لم يعد مفهوم Shadow AI مقتصرًا على لصق الموظفين بيانات حساسة في منصات مثل ChatGPT، بل تطور ليعني شيئًا أكبر: بناء تطبيقات كاملة بالاعتماد على الذكاء الاصطناعي، ربطها بأنظمة الإنتاج، ونشرها على الإنترنت دون إشراف من فرق الأمن أو تقنية المعلومات.
تقرير Shadow Builders الصادر عن شركة Red Access كشف عن أكثر من 380,000 أصل ويب عام عبر منصات “Vibe Coding”، منها نحو 5,000 أصل ذو طابع مؤسسي، وأكثر من 2000 تطبيق احتوى بيانات حساسة، منشورة بلا ضوابط وصول، وغالبًا تمنح صلاحيات إدارية لأي شخص يصل إلى الرابط.
فجوة بين قدرات الموظفين والبنى الأمنية
الموظفون الذين يبنون هذه التطبيقات ليسوا مخربين، بل يسعون لحلول سريعة لمشكلات يومية: مدير تسويق يبني أداة لتتبع الحملات، فريق مالي ينشئ لوحة تحكم للبيانات، أو مسؤول عمليات يصمم نموذجًا لاستقبال الموردين.
لكن هذه التطبيقات غالبًا ترتبط مباشرة بأنظمة إنتاجية مثل CRM، ERP، أدوات BI، وتُنشر للعامة بلا حماية. المنصات نفسها ليست مسؤولة، فهي تقدم ما طلبه المستخدمون، لكن الحواجز الأمنية والتنظيمية لم تواكب هذا التحول.
لماذا تفشل الأدوات الأمنية التقليدية؟
رغم وجود EDR، DLP، CASB، Firewall، SSE، إلا أن هذه الأدوات لا تلتقط النشاط الجديد:
- EDR يرى العملية كجلسة متصفح عادية، لا كعملية بناء تطبيق.
- DLP يراقب قنوات محددة، لكنه لا يكشف نقل البيانات عبر API بين تطبيقات مدمجة.
- CASB صُمم لمراقبة SaaS، لكنه لا يميز بين آلاف التطبيقات المخصصة المبنية على نفس المنصة.
- Firewall/SSE ترى حركة المرور إلى نطاق المنصة، لكنها لا تفهم سياق التطبيق المنشور.
النتيجة: كل أداة تعمل ضمن نطاقها، لكن الفئة الجديدة من التطبيقات تقع في الفراغات بين هذه الطبقات.
أين يجب أن تكون الرؤية الأمنية؟
كل خطوة في بناء تطبيق عبر “Vibe Coding” تحدث على طبقة الجلسة (Session Layer):
- عملية البناء داخل المتصفح.
- منح صلاحيات OAuth وربط التطبيق بأنظمة مؤسسية.
- نقل البيانات بين الأنظمة.
- نشر التطبيق عبر رابط عام.
لذلك، الرؤية الأمنية الفعالة يجب أن تكون على مستوى الجلسة، حيث يمكن تتبع كل خطوة وربطها بمستخدم محدد، بغض النظر عن الجهاز أو المتصفح المستخدم.
خطوات عاجلة للمؤسسات
التقرير يقترح أربع خطوات عملية لا تتطلب شراء أدوات جديدة:
- الاكتشاف: مطالبة الموظفين بالكشف عما بنوه عبر منصات الذكاء الاصطناعي.
- الرسم: تحديد الأنظمة المرتبطة بكل تطبيق، وآليات الربط، وما إذا كان التطبيق متاحًا للعامة.
- المسار المصرح: وضع منصات معتمدة، تعريف فئات البيانات المسموح بها، وتحديد معايير المصادقة الدنيا.
- الاكتشاف المستمر: لأن التطبيقات تُبنى باستمرار، يجب أن تكون عملية المراقبة مستمرة وليست جردًا لمرة واحدة.
