مدونة

    الذكاء الاصطناعي التوليدي في المشتريات: تعزيز الأمن والتخفيف من المخاطر

    يونيو 25, 2025JAGGAER
    الذكاء الاصطناعي التوليدي في المشتريات: تعزيز الأمن والتخفيف من المخاطر

    في مقالات سابقة من هذه السلسلة حول الذكاء الاصطناعي التوليدي (GenAI) ناقشنا فوائده وكيف يختلف عن أشكال الذكاء الاصطناعي الأخرى، وكذلك كيف ستتلاقى هذه الأشكال مستقبلًا لتُنشئ حلولًا عالية التطور—لا سيما في المشتريات. كما أشرنا إلى بعض سلبيات GenAI، وعلى رأسها مخاطر الأمن السيبراني.

    تأمين الذكاء الاصطناعي في المشتريات—المخاطر

    لنستعرض هذه المخاطر وننظر في أثرها المحتمل على المشتريات. فبينما يستفيد المديرون التنفيذيون للمشتريات (CPOs) من مزايا GenAI المؤكدة، يجب أن يعملوا مع خبراء الأمن السيبراني لمعالجة شواغل خصوصية البيانات، وإمكان النتائج المتحيزة، وقضايا الملكية الفكرية.

    ربما الخطر الذي يحظى بأكبر قدر من التغطية الإعلامية هو «المزوّرات العميقة» (Deepfakes) والمعلومات المضللة. بإمكان GenAI إنشاء صور أو فيديوهات أو مقاطع صوتية فائقة الواقعية لانتحال شخصيات—خصوصًا للمشاهير. وقد تكون الدوافع خبيثة أو «للتسلية»، لكن الأثر أعمق بكثير من الترفيه أو المزاح؛ فهي تنشر روايات زائفة قد تُوجّه الرأي العام أو تؤثر في صنع القرار، ما يهدد السمعة والأمن الشخصي والمؤسسي. يمكن أن تؤدي المزوّرات العميقة إلى سرقة الهوية أو احتيال مالي أو حتى زعزعة الاستقرار السياسي. تخيّل فيديو مزوّر للمدير التنفيذي يُصدر تحذيرًا زائفًا عن الأرباح أو عن تسريح موظفين—ما الذي قد يفعله بسعر السهم وبالموظفين وأصحاب المصلحة؟ والمشتريات أيضًا عرضة للخطر: تخيّل أثر فيديو مزوّر لمدير المشتريات يعلن—زورًا—إنهاء العلاقة مع مورد رئيسي، أو مقاطعة سلع بلدٍ ما.

    يشكّل التصيّد الاحتيالي والهندسة الاجتماعية تهديدًا للمشتريات كذلك. هنا تعني «الهندسة الاجتماعية» استغلال الثقة البشرية، بما قد يقود إلى خسائر مالية أو اختراق الأنظمة. قد ينتحل المهاجمون صفة موردين شرعيين، ويطلبون تغيير بيانات السداد، أو يستدرجون الموظفين للنقر على روابط خبيثة—لتنتهي الأمور بنفاذ غير مصرّح أو معاملات احتيالية. تطابق رسائلُ التصيّد المُولَّدة بالذكاء أساليبَ كتابة الزملاء أو الموردين، فتُفلت من أدوات الكشف التقليدية.

