عندما أصبحت أدوات الذكاء الاصطناعي التوليدي (GenAI) متاحة على نطاق واسع أواخر ٢٠٢٢، لم يكن المهوسون التقنيون وحدهم من انتبهوا. الموظفون في جميع القطاعات أدركوا على الفور قدرة هذه الأدوات على تعزيز الإنتاجية، وتبسيط العمليات، وتسريع إنجاز المهام. ولكن كما حدث مع موجات الابتكار التقني السابقة (مثل التخزين السحابي ومنصات التعاون)، دخل الذكاء الاصطناعي إلى المؤسسات من الباب الخلفي – عبر موظفين متحمسين، وليس عبر قنوات رسمية.
وفي مواجهة مخاطر تسرب البيانات الحساسة عبر واجهات الذكاء الاصطناعي العامة، سارعت العديد من المؤسسات إلى حظر الوصول إلى هذه الأدوات. ورغم أن هذه الخطوة تبدو منطقية كإجراء وقائي سريع، إلا أنها:
-
ليست استراتيجية طويلة الأمد، بل مجرد حل مؤقت.
-
غير فعالة في معظم الحالات، لأن الموظفين يجدون طرقًا للالتفاف عليها (مثل استخدام هواتفهم الشخصية أو إرسال الملفات إلى بريدهم الخاص).
“الذكاء الاصطناعي الخفي” (Shadow AI): الخطر الأكبر
وفقًا لفريق ThreatLabz التابع لـ Zscaler:
-
زادت حركة مرور أدوات الذكاء الاصطناعي داخل المؤسسات 36 ضعفًا في ٢٠٢٤ مقارنة بالعام السابق.
-
تم رصد أكثر من 800 تطبيق ذكاء اصطناعي مختلف قيد الاستخدام.
الحظر لا يمنع الموظفين من استخدام الذكاء الاصطناعي، بل يدفعهم إلى التحايل، مما يخلق “منطقة عمياء” أمنية تُعرف بـ Shadow AI، حيث:
-
تُنقل البيانات الحساسة خارج نطاق رقابة المؤسسة.
-
تُفقد القدرة على تتبع الانتهاكات أو منع التسرب.
الدروس المستفادة من تبني الحوسبة السحابية
لقد مررنا بهذا الموقف من قبل! عندما ظهرت أدوات البرمجيات كخدمة (SaaS)، حاولت فرق تكنولوجيا المعلومات منع استخدامها، لكن الحل لم يكن الحظر، بل تقديم بدائل آمنة وسهلة.
الفرق اليوم هو أن المخاطر أكبر بكثير:
-
في SaaS: كان التسرب يعني فقدان ملف أو وثيقة.
-
في GenAI: قد يعني تدريب نموذج عام على الملكية الفكرية للمؤسسة دون إمكانية استرداد البيانات لاحقًا!
الرؤية أولًا.. ثم السياسات
قبل أن تتمكن المؤسسات من التحكم في استخدام الذكاء الاصطناعي، تحتاج إلى:
-
الرؤية الشاملة: معرفة أي التطبيقات تُستخدم، ومن يستخدمها، وكم مرة.
-
سياسات ذكية: لا يكفي خيارا “السماح” أو “الحظر”، بل يجب تطبيق حوكمة قائمة على السياق وفقًا لمبادئ Zero Trust (الثقة الصفرية).
كيف تحقق التوازن بين التمكين والحماية؟
-
عزل المتصفح: السماح باستخدام أدوات الذكاء الاصطناعي في وضع العزل (Browser Isolation) لمنع نسخ البيانات الحساسة.
-
توجيه المستخدمين إلى بدائل معتمدة: مثل منصات الذكاء الاصطناعي الداخلية الآمنة.
-
منع تسرب البيانات (DLP): في Zscaler، تم منع 4 ملايين محاولة إرسال بيانات حساسة (مثل المعلومات المالية، الشيفرات المصدرية، والبيانات الطبية) إلى تطبيقات الذكاء الاصطناعي.
