في السنوات الأولى من انتشار أدوات الذكاء الاصطناعي داخل المؤسسات، كان القلق الأمني يتمحور حول قيام الموظفين بلصق بيانات حساسة في منصات عامة. حينها، استجابت فرق الأمن بسياسات استخدام صارمة، وحجب النطاقات، وتطبيق قواعد منع فقدان البيانات. لكن هذا النموذج لم يعد يعكس التهديد الحقيقي اليوم.
لقد تغيّر المشهد مع بروز ما يُعرف بـ الذكاء الاصطناعي الظلي، حيث لم يعد الخطر مرتبطًا بما يكتبه الموظفون في الأدوات، بل بما تفعله الوكلاء الذكية داخل بيئة المؤسسة، وما الأنظمة التي ترتبط بها، وما الصلاحيات التي تُمنح لها دون رقابة كافية.
من أدوات سلبية إلى وكلاء فاعلين
الموظفون ووحدات الأعمال باتوا يبنون وكلاء ذكاء اصطناعي بوتيرة أسرع من قدرة فرق الأمن على المتابعة. هذه الوكلاء ليست مجرد تطبيقات بل كيانات قادرة على تنفيذ إجراءات: استدعاء واجهات برمجية، استخدام بيانات اعتماد مخزنة، تعديل إعدادات، تشغيل مهام إنتاجية، وحتى حذف سجلات.
الفرق بين تطبيق SaaS غير مصرح به ووكيل ذكاء اصطناعي غير مُدار جوهري؛ الأول مجرد وجهة للبيانات، أما الثاني فهو “فاعل” قادر على تغيير الواقع التشغيلي. وهنا يظهر خطر التحكم في الوصول، إذ يمكن لوكيل مخصص أن يتصل بأنظمة مثل Salesforce أو GitHub أو Slack ويستمر في العمل حتى بعد مغادرة الموظف الذي أنشأه.
لماذا تفشل الضوابط التقليدية؟
معظم ضوابط الأمن المؤسسي صُممت لإدارة هويات بشرية وسير عمل محدد. سياسات IAM وقواعد DLP وافتراضات المراقبة الشبكية تقوم على سلوك متوقع. لكن الوكلاء الذكية تكسر هذه الافتراضات.
فوكيل مكلّف بحل مشكلة نشر فاشل قد يقرأ السجلات، يستعلم أنظمة المراقبة، يعدّل البنية التحتية، يفتح تذاكر دعم، ويطلق خطوط أتمتة—all باستخدام بيانات اعتماد موروثة. ولتفادي تعطيل سير العمل، يمنح المطورون صلاحيات واسعة منذ البداية، فتتراكم الامتيازات وتتحول المؤقتة إلى دائمة، بينما تفقد فرق الأمن الرؤية على ما يجري فعليًا.
كيف يبدو جرد حقيقي للذكاء الاصطناعي الظلي؟
لمواجهة هذه الفجوة، يجب على المؤسسات أن تبدأ بجرد شامل للوكلاء الذكية عبر البيئات المختلفة: منصات الذكاء الاصطناعي، تطبيقات SaaS، حسابات السحابة، أدوات المطورين، الأجهزة الطرفية، ومزودي الهوية.
الباحثون في Token Security وCloud Security Alliance وضعوا ستة أسئلة أساسية لتحديد السيطرة الفعلية:
- أماكن الإنشاء: أين يتم بناء الوكلاء أو تثبيتهم؟ هل في منصات واضحة أم عبر إضافات المتصفح وأدوات محلية؟
- الملكية والاستخدام: من يملك الوكيل ومن يمكنه استخدامه؟ غياب الملكية يعني غياب المساءلة.
- الموارد المرتبطة: ما الخدمات والأنظمة التي يتصل بها الوكيل؟ قد يبدو غير ضار لكنه يحمل وصولًا لبيانات حساسة.
- الهويات والأسرار: ما نوع بيانات الاعتماد المستخدمة؟ حسابات خدمة، مفاتيح API، رموز OAuth، كلها تحمل مخاطر مختلفة.
- النية والسلوك: ماذا يفعل الوكيل فعليًا؟ هل يقرأ فقط أم يكتب ويحذف؟
- النشاط المستمر: هل لا يزال الوكيل نشطًا؟ بيانات Token Security أظهرت أن 65% من الوكلاء لم يُستخدموا مطلقًا منذ إنشائهم لكن بيانات اعتمادهم ما زالت فعالة.
منحنى النضج في تأمين الوكلاء الذكية
معظم المؤسسات لا تزال في بداية الطريق، بلا جرد فعلي للوكلاء. الخطوة التالية هي الحصول على رؤية جزئية، ثم إثراء السياق لفهم النية وربط الملكية والصلاحيات بكل وكيل. بعدها يأتي دور الضوابط الآلية لمعالجة الامتيازات المفرطة، تنبيه المالكين للوكلاء غير النشطين، ورصد أي وكيل جديد يتصل بأنظمة حساسة.
الهدف ليس منع تبني الذكاء الاصطناعي، بل تمكينه بشكل مُدار. فالحظر الصارم يدفع الاستخدام إلى الظل، بينما الحل الأفضل هو التمكين المُحكَم عبر ضوابط آلية تعمل باستمرار في الخلفية.

