    توليد الشيفرة الخبيثة عبر الذكاء التوليدي قد يسيطر على برمجيات المشتريات أو يعطل أنظمة الإنتاج، بما يحمله ذلك من تبعات مالية وتشغيلية جسيمة. يمكن لمجرمي الإنترنت استخدام GenAI لصياغة برمجيات خبيثة متطورة تستغل ثغراتٍ في منصات المشتريات؛ كأن تُعدّل تعليمات الدفع بتغيير رقم حساب المورد في الفواتير لتحويل الأموال إلى حساباتٍ تخصّهم. تُظهر هجماتٌ غير معتمدة على الذكاء—مثل سرقة بنك بنغلادش عام 2016 (سُرق فيها 81 مليون دولار عبر التلاعب بنظام SWIFT)—كيف تُستهدف أنظمة الدفع؛ ويمكن لـGenAI أتمتة مثل هذه الهجمات وتوسيع نطاقها. وقد تُستخدم الشيفرات المُولَّدة لإلغاء أو إعادة توجيه طلبات، وتزييف إشارات للموردين، وإيقاف توريد خامات، أو إعادة الشحن لعناوين احتيالية. وباستغلال ثغراتٍ في أنظمة تخطيط موارد المؤسسة/متطلبات المواد (ERP/MRP)، قد يُفتعَل نقصٌ عبر الإفراط أو التفريط في الطلبات، ما يربك الإنتاج «في الوقت المناسب». في 2020، تعرّض موردٌ لشركة تسلا لهجوم «فدية» عطّل الإنتاج؛ والمخاوف أن يُمكّن GenAI تخريبًا أدقّ وأصعب كشفًا.

    يسعى المجرمون غالبًا لتجاوز مسارات الموافقات. سيستخدمون GenAI لتوليد موافقات مزيفة أو لاستغلال مصادقة ضعيفة (مثل محاكاة مستخدمين مخوّلين برسائل مُولَّدة). ويمكن تطوير شيفرات تتجاوز أنظمة مكافحة الفيروسات المعتمدة على التواقيع.

    حتى من دون تدخل مباشر من مجرمين، قد يكشف GenAI دون قصدٍ بياناتٍ حسّاسة من بيانات التدريب (تشمل معلومات مُعرِّفة للشخصية PII وأسرارًا تجارية)—وتُعرف بالمسرّبات النموذجية أو «الحفظ غير المرغوب». قد يُشفِّر نموذجٌ لغوي سيئ التدريب أسرارًا تجارية شاركها موردٌ ضمن مخرجاته النصية—كـمعلوماتٍ سرية وحقوقٍ فكرية—فتتسرّب إلى منافس. ويمكن لمدخلاتٍ مُحاكاة بعناية خداعُ الأنظمة لاستخراج بيانات سرية، أو تجاوز مرشّحات، أو تنفيذ أوامر غير مصرح بها—مثل كشف تفاصيلٍ داخلية عن النظام. وحتى إن أحكمت تأمينك، قد تُدخل ثغراتُ ملحقات الطرف الثالث أو النماذج مفتوحة المصدر أو مجموعات بيانات التدريب «أبوابًا خلفية» للمهاجم.

    وأخيرًا، قد يخلق GenAI مخاطره الأمنية بنفسه: «الهلوسة» (محتوى زائف يولده الذكاء) قد تقود لقرارات عمل معيبة—مثل إرساء شراءٍ غير ملائم—وكذلك انتهاكات قانونية وأضرار سمعة إذا لم تُراجَع.

    تبعات الاختراقات الأمنية

    تبعات ما سبق متعددة، ووظيفة المشتريات هدفٌ مُفضّل ببساطة لأنها مسؤولة عن تدفّقات مالية ضخمة. يمكن خداع موظفي المشتريات لتفويض تحويلاتٍ إلى حساباتٍ احتيالية—بما يجرّ خسائر مالية كبيرة.

    لكن الخسائر المباشرة ليست سوى البداية. قد يُفضي التصيد إلى اختراق بياناتٍ حسّاسة: معلومات الموردين، تفاصيل العقود، والسجلات المالية. وقد يستهدف المهاجمون موردين موثوقين لإدخال برمجيات خبيثة أو إطلاق هجمات تصيّد داخل سلسلة التوريد—ما يؤثر في المؤسسة بأكملها. ويمكن أن تُلحق هجماتُ التصيّد والهندسة الاجتماعية ضررًا كبيرًا بالسمعة—خاصةً عند خرق الثقة أو كشف معلومات حسّاسة علنًا.

