ثغرات أمنية جديدة ناجمة عن التبني السريع للذكاء الاصطناعي من الجيل الجديد، والتي يجب على المؤسسات معالجتها.

انتقلت تقنيات الذكاء الاصطناعي التوليدي (GenAI) من مجرد فكرة مثيرة للاهتمام إلى قوة محورية في تكنولوجيا المؤسسات. فقد جعلتها قدرتها على توليد النصوص والبرمجيات والصور والرؤى عند الطلب أداة لا غنى عنها للموظفين الراغبين في تبسيط العمليات المعقدة وزيادة الإنتاجية. ولكن مع هذا الابتكار والكفاءة، تأتي مخاطر جسيمة.

خلال مكالمات مع مسؤولين تنفيذيين وقادة حوكمة الذكاء الاصطناعي في مختلف القطاعات، برز موضوع واحد مرارًا وتكرارًا: لقد تحوّل أمن البيانات من مجرد هاجس رئيسي إلى محور استراتيجيتهم، وأصبح الآن التحدي الأبرز في تبني الذكاء الاصطناعي. على عكس البرامج التقليدية، أو حتى موجات التعلم الآلي السابقة، يُحدث الجيل الجديد من الذكاء الاصطناعي تغييرًا جذريًا في عملية تأمين البيانات داخل المؤسسة.

دراسة حديثة أجراها معهد ماساتشوستس للتكنولوجيا أظهرت الدراسات أن 95% من المشاريع التجريبية للذكاء الاصطناعي العام في المؤسسات تفشل. لا يعود السبب إلى ضعف التكنولوجيا، بل إلى افتقار المؤسسات إلى أطر الحوكمة والأمن اللازمة لتشغيل الذكاء الاصطناعي العام بشكل مناسب ومسؤول. في دراسة أخرى أجراها معهد ماساتشوستس للتكنولوجياأشار قادة الشركات إلى أمن البيانات باعتباره أهم المخاطر التي تعيق تبني الذكاء الاصطناعي بشكل أسرع. إضافةً إلى ذلك، يُعرف "الذكاء الاصطناعي الخفي"، وهو استخدام الموظفين غير المصرح به للأدوات العامة، على نطاق واسع بأنه عامل رئيسي في تزايد مخاطر البيانات بشكل كبير خارج عن سيطرة الشركات.

يُعدّ مبدأ أقل الامتيازات نموذجًا أمنيًا يُمنح فيه أي كيان، سواءً كان مستخدمًا أو برنامجًا أو عملية، الحد الأدنى من الوصول والصلاحيات اللازمة لأداء وظائفه المشروعة. إلا أن الذكاء الاصطناعي العام (GenAI) يُغيّر هذا النموذج جذريًا، إذ يُصبح مبدأ أقل الامتيازات نفسه قيدًا يتعارض مع طريقة عمل هذه الأنظمة. ويعود ذلك إلى أن أدوات الذكاء الاصطناعي العام في المؤسسات تُحقق عادةً مكاسب إنتاجية أعلى عندما يكون لديها إمكانية الوصول إلى المزيد من بيانات الأعمال وسياقها.

مع تسارع تبني الذكاء الاصطناعي العام، يواصل المستخدمون اكتشاف تطبيقات جديدة له، ينشأ معظمها من تجارب عفوية وفضول، بدلاً من التخطيط المركزي الموجه نحو الأعمال. إذا لم تتمكن جهة ما من تحديد المهام التي سيُستخدم فيها الذكاء الاصطناعي العام، أو أنواع البيانات التي يحتاج إلى الوصول إليها، يصبح من غير العملي تحديد أذونات الوصول وفقًا لمبدأ أقل الامتيازات. إضافةً إلى ذلك، قد يمتلك المستخدم صلاحية الوصول المناسبة إلى مجموعة بيانات ويُدخلها بشكل قانوني إلى أداة الذكاء الاصطناعي العام، ولكن بمجرد استيعاب هذه البيانات، فإنها لم تعد خاضعة لأذونات المستخدم الأصلية. بدلاً من ذلك، يمكن دمجها في النموذج، أو عرضها في مخرجات لاحقة، أو إتاحتها للآخرين الذين يستخدمون الأداة نفسها. ولأن الذكاء الاصطناعي العام لا يرث بالضرورة ضوابط الوصول إلى البيانات، فإنه يجعل مبدأ أقل الامتيازات غير قابل للتطبيق فعليًا.

مخاطر الذكاء الاصطناعي العام التي يجب مراعاتها

تُنشئ تقنيات الذكاء الاصطناعي من الجيل الجديد سطح بيانات واسعًا ومتناميًا باستمرار، مما يُعقّد إدارة بيانات المؤسسات وأمنها بعدة طرق مترابطة. وتشمل هذه الطرق ما يلي:

تسرب المدخلات تستطيع تقنيات الذكاء الاصطناعي العام استيعاب البيانات بصورتها الخام، بما في ذلك النصوص والصور والصوت والفيديو والبيانات المنظمة. وبات بإمكان المستخدمين توجيه أدوات الذكاء الاصطناعي العام إلى مجموعات بيانات جديدة بأقل جهد وخبرة. فبدلاً من الاقتصار على جداول منظمة ومنسقة بعناية ذات مخططات وعلاقات محددة، قد تشمل هذه المجموعات تسجيلات مكالمات المبيعات، وملاحظات البريد الإلكتروني في نظام إدارة علاقات العملاء، ونصوص خدمة العملاء، وغيرها. عمليًا، يقوم الموظفون بتزويد هذه الأدوات بمعلومات تجارية بالغة الحساسية، بما في ذلك معلومات التعريف الشخصية للعملاء، والملكية الفكرية، والتوقعات المالية، وحتى شفرة المصدر.

التعرض الناتج - لا تكتفي النماذج التوليدية باستهلاك البيانات، بل تقوم بتوليفها أيضًا. قد يستخلص برنامجٌ ما، دون قصد، رؤىً من مجموعات بيانات متعددة، ويعرضها للمستخدمين دون الحصول على الموافقة اللازمة. في بعض الحالات، قد تُوهم المخرجات المستخدمين بأن البيانات تبدو حقيقية، لكنها تحتوي على أجزاء من مواد تدريبية حقيقية بالغة الحساسية.

تُحسّن أدوات الذكاء الاصطناعي العام أداءها عندما يكون لديها سياق للمهمة المطروحة. ونتيجةً لذلك، لا يقتصر دور الذكاء الاصطناعي العام على استيعاب المعلومات الموجودة فحسب، بل يقوم المستخدمون أيضًا بإنشاء بيانات جديدة لتوجيهه في شكل مطالبات شاملة ومفصلة توثق سياق العمل والعمليات الداخلية وغيرها من المعلومات التي قد تكون حساسة أو بالغة الأهمية للعمل.

إمكانية الوصول دون إشراف - كانت أنظمة المؤسسات التقليدية تتطلب إجراءات تسجيل الموردين وتوفير البنية التحتية لتكنولوجيا المعلومات. أما اليوم، فقد أصبح الذكاء الاصطناعي العام (GenAI) جزءًا لا يتجزأ من كل مكان - في حزم مايكروسوفت أوفيس، والمتصفحات، وأدوات الدردشة، ومنصات البرمجيات كخدمة (SaaS). يستطيع الموظفون استخدامه فورًا، متجاوزين بذلك أي إجراءات حوكمة. هذا الوصول السلس يُغذي ما يُسمى بـ"الذكاء الاصطناعي الخفي"، وكل استخدام غير مصرح به للذكاء الاصطناعي العام يُعدّ بمثابة تسريب محتمل للبيانات يحدث بشكل خفي، وعلى نطاق واسع، وخارج نطاق حوكمة المؤسسة.

