تواصل معنا

ارسم خريطة الذكاء الاصطناعي الظلي قبل أن يرسم خريطتك

مخاطر حوكمة AI الحقيقية في معظم المؤسسات ليست في الأنظمة التي وافقت عليها تكنولوجيا المعلومات. بل في النماذج اللغوية العامة التي يستخدمها فريقك الآن مع بيانات مؤسسية، دون أي سياسة.

نُشر 2026-04-10 · 7 دقيقة قراءة · Carlos Lima

مجموعة AI المعتمدة ليست حيث تعيش مخاطر الحوكمة. إنها نقطة انطلاق للمحادثة، وخط أساس، والسطح الموثق الذي راجعه أمن تكنولوجيا المعلومات ومنحه القانون بركته. التعرض الحقيقي في مكان آخر.

الآن، في المنظمات التي تتجاوز 50 شخصاً، يلصق الموظفون بيانات عملاء سرية في ChatGPT العام لصياغة المقترحات. يستخدمون Gemini المجاني للتحليل التنافسي مع وثائق الاستراتيجية الداخلية كسياق. يديرون عمليات الموارد البشرية التي تمس البيانات الشخصية عبر أدوات لا تمتلك اتفاقيات موقع بيانات مؤسسية. لم يوافق فريق تكنولوجيا المعلومات على شيء من هذا. معظمهم لا يعلم بحدوثه.

هذا هو الذكاء الاصطناعي الظلي (Shadow AI). ليس خطراً مستقبلياً. واقعاً تشغيلياً حالياً.

الفجوة الحوكمية التي لا يتحدث عنها أحد

تتمحور مشاريع حوكمة AI المؤسسية حول ما تم شراؤه: نشر RAG المؤسسي، وعقد Microsoft 365 Copilot، وتكاملات الموردين المعتمدة. مرت هذه الأنظمة بمراجعة أمنية. لها اتفاقيات معالجة البيانات. ملف مخاطرها موثق.

تمثل المجموعة المعتمدة جزءاً صغيراً من نشاط AI في المنظمة. غالبية استخدام AI في معظم المؤسسات التي تتجاوز حجماً معيناً ليست في الأنظمة المعتمدة. إنها في الأدوات التي وصل إليها الموظفون لأنها تحل المشاكل فوراً، دون دورة مشتريات، ودون تذكرة تكنولوجيا المعلومات، ودون عملية موافقة تمتد ستة أسابيع.

يحدث الذكاء الاصطناعي الظلي لأن القنوات الرسمية بطيئة والبدائل غير الرسمية سريعة. المقترح موعده خلال 24 ساعة. لدى الموظف حساب ChatGPT مجاني. الملخص التنفيذي للعميل في مستند مشترك. هذا الاتصال ليس فشلاً في الحوكمة. إنه استجابة عقلانية لفجوة إنتاجية لا تعالجها المنظمة عبر القنوات الرسمية.

حظر السلوك لا يسد الفجوة. ينقل السلوك إلى الأجهزة الشخصية والشبكات المنزلية، حيث يكون أقل وضوحاً. جُرّب نموذج التطبيق. لا يعمل، للسبب ذاته الذي جعل حظر محركات USB لا يمنع البيانات من مغادرة المنظمات.

لماذا يحدث الذكاء الاصطناعي الظلي ولماذا يفشل حظره

الموظف الذي يستخدم أداة AI عامة للعمل حدد مشكلة إنتاجية حقيقية. وجد نهجاً يحلها أسرع من أي بديل مرخص. هذه ليست مشكلة انضباط. إنها معلومة حول أين يُخفق تمكين AI في المنظمة.

حين ينتشر الذكاء الاصطناعي الظلي، يحمل إشارة محددة: الموظفون وجدوا بالفعل حالات الاستخدام عالية القيمة. أجروا التجارب التي ستستغرق عملية الاستكشاف الرسمية أسابيع للقيام بها. المشكلة ليست الاكتشاف. بل أن حالات الاستخدام هذه تعمل على بنية تحتية غير مُدارة دون حوكمة بيانات.

حظر أدوات AI العامة دون توفير بديل محكوم لا يُزيل حالات الاستخدام. بل يُزيل رؤية المنظمة لها. الاستجابة الحوكمية الصحيحة ليست التقييد. بل التوفير: بديل مرخص يغطي حالات الاستخدام الأعلى حجماً بضوابط بيانات مناسبة، مقرون بسياسة واضحة للبقية.

منهجية رسم خريطة الذكاء الاصطناعي الظلي

A shadow AI mapping workflow moving from anonymous survey to interviews, traffic analysis, risk tiers, and governed policy.

رسم خريطة الذكاء الاصطناعي الظلي يتطلب طرح أسئلة مختلفة عن التدقيق الأمني المعياري. الهدف ليس الكشف عن المخالفات بعد وقوعها. بل فهم أين AI مُدمج بالفعل في ممارسات العمل، قبل تحديد سياسة الحوكمة.