    كذلك، قد ينتحل المهاجمون صفة شركاء أعمالٍ موثوقين أو موردين، طالبين تغيير بيانات بنكية أو تفويض مدفوعاتٍ احتيالية—كما حدث في مقاطعة كاباروس بولاية كارولاينا الشمالية التي خسرت 2.5 مليون دولار كانت مخصّصةً لبناء مدرسة ثانوية، بسبب احتيال «اختراق البريد الإلكتروني للأعمال» (BEC).

    وفي حالاتٍ أخرى، استخدم مجرمون فواتير مُولَّدة بالذكاء لمحاكاة موردٍ موثوق؛ تغييرٌ طفيف في رقم IBAN قد يفلت من الفحوصات الآلية ولا يُرصد إلا بعينٍ مُدقّقة. ووفق «الشرطة الجنائية الاتحادية الألمانية (BKA)» عام 2022، اخترق مجرمون بريدَ موردٍ ثم استخدموا ChatGPT لصياغة طلبات «تحديث مدفوعاتٍ عاجلة» بالألمانية بطلاقة؛ فحوّل مصنعٌ للسيارات 320 ألف يورو إلى حسابٍ في ليتوانيا قبل كشف الاحتيال.

    المعضلة أن مجرمي اليوم متمرسون تقنيًا ويستخدمون أدوات GenAI مثل IBAN-Gen—ملحق خبيث لنماذج اللغة—يُنشئ آلاف أرقام IBAN «المعقولة». يبدون دومًا «خطوة للأمام»، خصوصًا أن أنظمة ERP تفتقر إلى «تحققٍ بالذكاء الاصطناعي»: تتحقق من صيغة IBAN لا من شرعية الحساب. تستغلّ عمليات الاحتيال المُولَّدة بالذكاء تسرّع الموافقات، فلا يُكتشف الغش إلا بعد الدفع.

    تأسيس بروتوكولات أمان قوية واستراتيجيات تخفيف

    مع تزايد حضور GenAI، يجب على المؤسسات التكيّف. البروتوكولات المتينة تُقلّل احتمال وقوع الضرر، واستراتيجيات التخفيف تحاصر الخسائر عند وقوعه. يُنصح قادةُ المشتريات بالتعاون الوثيق مع فرق الأمن السيبراني. وفيما يلي خطوات أساسية؛ ولمن يرغب في تعمّقٍ أكبر، ثمة مراجعُ ممتازة على الشبكة مثل OWASP Top Ten for LLM Applications، وتقارير من مزوّدين متخصصين مثل Palo Alto Networks وNTT Data.

    • ابدأوا بإطار حوكمة واضح. إن لم تعرفوا من أين تبدأون، فـإطار إدارة مخاطر الذكاء الاصطناعي من NIST (AI RMF) نقطة انطلاق جيدة. واظبوا على توعية الموظفين بمخاطر الذكاء وبروتوكولات الاستخدام الآمن. على فريق الأمن نشر رصدٍ مدعومٍ بالذكاء للهجمات الخصمية، وأن يعي التعرضات الخاصة بسياق المشتريات.
    • وجود الإنسان ضمن الحلقة (HITL) جوهري مع GenAI: فالطلبات غالبًا تحتاج ضبطًا تكراريًا ومراجعةً بشريةً في نقاطٍ حرجة من اتخاذ القرار وفي تدقيق المخرجات.
    • تبنّوا هندسة «انعدام الثقة» (Zero Trust): ضوابط نفاذ صارمة ومصادقة متعددة العوامل (MFA) لتغييرات المدفوعات/الطلبات. وتشفير/إخفاء هوية بيانات تدريب GenAI.
    • مكافحة احتيال الفواتير تتطلب ضوابط إجرائية وتقنية وبشرية. من أفضل الممارسات: القوائم البيضاء لـIBAN عبر «تجميد» حسابات الموردين في نظام ERP واشتراط تجاوزٍ يدوي لتعديلها. أدوات مثل Darktrace وVectra AI ترصد «لا انتظامات» دقيقة—كـIBAN جديد لموردٍ معروف. وقد يبرز مستقبلًا التحقق عبر سلسلة الكتل (عقودٌ ذكية توثّق صحة الفواتير).
    • لا غنى عن الممارسات التقليدية: توقيعان لأي تغييرٍ في المدفوعات، والاتصال الهاتفي بموردين للتحقق من التغييرات الحرجة عبر أرقامٍ مُسجّلة مسبقًا (لا البريد الإلكتروني)، وتدريب الموظفين على تدقيق كل حقول الفاتورة—فالاحتيال بالذكاء غالبًا يغيّر قيمةً أو اثنتين فقط.
    • قبل كل شيء، على فرق المشتريات امتلاك إجراءات متينة للتحقق من الموردين: الالتزام القانوني والاستقرار المالي والسجلّ النظيف—مع مراجعاتٍ دورية لا «إجراءٍ لمرةٍ واحدة».

