عندما تلتقي السياسة بالسلوك البشري
قام متعاقد حكومي تحت ضغط الوقت لمعالجة طلبات الإغاثة من الفيضانات الخاصة بـ FEMA بلصق الأسماء والعناوين وتفاصيل الاتصال وبيانات الصحة لمقدمي الطلبات في ChatGPT لمعالجة المعلومات بشكل أسرع. لم تكن النية خبيثة - بل كانت قرارًا إنتاجيًا تم اتخاذه تحت الضغط. كانت النتيجة تحقيق حكومي، وإفصاح عام، وحادث موثق يوضح وضع الفشل الأساسي في حوكمة الذكاء الاصطناعي المعتمدة على السياسة فقط.
77% من موظفي المؤسسات يشاركون معلومات العمل الحساسة مع أدوات الذكاء الاصطناعي على الأقل أسبوعيًا على الرغم من السياسات التي تحظر ذلك (eSecurity Planet/Cyberhaven 2025). تعكس نسبة 77% ليس عمالة من المخالفين للسياسات ولكن واقع كيفية اعتماد أدوات الذكاء الاصطناعي: كأدوات إنتاجية يلجأ إليها العمال بشكل تلقائي عند مواجهة ضغط الوقت، أو المهام المتكررة، أو متطلبات التحليل المعقدة.
وجد تحليل Cyberhaven للربع الرابع من عام 2025 أن 34.8% من جميع مدخلات ChatGPT تحتوي على بيانات تجارية سرية. تشمل هذه النسبة الموظفين الذين يدركون سياسات استخدام الذكاء الاصطناعي وليس لديهم نية لانتهاكها - فقد لم يصنفوا البيانات التي قاموا بلصقها على أنها "سرية" في لحظة اللصق.
مشكلة الامتثال للسياسات
تواجه سياسات استخدام الذكاء الاصطناعي فجوة إنفاذ متأصلة. على عكس سياسات التحكم في الوصول (التي يمكن إنفاذها تقنيًا من خلال المصادقة) أو سياسات تصنيف البيانات (التي يمكن إنفاذها من خلال DLP على مستوى البريد الإلكتروني/التخزين)، تعتمد سياسات استخدام الذكاء الاصطناعي على الحكم البشري في لحظة إدخال البيانات.
تكون اللحظة التي يقرر فيها الموظف لصق بيانات العملاء في ChatGPT قرارًا سلوكيًا في جزء من الثانية. قد لا يتذكر الموظف السياسة، أو قد يكون قد حسب أن مكسب الكفاءة يفوق المخاطر المدركة، أو قد لا يدرك حقًا أن البيانات مشمولة بالسياسة. يقلل تدريب السياسة من تكرار هذا القرار ولكنه لا يمكن أن يقضي عليه على نطاق واسع.
تظهر حادثة FEMA النموذج الأركي: متعاقد يواجه حجمًا كبيرًا من الطلبات، وموعد نهائي، والوصول إلى أداة تلخيص قوية. تطلب الامتثال للسياسة اختيار المعالجة اليدوية بدلاً من المساعدة من الذكاء الاصطناعي. تحت ضغط الوقت، فاز الأداة.
الضوابط التقنية على مستوى التطبيق
النهج الوحيد للحوكمة الذي يعالج هذا وضع الفشل يعمل على المستوى التقني بدلاً من مستوى السياسة. تقوم إضافة Chrome باعتراض محتوى الحافظة قبل أن يصل إلى أي واجهة ذكاء اصطناعي قائمة على الويب - ChatGPT، Gemini، Claude.ai، Perplexity، أو غيرها. الاعتراض تلقائي؛ لا يعتمد على تذكر المستخدم لتطبيق سياسة.
عندما يقوم المتعاقد من FEMA بنسخ أسماء وعناوين مقدمي الطلبات من نظام إدارة الحالات ولصقها في ChatGPT، تكتشف الإضافة المعلومات الشخصية في محتوى الحافظة، وتقوم بإخفائها، وتقدم النسخة المخفية. يرى المتعاقد نافذة معاينة تظهر ما سيتم استبداله قبل التقديم. يتلقى الذكاء الاصطناعي بيانات غير محددة الهوية ويمكنه أداء مهمة التلخيص. لم تصل أسماء وعناوين وبيانات الصحة لمقدم الطلب إلى خوادم ChatGPT أبدًا.
بالنسبة للمنظمات التي تركز مخاوف حوكمة الذكاء الاصطناعي لديها على أدوات الترميز (Cursor، GitHub Copilot)، يوفر خادم MCP التحكم المعادل على مستوى التطبيق. يتم اعتراض الشيفرة الملصقة في سياق نموذج الذكاء الاصطناعي، ويتم استبدال بيانات الاعتماد والمعرفات الملكية برموز، ويتلقى الذكاء الاصطناعي النسخة المخفية. يمكن حماية كلا القناتين - الذكاء الاصطناعي القائم على المتصفح والذكاء الاصطناعي القائم على IDE - من خلال ضوابط تقنية تعمل بشكل مستقل عن سلوك المستخدم.
كان سيناريو متعاقد FEMA سيحصل على نتيجة مختلفة مع وجود ضوابط تقنية في مكانها. كان بإمكان المتعاقد معالجة الطلبات بكفاءة؛ لم تكن بيانات مقدم الطلب ستصل إلى ChatGPT؛ لم يكن التحقيق سيبدأ. لم يمنع تدريب السياسة الحادث. كانت طبقة الاعتراض التقنية ستفعل ذلك.
المصادر: