حين يغادر موظف شركتك، تُلغى بياناته الوظيفية وتُسحب صلاحياته وتُغلق حساباته. لكن ماذا عن الأدوات الذكية التي بناها؟ ماذا عن عميل الذكاء الاصطناعي الذي أعدّه للتفاعل مع قواعد البيانات الحساسة، أو السكريبت الآلي الذي ربطه بنظام الملكية الفكرية للشركة؟ في أغلب المؤسسات، تلك الأدوات لا تغادر، بل تبقى تعمل بهدوء في الخلفية، تتصل بالأنظمة الحساسة، وتسحب البيانات، دون أن يعلم أحد من يُفترض أن يكون مسؤولاً عنها.
هذه الظاهرة باتت تُعرف في أوساط أمن المعلومات بعملاء الذكاء الاصطناعي المنسيين أو المهجورين، وهي تمثّل أحد أبرز التحديات الأمنية التي أفرزتها موجة التبني المتسارع لأدوات الذكاء الاصطناعي داخل المؤسسات، إذ تراكمت ديون إدارية ضخمة لم تُعالَج بعد.
فجوة المساءلة: من يملك هذا العميل الذكي؟
السؤال الجوهري الذي تطرحه دراسات الأمن الحديثة بات محرجاً في بساطته: إذا كان عميل ذكاء اصطناعي مستقل يتفاعل اليوم مع الملكية الفكرية الأساسية لشركتك، هل يستطيع فريقك الأمني تسمية الشخص الذي فوّضه بذلك فوراً؟
بالنسبة لمعظم المؤسسات، الإجابة لا. وهذه الإجابة البسيطة تحمل في طياتها خطراً مركّباً.
حين ينضم موظف إلى شركة ويبدأ في بناء أدوات آلية تعتمد على الذكاء الاصطناعي، فإنه يمنحها صلاحياته وبيانات اعتماده. هذه الأدوات ترث هويته الرقمية داخل المنظومة. وحين يُغادر، تُلغى هويته الإنسانية لكن الهوية الرقمية التي يُجسّدها العميل الآلي قد تظل نشطة لأشهر أو سنوات. النتيجة: وصول غير مراقَب، دون مالك معروف، إلى أنظمة بالغة الحساسية.
الأمر لا يتوقف عند الموظفين المغادرين. كثير من الشركات تمنح أدوات الذكاء الاصطناعي صلاحيات دائمة وغير مقيّدة في المرحلة الأولى تسهيلاً للنشر، ثم تنسى تضييق نطاق هذه الصلاحيات لاحقاً. يُصبح العميل الذكي يملك قدرة الوصول إلى ما هو أكثر بكثير مما يحتاج إليه لأداء مهمته الفعلية، وهذا بالضبط ما يُعرف بمبدأ الصلاحيات الدائمة أو Standing Privileges، وهو من أخطر النماذج الأمنية التي تُعاني منها المؤسسات في عصر الذكاء الاصطناعي.
لماذا تفشل أدوات الأمن التقليدية في اكتشاف هذه التهديدات
المشكلة لا تكمن فقط في وجود هذه العملاء المنسيين، بل تمتد إلى طبيعة الأدوات الأمنية الحالية التي لم تُصمَّم للتعامل مع هذا النوع من التهديدات.
أدوات إدارة الوصول التقليدية تتعامل مع الذكاء الاصطناعي بوصفه برنامجاً اعتيادياً. لكن الذكاء الاصطناعي ليس برنامجاً ساكناً ينتظر أوامر صريحة. إنه يسحب البيانات ويعيد تنظيمها ويتفاعل معها بشكل مستمر وتلقائي. حين يرى مرشّح أمني اعتيادي عميلاً ذكياً يسحب مستودعاً بأكمله، يفترض أن التطبيق يؤدي وظيفته المعتادة. لا يرى أن الموظف الذي أنشأ هذا الأداة غادر الشركة الأسبوع الماضي. ولا يستطيع الحكم على ما إذا كان الفعل مشبوهاً لأنه لا يعلم هوية الشخص الذي يعمل العميل باسمه.
هذه الفجوة في رؤية الهوية تجعل كشف هذه الأدوات الخفية مجرد نصف المشكلة. النصف الآخر هو ربط كل أداة بمالكها الإنساني الفعلي الحالي، وهو تحدٍّ هندسي حقيقي يستلزم توحيد هويات البشر والآلات وعملاء الذكاء الاصطناعي تحت منظومة تحكم واحدة.
تجدر الإشارة إلى أن هذه الإشكالية جزء من مشهد أوسع يُعرف بـ Shadow AI أو الذكاء الاصطناعي الظلي، وهو مصطلح يشمل كل أدوات الذكاء الاصطناعي التي يُنشئها الموظفون أو يستخدمونها دون معرفة الفريق الأمني أو موافقته الرسمية. مع تسارع تبني الذكاء الاصطناعي داخل الشركات، ينمو هذا الظل بسرعة تفوق قدرة الفرق الأمنية على مواكبته.
مقاربات عملية للكشف عن عملاء الذكاء الاصطناعي المخفيين ومعالجة فجوة الهوية
معالجة هذه الإشكالية تتطلب تغييراً في المقاربة الأمنية يتجاوز إضافة أدوات جديدة إلى البنية التحتية الحالية. ثمة محاور رئيسية ينبغي أن تتمحور حولها أي استراتيجية فعّالة.
المحور الأول هو فهم فجوة الهوية بعمق. تأمين عميل ذكاء اصطناعي بمعزل عن سياقه الإنساني لا معنى له إن لم تعرف على بيانات اعتماد من يعمل هذا العميل. الهوية هنا ليست مجرد بيانات دخول تقنية، بل سلسلة مساءلة تربط الفعل الرقمي بالإنسان المسؤول عنه.
المحور الثاني هو رسم خريطة شاملة للأدوات غير الموثّقة. هذه الخطوة تستلزم منهجية منظمة للبحث عن كل سكريبت وكل اتصال آلي وكل استدعاء لواجهات برمجية داخل الشبكة، مع تتبع مصدر كل منها وتحديد ما إذا كان المسؤول عنه لا يزال في المؤسسة.
المحور الثالث هو توحيد منظومة التحكم في الهوية. يعني ذلك تصميم بنية تتيح رؤية موحّدة لهويات البشر والآلات والعملاء الذكيين في مكان واحد، بما يجعل الكشف عن الوصول غير المصرّح به فورياً وليس رجعياً بعد وقوع ضرر ما.
المحور الرابع هو اعتماد نموذج الصلاحيات الحدية في الوقت المناسب JIT بدلاً من الصلاحيات الدائمة، بحيث يحصل كل عميل ذكي على الوصول الذي يحتاجه فعلاً للمهمة المحددة، وتنتهي صلاحيته تلقائياً حين تنتهي المهمة أو حين يغادر مالكه الإنساني المؤسسة.
يكشف هذا التحدي عن معادلة غير متوازنة: المؤسسات تُسرع في تبني الذكاء الاصطناعي بوتيرة تفوق بكثير قدرتها على إدارة المخاطر المصاحبة. وكلما تراكمت هذه الأدوات المنسية داخل الشبكات دون مساءلة واضحة، كلما اتسعت مساحة التعرض للاختراق وصعب على الفرق الأمنية استعادة السيطرة الكاملة.





