    تقييم المورّدين والتعاون معهم

    من البديهي اختيار مورّدين موثوقين، لكن ثمة اعتباراتٍ تُغفل. تشمل المعايير: الصحة المالية، وسجل الأداء، والامتثال الأخلاقي وESG. وفي عصر GenAI، يلزم تحرٍّ مضاعف عن وضع المورّد الأمني ليكون بمثل قوة وضعك—أو أقوى.

    دقّقوا مورّدَي الخدمات المعتمدة على الذكاء في ممارسات تشفير البيانات وخطط الاستجابة للاختراقات، وأمان نماذج الذكاء (مضادّات التسميم/تنقية البيانات). قد تفيد أدوات مثل RPCA في فصل البيانات النظيفة عن «المسمومة»، وتوفّر منصات مثل Fiddler AI تنبيهات عند انحراف سلوك LLM أو غيره نتيجة مدخلاتٍ مسمومة. وللموردين الاستراتيجيين، اطلبوا شهادات مثل SOC 2 Type II أو مواءمة MITRE ATLAS.

    أسئلة عليكم—ومعكم الأمن السيبراني—طرحُها على مورّدين يستخدمون GenAI أو يتأثرون به: «كيف تتحققون من سلامة بيانات التدريب؟» (ينبغي استخدام كشف الشذوذ/مراجعات طرفٍ ثالث). «هل تُجرون اختبارات خصمية؟» (إرشاداتها في NIST AI RMF). «هل يمكنكم مشاركة سجل منشأ البيانات؟»

    صياغة سياسة أمن شاملة

    أفضل دفاعٍ ضد تهديداتٍ يولدها الذكاء هو الذكاء ذاته. تحلل خوارزميات التعلم الآلي مجموعاتٍ ضخمة من البيانات لرصد الشذوذات وكشف الاختراقات في الزمن الحقيقي—لكن الحماية بالذكاء وحدها لا تكفي. فالسياسات والعمليات والتدخل البشري ضرورية، وكذلك التدريب والتحديث المستمران.

    ينمو مجتمع الأمن السيبراني وهو أصلٌ ثمين. تعاونوا مع خبراء تكنولوجيا المعلومات والأمن لدى مورّديكم لتبادل المعلومات ومشاركة استخبارات التهديدات. يختزل نهجٌ شامل واستباقي في الأمن زمنَ الاستجابة ويحدّ من ضرر الهجمات المدفوعة بالذكاء.

    توظيف التكنولوجيا لتعزيز الأمن

    من دون الترويج لأدواتٍ بعينها، ينبغي تغطية القدرات الآتية:

