قبل عامين فقط، كان الحديث عن الذكاء الاصطناعي الظلّي ينحصر غالباً في موظف يلصق بيانات حساسة داخل روبوت دردشة عام أو أداة لم تحصل على موافقة قسم التقنية. يومها بدت المعالجة ممكنة: اكتشاف الأدوات غير المصرح بها، اعتماد البدائل المناسبة، حظر ما يلزم، وتثقيف الموظفين. هذا النموذج ما زال قائماً في كثير من المؤسسات، وقد نجح جزئياً في كبح موجة أولى من الاستخدام غير المنضبط.
لكن المشكلة اليوم أصبحت أكثر تعقيداً. فالذكاء الاصطناعي الظلّي لم يعد مجرد سلوك بشري يمكن مراقبته عبر السياسات التقليدية، بل تحول إلى مشكلة بنيوية تتغلغل داخل الأنظمة المسموح بها نفسها. أدوات الذكاء الاصطناعي المدمجة في منتجات الموردين، والوكلاء الذين يربطهم الموظفون بأنظمة العمل عبر واجهات سهلة الاستخدام، يعملون جميعاً داخل بيئات موثوقة وبصلاحيّات قائمة بالفعل. هنا تتراجع فاعلية الحوكمة التي بُنيت على فكرة حظر أداة أو الموافقة عليها، لأن نقطة الخطر لم تعد الأداة وحدها، بل الهوية التي تعمل من خلالها.
من سلوك الموظف إلى بنية النظام
التحول الأبرز في 2026 ليس في عدد الأدوات التي يفتحها الموظفون، بل في عدد الوكلاء الذين تُضمَّن وظائفهم داخل البرمجيات المعتمدة دون انتباه كافٍ. فالمشكلة لم تعد تبدأ عندما يختار الموظف استخدام نموذج لغوي خارجي، بل عندما يضيف أحدهم وكيلًا ذكيًا إلى نظام إدارة العملاء، أو يربط مساعداً رقمياً بقاعدة بيانات داخلية، أو يمنح أتمتة بلا كود مفاتيح وصول إلى أنظمة تشغيلية.
في هذا المشهد، تتداخل ثلاثة مصادر للخطر. الأول هو ما يضيفه الموردون مباشرة داخل منتجاتهم بعد الموافقة عليها: نماذج مدمجة، أوضاع وكيلية، وتكاملات جديدة تصل عبر تحديثات قد لا تخضع للمراجعة نفسها التي خضع لها المنتج الأصلي. الثاني هو ما ينشئه الموظفون بأنفسهم عبر أدوات سهلة التركيب، حيث يمكن ربط أنظمة داخلية بوكلاء لغويين خلال دقائق. أما الثالث فهو أن الطرفين يعملان غالباً تحت الصلاحيات نفسها التي مُنحت لمستخدم بشري، من دون أن تتغير آليات الرقابة تبعاً لذلك.
لهذا السبب، لم يعد تقسيم الذكاء الاصطناعي إلى «مصرح» و«غير مصرح» كافياً. فالأداة قد تكون معتمدة، لكن السلوك الذي تمارسه داخلها قد يكون خارج نطاق المراجعة. كما أن الجهة التي ثبتت الأداة أو ربطتها قد لا تكون هي الجهة التي تستفيد من مخرجاتها أو تتحمل تبعاتها. هذه الفجوة بين الاعتماد والاستخدام هي ما يجعل الظاهرة أشبه بهندسة خفية داخل المؤسسة، لا بمجرد مخالفة فردية.
الهوية هي نقطة التحكم الوحيدة المتبقية
مع اتساع استخدام الذكاء الاصطناعي داخل بيئات العمل، تراجع معنى «الحدود» التقليدية التي كانت فرق الأمن تدافع عنها. لم يعد هناك طرف واضح يفصل بين الداخل والخارج، بين الأداة والبيئة، أو بين المستخدم والخدمة. ما بقي فعلياً هو مسار الهوية: من يملكها، ما الذي يسمح له به، ومتى يجب أن تنتهي صلاحيتها.
الهوية هنا لا تعني المستخدم البشري وحده. فهي تشمل الحسابات الخدمية، والوكلاء الذكيين، والنماذج المضمّنة داخل التطبيقات، وكل كيان رقمي ينفذ إجراءً أو يطلب وصولاً أو يمرر بيانات. وعندما يعمل أي من هذه الكيانات تحت اعتماد موثوق، يصبح السؤال الأمني الأساسي: من هذا الكيان؟ وما النطاق الممنوح له؟ وهل ما زالت هذه الصلاحية مناسبة الآن؟
الفكرة المهمة في هذا السياق أن الحوكمة على مستوى الأداة لم تعد تكفي. فإذا كان وكيل ذكي مدمج داخل تطبيق معتمد، فإن مراجعة التطبيق وحده لا تكشف بالضرورة ما يفعله الوكيل، ولا متى غيّر المورد قدراته، ولا كيف توسعت تكاملهاته بعد التحديثات. بالمقابل، تمنح طبقة الهوية رؤية عملية قابلة للتتبع، لأنها تربط كل فعل بكيان محدد، وتحدد مالكه، ومدى صلاحياته، وعمر تلك الصلاحيات.