المرحلة الأولى: الاستطلاع. استطلاع مجهول الهوية عبر المنظمة يسأل: أي أدوات AI تستخدم حالياً لمهام العمل، وأي أنواع بيانات تستخدمها معها، وتقريباً كم مرة؟ السرية أمر بالغ الأهمية. إذا توقع الموظفون عواقب على الإجابات الصادقة، يُرجع الاستطلاع الإجابات التي يعتقد الموظفون أن الإدارة تريد سماعها، وهي عديمة الفائدة لأغراض الحوكمة.

المرحلة الثانية: عرض العملية التفصيلي. لكل سير عمل رئيسي، تتبع العملية خطوة بخطوة مع من يؤدونها، وتسأل: في أي نقاط وجدتم أدوات AI مفيدة؟ يكشف العرض التفصيلي عن تبني الأدوات غير الرسمي الذي لا يعتبره الموظفون “استخدام AI” لأنه مجرد طريقة عملهم: تلخيص وثائق طويلة، وصياغة الاتصالات، وتوليد كود التحليل، وبحث المعلومات التنافسية.

المرحلة الثالثة: تصنيف المخاطر. لكل استخدام ظلي للذكاء الاصطناعي محدد في المرحلتين الأولى والثانية، صنّف البيانات المعنية حسب الفئة: البيانات الشخصية في نطاق GDPR أو LGPD، والمعلومات التجارية السرية، والبيانات المنظمة (مالية أو صحية أو قانونية)، والملكية الفكرية. ثم صنّف عواقب كل استخدام: هل هذا يؤثر على قرار جوهري؟ هل هذا يولّد محتوى سيُشارك خارجياً؟ هل هذا يُستخدم لأتمتة عملية لها متطلبات رقابة بشرية؟

المرحلة الرابعة: تصميم السياسة. لكل مستوى مخاطر تنتجه المرحلة الثالثة، تأخذ الاستجابة الحوكمية أحد شكلين: توفير بديل محكوم يغطي حالة الاستخدام بضوابط مناسبة، أو وضع سياسة استخدام مقبول واضحة تحدد أي البيانات مسموح به في الأدوات غير المعتمدة وأي منها يتطلب نظاماً محكوماً.

ناتج هذه العملية الرباعية هو سجل الذكاء الاصطناعي الظلي: جرد موثق للاستخدام غير المعتمد لـ AI وملف تعرضه للبيانات وتصنيفه للمخاطر. يصبح هذا المستند جزءاً من وثائق إدارة مخاطر AI المطلوبة بموجب قانون الذكاء الاصطناعي الأوروبي للمنظمات ذات الالتزامات كمشغل، ويشكل عنصراً أساسياً في جرد نظام AI المطلوب لاعتماد ISO 42001.

فئات البيانات التي تخلق تعرضاً حقيقياً

لا تحمل جميع استخدامات الذكاء الاصطناعي الظلي نفس ملف المخاطر. الفئات التي تخلق تعرضاً قانونياً وتنظيمياً جوهرياً تتبع نمطاً متسقاً.

البيانات الشخصية. معلومات الموظفين وسجلات العملاء والبيانات الصحية وأي معلومات تُعرّف أو يمكنها تعريف شخص طبيعي. البيانات الشخصية المُقدَّمة لأدوات AI العامة قد تُحتجز وتُستخدم لتدريب النماذج بحسب شروط خدمة المزود والمستوى المستخدم [تقدير: الشروط تتباين حسب المزود؛ تحقق من شروط الخدمة الحالية لكل أداة محددة]. تشترط المادة 28 من GDPR اتفاقية معالجة بيانات مع أي معالج للبيانات الشخصية. معظم استخدام أدوات AI على المستوى المجاني لا تتضمن اتفاقية معالجة بيانات.

البيانات التجارية السرية. معلومات الاندماج والاستحواذ، وعقود العملاء الخاضعة لبنود السرية، وخرائط طريق المنتجات غير المُعلنة، واستراتيجية التسعير، والاستخبارات التنافسية. التزام السرية تجاه العملاء والأطراف المقابلة لا يتوقف لأن المعالجة تحدث في أداة مريحة.

البيانات المنظمة. السجلات المالية بموجب أطر تنظيمية متعددة، والمعلومات الصحية بموجب لوائح البيانات الصحية المعمول بها، ومعلومات الشؤون القانونية في ظل اعتبارات الامتياز. تحمل كل من هذه الفئات التزامات تستمر بغض النظر عن وسيلة المعالجة.

الملكية الفكرية. العمليات الخاصة والأسرار التجارية والبحوث غير المُعلنة. الوضع القانوني للمعلومات المُقدَّمة للنماذج اللغوية العامة لا يكون موحداً بشكل موحد عبر الولايات القضائية. ينبغي إجراء تحليل التعرض قبل تقديم البيانات.

يستحق تعرض مشغل قانون الذكاء الاصطناعي الأوروبي اهتماماً خاصاً. إذا كان استخدام الذكاء الاصطناعي الظلي في منظمة ما يتضمن أنظمة AI تتخذ أو تساعد في اتخاذ قرارات جوهرية في التوظيف أو تقييم الائتمان أو غيرها من الفئات عالية المخاطر كما يعرّفها القانون، فقد تعمل المنظمة كمشغل بموجب قانون الذكاء الاصطناعي الأوروبي مع التزامات امتثال لا تعلم بها. تكشف عملية رسم الخريطة عن هذا قبل أن يكشفه المنظم.

من خريطة الذكاء الاصطناعي الظلي إلى السياسة المحكومة

الناتج الحوكمي لتمرين رسم خريطة الذكاء الاصطناعي الظلي ليس قائمة من السلوكيات المحظورة. إنه إطار سياسة متدرج.

الأدوات المعتمدة: أنظمة AI التي أُجريت لها مراجعة أمنية، ولها اتفاقيات معالجة بيانات مناسبة، ومُجازة للاستخدام مع فئات بيانات محددة. يوجد هذا المستوى لتوفير البديل السريع والسهل الوصول الذي يمنع الموظفين من الوصول إلى أدوات غير معتمدة.

الأدوات المعتمدة مشروطاً بقيود على البيانات: أدوات مقبولة لفئات بيانات معينة دون غيرها. مساعد كتابة AI مقبول لصياغة المحتوى المُوجَّه للعموم، لكن ليس لمعالجة البيانات الشخصية أو المعلومات السرية للعملاء.

الاستخدامات المحظورة: مجموعات محددة من الأداة وفئة البيانات ونوع القرار التي تخلق تعرضاً قانونياً أو تنظيمياً غير مقبول. الحظر دون توفير بديل مرخص غير فعال، لذا يجب أن يكون هذا المستوى ضيقاً.

يرتبط سجل الذكاء الاصطناعي الظلي مباشرة بمتطلبات ISO 42001. يشترط المعيار جرداً لأنظمة AI المستخدمة ضمن نطاق المنظمة. الذكاء الاصطناعي الظلي الذي رُسمت خريطته لكنه لم يُحكَم يمثل ثغرة في ذلك الجرد. معالجته تُقرّب المنظمة من متطلبات التوثيق التي يتطلبها اعتماد ISO 42001.

الارتباط بقانون الذكاء الاصطناعي الأوروبي مباشر بالمثل. الشركات المشغّلة أو موفرو أنظمة AI عالية المخاطر، بما فيها عبر استخدام الذكاء الاصطناعي الظلي للنماذج العامة للدعم في صنع القرار عالي المخاطر، لها التزامات بموجب القانون تبدأ بالوعي بأي أنظمة تُستخدم لأي أغراض.

الحوكمة كرافعة للقدرة

رسم خريطة الذكاء الاصطناعي الظلي يكشف باستمرار عن حالات الاستخدام الأعلى قيمة في المنظمة، لأن حالات الاستخدام التي لجأ فيها الموظفون إلى أدوات غير مرخصة هي تلك التي كانت فجوة الإنتاجية فيها الأكثر حدة. العمل الحوكمي لا يُزيل حالات الاستخدام هذه. بل يحوّلها من مسؤولية إلى قدرة.

الشركات التي وصلت مبادراتها AI-First إلى نشر إنتاج حقيقي تشترك في سمة: رسمت خريطة استخدام الذكاء الاصطناعي الظلي بدلاً من تجاهله. أخبرتهم الخريطة أين وجد الموظفون بالفعل قيمة AI. جعلتهم الحوكمة حالات الاستخدام هذه مستدامة.

الشركات التي تتعامل مع امتثال قانون الذكاء الاصطناعي الأوروبي كقيد على تبني AI أخطأت في اتجاه السببية. الحوكمة هي ما يجعل تبني AI دائماً. المنظمات التي تنتظر حتى يطلب المنظمون التوثيق ستؤدي هذا العمل بشكل رجعي، تحت الضغط، غالباً بعد حادثة.

رسم خريطة الذكاء الاصطناعي الظلي قبل أن يرسم خريطة منظمتك ليس تمريناً للامتثال. إنه عملية الاستكشاف التي تخبرك أين AI يعمل بالفعل، وما الذي يتطلبه لجعل ذلك العمل يدوم.

رحلة فرصة AI لدينا تتضمن رسم خريطة الذكاء الاصطناعي الظلي كعنصر معياري. مرحلة الاستكشاف تنتج جرداً لاستخدام AI مصنفاً حسب المخاطر قبل تحديد أي نطاق تنفيذي.