تسريبات البيانات

تطبيقات “Vibe Coding” تكشف فجوة جديدة في أمن الذكاء الاصطناعي داخل الشركات

تقرير حديث يكشف اتساع مخاطر تطبيقات الذكاء الاصطناعي التي ينشئها الموظفون خارج رقابة الأمن.

تم النشر في مايو. 31, 2026

تطبيقات “Vibe Coding” تكشف فجوة جديدة في أمن الذكاء الاصطناعي داخل الشركات — تطبيقات الـ Vibe Coding تتحول إلى تهديد تقني يواجه الشركات اليوم

أظهر تقرير حديث صادر عن Red Access أن ظاهرة تطبيقات “Vibe Coding”، التي يطورها الموظفون داخلياً باستخدام أدوات الذكاء الاصطناعي، تجاوزت مجرد استخدام غير مصرح به للمحادثات الذكية، لتشكل سطح هجوم فعلياً يتمثل في تطبيقات كاملة متصلة بأنظمة الإنتاجية، ومنشورة على شبكة الإنترنت دون ضوابط أمنية كافية.

رصدت Red Access أكثر من 380 ألف أصل ويب متاح للعامة عبر منصات تطوير مدعومة بالذكاء الاصطناعي، تشمل تطبيقات وقواعد بيانات وبنى تحتية مرتبطة بها. ومن بين هذه الأصول، تبين أن نحو 5 آلاف أصل مخصص لاستخدامات مؤسسية، فيما احتوى أكثر من 2,000 منها على بيانات حساسة تتعلق بالشركات أو العمليات أو الأفراد، وكانت متاحة عبر الويب في حالات كثيرة دون ضوابط الوصول الأساسية.

وتشير النتائج إلى أن المخاطر امتدت لتشمل إنشاء الموظفين أدوات داخلية سريعة، مثل لوحات متابعة العمليات التسويقية، أو نماذج الموردين، أو التقارير المالية. وربط هذه الأدوات بأنظمة حيوية مثل CRM وERP، ومنصات التذاكر، وأدوات ذكاء الأعمال، ثم نشرها على عناوين عامة يمكن لأي شخص يمتلك الرابط الوصول إليها.

وتكمن المشكلة الجوهرية، وفقاً للتقرير، في عجز أدوات الحماية التقليدية عن تكوين صورة كاملة لهذا النشاط؛ إذ قد تكتفي حلول حماية الطرفيات برصد جلسة متصفح عادية، بينما تراقب أدوات منع تسرب البيانات قنوات محددة لا تغطي دائماً حركة البيانات بين الخدمات السحابية. بينما قد تتعامل حلول وسطاء أمان الوصول إلى السحابة (CASB) مع منصة البناء كخدمة واحدة معتمدة، دون تمييز التطبيقات المستقلة المنشأة فوقها.

وأكد تقرير Red Access أن المراجعة الشاملة لـ 380 ألف أصل كشفت عن 5 آلاف أصل بُنيت لأغراض مؤسسية، وأن 40% من هذه العينة تسببت في كشف بيانات حساسة. كما أوردت VentureBeat أن الأصول المكشوفة شملت تطبيقات مرتبطة بمنصات مثل Lovable وBase44 وReplit وNetlify، مشيرة إلى رصد حالات تضمنت معلومات تشغيلية ومالية وصحية وخدمية حساسة.

تستعرض هذه الوقائع تحدياً تنظيمياً وتقنياً مزدوجاً؛ فالتطبيقات التي يطورها موظفون غير متخصصين غالباً ما تفتقر إلى القيود الواردة في سجلات الأصول، أو مراجعات أمن التطبيقات، أو اختبارات المصادقة والصلاحيات، رغم اتصالها المباشر ببيانات الإنتاج. وهذا يحولها إلى طبقة إنتاجية غير مرئية تندرج تحت مفهوم الذكاء الاصطناعي الظلي، بما يتجاوز مجرد الاستخدام الفردي للأدوات.

ويقترح التقرير أن تتبنى المؤسسات خطوات عملية تتجاوز مجرد شراء حلول تقنية جديدة، تبدأ بحصر ما أنشأه الموظفون عبر منصات الذكاء الاصطناعي، وتحديد الأنظمة المتصلة بكل تطبيق، والتحقق من آلية الربط سواء عبر OAuth أو مفاتيح API أو الرفع اليدوي للملفات، مع التأكد من وضعية نشر التطبيق للعامة. كما يشدد على ضرورة وضع مسار معتمد لاستخدام هذه المنصات، يحدد أنواع البيانات المسموح بتداولها ومتطلبات المصادقة الدنيا.