حظي الذكاء الاصطناعي Artificial Intelligence (AI) بنصيب كبير من الاهتمام خلال السنوات القليلة الماضية، سواء في وسائل الإعلام أو في الجهات الرسمية أو حتى في المحادثات العائلية. وعلى الرغم من أن الذكاء الاصطناعي وفرعه التعلم الآلي (Machine Learning - ML) قد وُجدا منذ عقود، إلا أن الارتفاع الأخير في الاهتمام يعود إلى التطورات المثيرة في الذكاء الاصطناعي التوليدي (Generative AI)، وهو الفئة من الذكاء الاصطناعي التي يمكنها إنشاء نصوص وصور وحتى مقاطع فيديو جديدة. وفي بيئات العمل، يعتمد الموظفون على هذه التقنية للمساعدة في توليد الأفكار، والبحث في الموضوعات المعقدة، وبدء مشاريع الكتابة، وغير ذلك.
المخاطر الأمنية المرتبطة بالذكاء الاصطناعي التوليدي
لكن هذا التبني المتزايد يصاحبه العديد من التحديات الأمنية. على سبيل المثال، ماذا يحدث إذا استخدم موظف خدمة ذكاء اصطناعي توليدي (Generative AI service) لم يتم التحقق منها أو اعتمادها من قبل قسم تقنية المعلومات (IT) في شركته؟ أو قام بتحميل محتوى حساس، مثل خارطة طريق منتج، في خدمة مثل ChatGPT أو Microsoft Copilot؟ هذه الأسئلة وغيرها تُقلق قادة الأمن السيبراني، مما يدفعهم إلى البحث عن مزيد من التحكم والرؤية حول استخدام الذكاء الاصطناعي داخل المؤسسات.
إحدى الخطوات المهمة التي يمكن اتخاذها لتحقيق هذا الهدف هي وضع استراتيجية لتقييم المخاطر التي تشكلها أنواع مختلفة من تقنيات الذكاء الاصطناعي التوليدي، والنماذج الأساسية التي تدعمها. ولحسن الحظ، أصبحت هناك تقنيات تتيح تقييم هذه المخاطر بسهولة غير مسبوقة، مما يساعد في وضع سياسات سليمة لاستخدام الذكاء الاصطناعي.
الخدمة مقابل النموذج: ما الفرق؟
عند التفكير في تطبيق ذكاء اصطناعي توليدي (Generative AI application)، فإن "الخدمة" تعني مجموعة القدرات الكاملة المتاحة على الواجهة التي يتفاعل معها المستخدمون (مثل المنصة الإلكترونية أو تطبيق الهاتف المحمول). أما النماذج الأساسية التي تدعمه، مثل النماذج اللغوية الضخمة (Large Language Models - LLMs)، فهي خوارزميات الذكاء الاصطناعي والتعلم الآلي المعقدة التي تعمل "خلف الكواليس" لجعل الخدمة فعالة. ومن الجدير بالذكر أن خدمة ذكاء اصطناعي واحدة يمكن أن تعتمد على عدة نماذج لتنفيذ مهام مختلفة.
لماذا يجب تقييم كل من الخدمة والنموذج؟
يساعد تقييم المخاطر لكل من الخدمة والنموذج الأساسي في الحصول على رؤية شاملة لمزاياها وعيوبها الأمنية. فعلى سبيل المثال، نظرًا لأن الخدمة تتضمن واجهة المستخدم، فإن هناك اعتبارات أمنية "في الواجهة الأمامية"، مثل التحكم في الوصول وخصوصية البيانات. ولكن أمن النموذج الأساسي يعد مؤشرًا رئيسيًا على مدى أمان الخدمة ككل، وهو جانب يجب على المؤسسات تحليله بعناية. وذلك لأن الخدمة قد تبدو آمنة من "الخارج"، ولكن قد تحتوي على ثغرات خطيرة في محركها الأساسي.
المخاطر الشائعة للنماذج التوليدية
تعتمد نماذج الذكاء الاصطناعي التوليدية، مثل LLMs، بشكل كامل على بيانات التدريب الخاصة بها لإنتاج مخرجات ذكية. ولسوء الحظ، فإن أي عيوب أو تحيزات في بيانات التدريب يمكن أن تؤثر سلبًا على دقة وأمان التطبيق. على سبيل المثال، إذا كانت بيانات تدريب النموذج اللغوي تحتوي على تحيزات معينة، فقد تؤدي المخرجات إلى تعزيز بعض الصور النمطية أو وجهات النظر، وفي بعض الحالات الحساسة، قد تضر بالمستخدمين.
وبالمثل، يمكن أن تنتج هذه النماذج محتوى "سامًا" أو غير لائق، والذي قد يكون نتيجة التحيزات في بيانات التدريب أو بسبب سوء تفسير النموذج للسياق.
إضافةً إلى ذلك، بعض LLMs يمكن اختراقها أو ما يُعرف بـ Jailbreaking، مما يسمح للمستخدمين بتجاوز القيود الأمنية أو الأخلاقية المدمجة فيها. أما النماذج الأكثر أمانًا، فيتم اختبارها وتحسينها بانتظام لتكون قادرة على مقاومة هذه المحاولات. وأخيرًا، يمكن استغلال هذه النماذج في إنشاء البرمجيات الخبيثة (Malware) أو تسريع الهجمات السيبرانية. على سبيل المثال، يمكن لمجرمي الإنترنت استخدام أدوات الذكاء الاصطناعي لإنشاء رسائل تصيد احتيالي (Phishing Emails) تبدو أكثر واقعية، مما يجعل اكتشافها أكثر صعوبة.
استخدام التكنولوجيا لتعزيز الاستخدام المسؤول للذكاء الاصطناعي
مع الأخذ في الاعتبار هذه المخاطر، من الواضح أن استخدام خدمات الذكاء الاصطناعي التوليدي، وبالتالي نماذج مثل LLMs، له آثار أمنية على المؤسسات. قد يميل بعض القادة إلى حظر هذه التطبيقات تمامًا، ولكن ذلك قد يؤثر سلبًا على الكفاءة والابتكار والإبداع داخل الشركة. فكيف يمكنهم تحقيق التوازن بين الأمان والاستفادة من هذه التقنيات؟
أحد الحلول هو البحث عن منتجات توفر ميزات تكشف عن مخاطر خدمات الذكاء الاصطناعي وصفات نماذجها بسهولة، مما يساعد في اتخاذ قرارات أكثر وعيًا بشأن استخدامها داخل المؤسسات.
عبر الاستفادة من أدوات تقييم المخاطر هذه، يمكن تحقيق فوائد مثل تعزيز حماية البيانات (Data Protection)، وضمان الامتثال التنظيمي (Compliance)، وتجنب العواقب السلبية مثل فقدان البيانات، والغرامات القانونية، أو المساهمة في انتشار المعلومات المضللة أو الضارة.
ليس من الكافي تقييم مخاطر الخدمة فقط، حيث يمكن أن يكون هناك ثغرات أمنية منفصلة في محرك الذكاء الاصطناعي الذي يعمل تحتها. عندما يدرك القادة هذه الفروقات الدقيقة ويستخدمون التكنولوجيا بشكل صحيح لاستخلاص هذه الرؤى، سيتمكنون من وضع سياسات تفيد كلًا من الموظفين وأمن المؤسسة.