مخاطر سلسلة التوريد من المستوى الثاني قد يبدو المورّد آمناً ظاهرياً، لكنه غالباً ما يعتمد على مقاولين فرعيين مثل مزودي خدمات الحوسبة السحابية، وخدمات التعليق، أو مختبرات الذكاء الاصطناعي التابعة لجهات خارجية. ولكلٍّ منهم اتفاقيات ترخيص المستخدم النهائي (EULA) وسياساته الخاصة. وقد تنتقل بيانات المؤسسة الحساسة عبر أيادٍ متعددة غير مرئية، ومع ذلك تبقى المسؤولية كاملةً على عاتق المؤسسة. على سبيل المثال، قد يكون لدى مؤسسة ما مورّدٌ أكمل سابقاً عملية إلحاقها، لكن هذا المورّد يستخدم الآن أداة GenAI التي قد تسمح باستخدام بيانات المؤسسة كبيانات تدريب، مع ما يترتب على ذلك من آثار لاحقة كبيرة.

ثغرات الحوكمة في بيانات التدريب بمجرد دخول البيانات إلى نموذج الذكاء الاصطناعي، ينتهي التحكم فعليًا. لا تستطيع المؤسسات بسهولة سحب معلوماتها أو التحكم في كيفية استخدامها. قد تبقى المعرفة الخاصة وتظهر في المخرجات بعد نسيان مصدرها بفترة طويلة. لم نصادف حتى الآن أي أداة من أدوات الذكاء الاصطناعي العام تسمح بطلبات إزالة المعلومات التي استوعبتها، على غرار ما هو موجود في لوائح الخصوصية مثل اللائحة العامة لحماية البيانات (GDPR) أو قانون خصوصية المستهلك في كاليفورنيا (CCPA). من غير المرجح تطبيق مثل هذه العمليات حتى تُحفز اللوائح التغيير.

مخاطر رمز التطبيق يتزايد استخدام الذكاء الاصطناعي في كتابة الشيفرة البرمجية التي تدعم أنظمة الأعمال. وقد يُدخل المطورون الذين يستخدمون أدوات الذكاء الاصطناعي العام، مثل Microsoft Copilot، لإنشاء الشيفرة دون علمهم، تبعيات غير آمنة، أو ينشرون ثغرات أمنية، أو يُضمّنون شيفرة برمجية بموجب تراخيص مفتوحة المصدر متضاربة. وبمجرد نشرها، تصبح هذه الثغرات جزءًا لا يتجزأ من سلسلة توريد البرمجيات.

معالجة مخاطر الجيل الجديد من الذكاء الاصطناعي

أصبحت تقنيات الذكاء الاصطناعي العام جزءًا لا يتجزأ من سير العمل المؤسسي، لذا فإن السؤال المطروح أمام المؤسسات ليس ما إذا كان ينبغي تبنيها، بل كيفية القيام بذلك بمسؤولية. إن تبني هذه التقنيات دون حوكمة فعّالة يُعرّض المؤسسات لمخاطر انتهاكات مكلفة، وعقوبات تنظيمية، وتشويه السمعة. أما منعها، فلا يؤدي إلا إلى دفع الموظفين لاستخدام حلول غير مصرح بها. السبيل الوحيد للمضي قدمًا هو التمكين المصحوب بالشفافية والتحكم.

تتطلب حوكمة الذكاء الاصطناعي العام رؤية شاملة للسياق، لا تقتصر على معرفة البيانات التي تمتلكها المؤسسة، ومكان وجودها، ومن لديه حق الوصول إليها، بل تشمل أيضًا كيفية استخدام الذكاء الاصطناعي العام. تحتاج المؤسسات إلى معرفة الأدوات المستخدمة، والمدخلات التي يتم إدخالها، وما إذا كانت البيانات الحساسة تُنقل خارج بيئتها. ومن ثم، يمكنها تطبيق الضوابط المناسبة لمراقبة المدخلات والمخرجات في الوقت الفعلي، وتحديد الجلسات الخطرة أو تدفقات البيانات غير المعتادة، وحظر الأدوات غير المصرح بها، وتصفية المدخلات الحساسة قبل نقلها، وإخفاء هوية البيانات الحساسة عند إدخالها في المدخلات، وفرض قيود قائمة على الأدوار على الرؤى المستندة إلى الذكاء الاصطناعي.

يمثل الذكاء الاصطناعي من الجيل الجديد طبقة جديدة كلياً من المخاطر والفرص في المؤسسات. وتتطلب إدارته عقلية مفادها أن الأمن ليس عائقاً أمام الابتكار، بل هو الأساس الذي يجعله آمناً.