    • كشف متقدم للتهديدات وتحليل سلوكي: تحليل حركة الشبكة وسلوك المستخدم وأنشطة الأطراف الطرفية لرصد الانحراف عن الخطوط الأساسية (مثل أوقات دخول غير معتادة ومحاولات تسريب بيانات). ابحثوا عن حلول تستخدم التعلم الآلي لاكتشاف تهديدات «مجهولة» (برمجيات خبيثة متعددة الأشكال ومسارات هجوم جديدة) بدل الاعتماد على التواقيع فقط.
    • استجابة آنية وأتمتة: لخفض متوسط زمن الاستجابة (MTTR)؛ قدرات كعزل الأجهزة المصابة، وحظر عناوين IP خبيثة، أو سحب صلاحياتٍ تلقائيًا.
    • رؤية شاملة ومراقبة موحّدة: تغطيةٌ عابرة للمنصات—الأطراف الطرفية والسحابة والهويات والشبكات—من لوحةٍ واحدة، مع تغذيةٍ من قواعد استخبارات تهديداتٍ خارجية.
    • إشراف بشري مُيسّر: تبريرٌ واضحٌ للتنبيهات وتيسير مراجعات HITL لمنع أخطاء الذكاء.
    • تعلم مستمر: تتطوّر المنظومة مع بيانات تهديد جديدة، وتتكيّف مع أساليبٍ صاعدة (مزوّراتٍ عميقة، مطالبات خصمية).
    • انخفاض الإيجابيات الكاذبة: توازنٌ بين الحساسية والدقة لتلافي إرهاق التنبيهات؛ يمكن لـمعالجة اللغة الطبيعية (NLP) ترشيح الشذوذات البريئة.
    • امتثالٌ وخصوصية: تشفير/إخفاء هوية بيانات التدريب لحمايتها من التسريبات، ودعمٌ لأطر مثل GDPR وNIST AI RMF وISO 42001 (لحَوْكَمة الذكاء الاصطناعي).
    • تخفيف استباقي للمخاطر: تحليلاتٌ تنبؤية تتوقع اتجاهات الهجوم؛ وفحوصات إدارة سطح الهجوم لسدّ ثغرات الأصول المواجهة للخارج مثل واجهات APIs.

    واحذروا مؤشراتٍ سلبية عند اختيار مورّد حلول أمنية: الاعتماد المفرط على قواعد ثابتة من دون نماذج تعلمٍ تكيفية، والتكامل الضعيف مع أنظمتكم (SRM وأنظمة المشتريات)—فهذا يصنع جُزرًا وفجوات—وبيئاتٌ احتكارية تحدّ من المرونة.

    ماذا يحمل مستقبل الأمن السيبراني؟

    سيتطور الأمن السيبراني مع ظهور تهديداتٍ جديدة. سيلعب GenAI وأشكال الذكاء الأخرى دورًا محوريًا في استشراف التهديدات وتخفيفها. وإلى جانب التطورات التقنية، ستكون الاعتبارات الأخلاقية وبناء أطر حوكمةٍ متينة للذكاء حاسمة في كل مجالات الأعمال—وخاصة الوظائف التي تتعامل بطبيعتها مع البيئة الخارجية، مثل المشتريات وإدارة سلاسل الإمداد.

    على الشركات أن تظلّ متقدمةً بخطوة على المهاجمين والمخاطر الداخلية بتبنّي التقنيات الناشئة، وترسيخ ثقافة تحسينٍ مستمر. وسيكون التعاون عبر الصناعات ومع الجهات الحكومية ضروريًا لوضع استراتيجياتٍ شاملة للأمن السيبراني.

    الخلاصة

    يجلب الذكاء الاصطناعي التوليدي منافع كثيرة للمؤسسات—ولفرق المشتريات على وجه الخصوص—لكنه يُخفض عتبة شنّ هجماتٍ آلية دقيقة على أنظمة المشتريات والإنتاج. لذلك، تُعدّ استراتيجيات الدفاع متعدد الطبقات أمرًا جوهريًا.

    عند اختيار حلول الأمن السيبراني، قصّروا قائمتكم على حلولٍ تمزج ابتكار الذكاء بـعملية التشغيل—تؤتمت الأعمال الشاقة بينما تمكّن المحللين البشريين من رؤى قابلة للتنفيذ. ولمرجعياتٍ محايدة تجاه المورّدين، ارجعوا إلى أطر مثل NIST AI RMF.