لماذا تفشل لجان مراجعة الأدوات وحدها
كثير من برامج الحوكمة المؤسسية ما زالت تعمل بمنطق لجان تقييم الأدوات: المورد يعرض المنتج، الفريق الأمني يراجع، ثم يُمنح المنتج اعتماداً أو يُرفض. هذا النهج كان مناسباً عندما كانت البرمجيات ثابتة نسبياً، لكن الذكاء الاصطناعي غيّر القاعدة. فالنموذج الذي وافقت عليه المؤسسة اليوم قد لا يكون هو نفسه بعد أشهر، بعد تحديث جديد أو إضافة وكيل أو دمج خدمة خارجية.
بمعنى آخر، صلاحية المراجعة أصبحت تنتهي أسرع من الماضي. الاعتماد الذي يبدو سليماً وقت الشراء قد يصبح غير كافٍ عند التشغيل، لأن المورد يستطيع تغيير آلية العمل بسرعة تفوق دورات المراجعة التقليدية. وفي الوقت نفسه، يستطيع الموظف نفسه إدخال أتمتة جديدة داخل بيئة العمل من دون المرور بمسار شراء أصلاً، ما يجعل عملية الاعتماد غير شاملة لما يحدث فعلاً داخل المؤسسة.
هذا الخلل لا يعني أن مراجعة الأدوات غير مهمة، لكنه يعني أنها لم تعد نقطة البداية أو النهاية. فالمؤسسة التي تركز فقط على تسجيل الأدوات المعتمدة قد تجد نفسها تدير قائمة نظيفة على الورق، بينما تتوسع في الواقع طبقة تشغيل خفية من الوكلاء والاتصالات والاعتمادات الموروثة. وهنا تكمن المفارقة: كلما بدا المشهد أكثر تنظيماً من الخارج، زادت احتمالية أن تكون المخاطر الأساسية خارج نطاق الرؤية.
الانتقال إلى حوكمة مبنية على الهوية
الاستجابة الأكثر اتساقاً مع هذا الواقع هي نقل الحوكمة من مستوى الأداة إلى مستوى الهوية. أي أن تصبح كل عملية وصول أو تنفيذ أو تمرير بيانات قابلة للربط بكيان معرف بدقة، سواء كان هذا الكيان إنساناً أو خدمة أو وكيلاً ذكياً. كما يجب أن تُدار الصلاحيات ضمن دورة حياة واضحة تشمل الإنشاء، والتحديد الدقيق للنطاق، والمراقبة المستمرة، ثم الإنهاء عند انتهاء الحاجة.
هذه المقاربة تتطلب بنية هوية موحدة، لا مجموعة متفرقة من لوحات التحكم والضوابط الجزئية. فالمطلوب ليس فقط تقليل عدد الشاشات أو جمع التقارير في مكان واحد، بل توحيد منطق التحكم نفسه: من يملك حق الوصول، كيف يُمنح، وكيف يُسحب، وما الإشارة التي تنبه إلى أن هذا الحق لم يعد ضرورياً.
عندما تعمل المؤسسة بهذه الطريقة، يصبح من الممكن تتبع كل فعل يقوم به الذكاء الاصطناعي في سياق واضح: من أنشأه، من أعطاه الصلاحية، وما الذي كان مسموحاً له به لحظة التنفيذ. هذه الرؤية لا توقف الابتكار، لكنها تمنع تحول الابتكار إلى منطقة عمياء داخل البنية التقنية.
المعادلة القادمة في الشركات
الذكاء الاصطناعي الظلّي لن يختفي، لكنه سيتغير موقعه داخل الخريطة الأمنية. لم يعد التحدي في منع الموظف من تجربة أداة جديدة، بل في منع الأدوات المعتمدة نفسها من التحول إلى قنوات تنفيذ غير مرئية. ومع صعود الوكلاء الذكيين، يصبح السؤال الحقيقي ليس أي نموذج يستخدمه الموظف، بل أي هوية تعمل نيابة عنه، وبأي نطاق، وعلى أي بيانات.
الشركات التي ستنجح في المرحلة المقبلة هي تلك التي تستثمر في أدوات مراقبة على مستوى الهوية، وتفكر في الذكاء الاصطناعي كطبقة تشغيل يجب أن تخضع للمساءلة نفسها التي تخضع لها الحسابات البشرية والأنظمة الآلية. أما الاعتماد على قوائم الأدوات المسموح بها وحدها، فسيبقيها منشغلة بمشكلة الأمس بينما تتوسع مخاطر اليوم داخل البنية نفسها.
الخلاصة أن وحدة الحوكمة لم تعد الأداة، ولم تعد حتى الواجهة التي يراها الموظف. الوحدة الحقيقية هي الهوية التي تعمل عبر هذه الواجهة، وتتسع لتشمل البشر والوكلاء وكل ما بينهما. ومن ينجح في ضبط هذه الهوية سيملك القدرة على إدارة الذكاء الاصطناعي بشكل أكثر أماناً واستدامة.