظفون تتجاوز قسم تكنولوجيا المعلومات والأمن. من الناحية التنظيمية، تسري في الاتحاد الأوروبي منذ 02.02.2025 حظر على ممارسات معينة للذكاء الاصطناعي والتزامات بمحو الأمية في الذكاء الاصطناعي. دخلت التزامات الذكاء الاصطناعي للأغراض العامة (GPAI) حيز التنفيذ منذ 02.08.2025، وستتبع أجزاء أخرى من القانون اعتباراً من 02.08.2026، مع فترات انتقالية ممتدة لأنظمة معينة عالية المخاطر حتى عام 2027. وتحافظ المفوضية الأوروبية على الجدول الزمني، على الرغم من طلبات الصناعة للتأجيل، كما Reuters ذكر.

يوضح نموذج جبل الجليد الطبيعة الخفية للذكاء الاصطناعي الخفي مقارنة بأنظمة الذكاء الاصطناعي المعتمدة رسمياً.

المصدر: infoproteccion.com

يوضح نموذج جبل الجليد الطبيعة الخفية للذكاء الاصطناعي الخفي مقارنة بأنظمة الذكاء الاصطناعي المعتمدة رسمياً.

الأسباب والسياق

ينشأ الذكاء الاصطناعي الخفي لأسباب مختلفة. الراحة والرغبة في زيادة الإنتاجية هي المحركات الرئيسية. غالباً ما تكون السياسات غير واضحة أو غير متسقة في التواصل، كما يظهر 1Password-Report . وتزيد ديناميكيات المنصات من هذا الأمر: فالحواجز المنخفضة للدخول، والإضافات (Plug-ins)، وملحقات المتصفحات، وتكامل التطبيقات تسهل التجربة، وغالباً دون تسجيل دخول موحد (SSO)، أو حماية من فقدان البيانات (DLP)، أو تدقيق، كما Help Net Security يُذكر. وفي الوقت نفسه، أصبحت التدابير المضادة الملموسة في متناول اليد. تصف OWASP مخاطر LLM النموذجية مثل حقن الأوامر، وتسرب البيانات، أو حقوق الوكيل المفرطة، والتي يمكن أن تكون نقاط ارتكاز للضوابط. ومن جانب المزودين، تشير العروض المؤسسية إلى حماية العميل، والتسجيل، والتحكم في مدة الاحتفاظ بالبيانات، على سبيل المثال في ChatGPT Enterprise/Edu و Microsoft 365 Copilot.

تشمل المخاطر الرئيسية للذكاء الاصطناعي الخفي المعلومات المضللة، وتعريض البيانات، والمخاطر المحتملة للعملاء.

المصدر: walkme.com

تشمل المخاطر الرئيسية للذكاء الاصطناعي الخفي المعلومات المضللة، وتعريض البيانات، والمخاطر المحتملة للعملاء.

الحقائق والمفاهيم الخاطئة

من الثابت أن الذكاء الاصطناعي الخفي منتشر على نطاق واسع في الشركات. يظهر 1Password-Report أن 27% من الموظفين يستخدمون تطبيقات ذكاء اصطناعي غير مصرح بها وأن الذكاء الاصطناعي الخفي هو ثاني أكثر فئة شيوعاً لتكنولوجيا المعلومات الخفية. بالإضافة إلى ذلك، فإن 80% من أدوات الذكاء الاصطناعي المستخدمة غير مُدارة، مما يؤدي إلى نقاط عمياء كبيرة، كما Help Net Security ذكر. التزامات EU AI Act تسري تدريجياً منذ عام 2025، مع قواعد GPAI منذ 02.08.2025 وتطبيق أوسع اعتباراً من 02.08.2026. ليس من الواضح مدى سرعة تطبيق الشركات لمعايير MRM على الذكاء الاصطناعي التوليدي على نطاق واسع. إدارة مخاطر النموذج (MRM) راسخة في الإشراف المصرفي ( SR 11-7), )، ولكن مستويات النضج تختلف بين الصناعات. الادعاء بـ "ليس علينا فعل أي شيء حتى عام 2026" هو خطأ أو مضلل. فالحظر الأوروبي والتزامات محو الأمية سارية بالفعل اليوم (منذ 02.02.2025) وكذلك التزامات GPAI (منذ 02.08.2025). تؤكد المفوضية الجدول الزمني، كما Reuters أفادت.

المصدر: يوتيوب

توصيات العمل

لتطبيق سياسات الذكاء الاصطناعي الخفي بشكل عملي وقابل للاعتماد، يجب على الشركات تحديد حالات الاستخدام المسموح بها، والمدخلات المحظورة (مثل البيانات الشخصية، وبيانات العملاء السرية)، والأدوات المسموح بها، ومسارات الموافقة. يوفر NIST-Rahmenwerk هيكلاً مناسباً لذلك. من الضروري وجود عملية اكتشاف وجرد مستمرة لجعل أدوات الذكاء الاصطناعي الجديدة مرئية، كما Help Net Security يؤكد. يجب ترسيخ الضوابط التقنية مثل DLP/التسميات، والوصول الشرطي، والتسجيل، ومسارات التدقيق؛ وتقدم Copilot-Architektur. أمثلة. إن إدخال عمليات إدارة مخاطر النموذج (MRM)، بما في ذلك جرد النماذج، وتوثيق الافتراضات وأصل البيانات، والتحقق المستقل، ومراقبة الانحراف والأداء، وضوابط التغيير، أمر بالغ الأهمية. SR 11-7 يقدم مخططاً قابلاً للاعتماد هنا. لمن يرغب في إعداد الحوكمة قابلة للتوثيق تنظيمياً، يمكن استخدام ISO/IEC 42001 كنظام إدارة و NIST-Playbook لتدابير ملموسة.

الإطار الأخلاقي أمر بالغ الأهمية للتعامل المسؤول مع الذكاء الاصطناعي وتطبيق السياسات.

المصدر: linkedin.com

الإطار الأخلاقي أمر بالغ الأهمية للتعامل المسؤول مع الذكاء الاصطناعي وتطبيق السياسات.

توقعات

تتعلق الأسئلة المفتوحة بتفصيل متطلبات GPAI وتوقعات المراقبة في عمليات التدقيق. تواصل المفوضية العمل على وثائق المساعدة وتحافظ على الخطة المرحلية، كما Reuters يُذكر. يمثل توحيد الاختبارات لحقن الأوامر ومخاطر الوكلاء في سير العمل المعقد تحدياً إضافياً. OWASP يقدم كتالوجات مخاطر يتم تحديثها باستمرار. كما أن السؤال عن مقاييس العدالة، والمتانة، والهلوسة، التي أصبحت معايير واقعية، لا يزال مفتوحاً. NIST يعمل على الملفات الشخصية وطرق التقييم للذكاء الاصطناعي التوليدي.

يظهر الذكاء الاصطناعي الخفي أن الناس يريدون نتائج سريعة. تربط السياسات الجيدة هذا الدافع بالحماية. إن من يقوم بصياغة قواعد استخدام واضحة الآن، ويؤسس الاكتشاف والمراقبة، ويدمج الضوابط التقنية، ويضع عمليات MRM، يقلل من المخاطر دون إبطاء الإنتاجية. وهذا يهيئ الشركات أيضاً بشكل أفضل لـ EU AI Act ويستخدم الأطر مثل NIST AI Risk Management Framework و ISO/IEC 42001.

المصدر: يوتيوب

شارك مقالتنا!