
دكتور/ أحمد البدوي سالم
أستاذ العقيدة والفلسفة المساعد في جامعة الازهر
زميل كلية الدفاع الوطني، الاكاديمية العسكرية للدراسات العليا والاستراتيجية
يمثل تسميم البيانات Data poisoning” أحد أخطر التهديدات الناشئة للأمن القومي في عصر الذكاء الاصطناعي، حيث يتجاوز تأثيره حدود الاختراقات السيبرانية التقليدية ليستهدف الأساس المعرفي الذي تعتمد عليه أنظمة الذكاء الاصطناعي في اتخاذ القرارات. تتناول هذه الدراسة الدور المتزايد للذكاء الاصطناعي في تمكين وتضخيم هجمات تسميم البيانات، وتحليل الآليات المعقدة التي تعمل من خلالها هذه الهجمات، وتستعرض تأثيراتها الاستراتيجية على الأمن القومي بمختلف أبعاده.

أولًا: أهمية دراسة تسميم البيانات وأثرها على الأمن القومي:
يشهد المشهد الحالي للأمن القومي تحولًا جوهريًا مع تزايد الاعتماد على أنظمة الذكاء الاصطناعي في العمليات الحيوية، بدءًا من التحليل الاستخباراتي ووصولًا إلى إدارة البنية التحتية الحرجة. غير أن هذا الاعتماد المتزايد قد خلق ثغرة أمنية جديدة بالغة الخطورة تتمثل في إمكانية تسميم البيانات التي تتعلّم منها هذه الأنظمة. وكما تشير تقارير الأمن القومي الصادرة عن وزارة الدولة للأمن القومي الصينية، فإن AI “الـتسميم” قد شكل “سلسلة صناعية رمادية وسوداء” كاملة، حيث ترتبط تطوير التكنولوجيا، وتوليد المحتوى، وتسجيل الحسابات، والتوزيع الجماعي، والتلاعب بالتعليقات، والتحكم في ترتيبها وتوجيهها، مما يجعل هذا التهديد قابلًا للاستغلال بسهولة من قبل القوى الأجنبية ضد الأمن القومي.
تتضاعف خطورة هذه الظاهرة مع تطور أدوات الذكاء الاصطناعي التوليدي، حيث أصبح بإمكان الجهات الخبيثة استخدام تقنيات مثل تحسين المحتوى التوليدي (GEO) لإنتاج كميات هائلة من المحتوى المسموم بكلفة منخفضة وبجودة عالية تجعله صعب التمييز عن المحتوى الحقيقي. وقد حذرت الأبحاث من أن التسميم لا يقتصر على تعطيل أداء النماذج فحسب، بل يمكن أن يمتد ليشكل تهديدًا مباشرًا للأمن القومي بمختلف أبعاده: السياسية والاقتصادية والامنية والاجتماعية والتكننولوجية.
وتزداد الحاجة إلى هذا التقرير في ضوء ثلاثة عوامل متقاربة:
أولًا: التوسع الهائل في أسطح الهجوم مع انتشار مستودعات البيانات المفتوحة.
ثانيًا: تنوع الجهات الفاعلة القادرة على شن هذه الهجمات، من وكالات استخباراتية إلى أفراد محدودي الموارد.
ثالثًا: صعوبة اكتشاف هذه الهجمات وتأخر ظهور آثارها، مما يجعلها أداة مثالية للحروب الحديثة والتأثير الاستراتيجي طويل المدى.

معنى تسميم البيانات The meaning of data poisoning :
يُعرف تسميم البيانات بأنه “حقن بيانات خبيثة متنكرة في شكل عينات طبيعية في بيانات تدريب نماذج الذكاء الاصطناعي الكبيرة، بهدف إضعاف أداء النموذج أو تقليل دقته”. يمثل هذا التعريف جوهر التهديد، حيث يتم استهداف مصدر المعرفة بدلًا من النظام نفسه. ويشير الخبراء إلى أن التسميم قد يستخدم في “المنافسة السوقية الخبيثة، أو حتى قد يتضمن أنشطة تجسسية”.
يتضمن تسميم البيانات نمطين رئيسيين، ولكل منهما خصائصه وخطورته:
تسميم البيانات (بالمعنى الضيق): هو الإدراج المباشر للبيانات الخبيثة في مجموعات التدريب، مما يفسد عملية تعلم النموذج من المنبع. وقد وصفته التقارير الأمنية بأنه “تلويث نظام الإدراك المعرفي للذكاء الاصطناعي من المنبع”. في هذا النمط، يستخدم المهاجمون أدوات مثل GEO لتوليد “محتوى وهمي بكميات كبيرة وبأوزان عالية”، مثل “تقديم منتج وهمي، أو نشر تقييمات مزيفة، أو معلومات مقارنة خبيثة، وتوجيهها إلى منصات مختلفة”. تقوم نماذج الذكاء الاصطناعي بسحب هذه المعلومات تلقائيًا خلال التدريب أو خلال مرحلة التوليد المعزز بالاسترجاع، مما يؤدي إلى ترسيخ المعلومات الزائفة كـ”إجابة قياسية”.
تسميم النموذج poisoning the model: وهو النمط الأكثر خبثًا وخطورة، حيث يستهدف عملية التدريب مباشرة بدلًا من البيانات. يتم ذلك من خلال “الضبط الدقيق للنموذج، أو حقن المكونات الإضافية، أو التلاعب بالواجهات، لتضمين تعليمات خبيثة موجهة بمشغلات في أوزان النموذج”. في هذا النمط، يعمل النموذج بشكل طبيعي في الظروف العادية، مما يجعل اكتشاف التسميم شبه مستحيل باستخدام طرق المراجعة التقليدية. يتم تنشيط التأثير الخبيث فقط عند مواجهة “كلمات رئيسية محددة، أو فئات منتجات معينة” ، حيث يصدر النموذج مخرجات محددة مسبقًا. هذا النمط من الهجوم “يشكل تهديدًا مباشرًا لتطبيقات الذكاء الاصطناعي في المجالات الحيوية مثل الشؤون الحكومية والرعاية الصحية والمالية.

ثانيًا: النهج النظري: “المبنى ذو الطبقات الثلاث”
يتبنى هذا البحث نموذج “المبنى ذي الطبقات الثلاث” كإطار تحليلي لفهم هجمات تسميم البيانات وتأثيراتها على الأمن القومي. يمثل هذا النموذج هيكلًا تصوريًا يوضح كيفية عمل الهجمات عبر ثلاث طبقات مترابطة، حيث يمكن بدء الهجوم في أي طبقة ويمتد تأثيره إلى ما فوقها.
الطبقة الأولى: طبقة البيانات: Data layer وتعتبر الأساس الذي يقوم عليه المبنى بأكمله. وتمثل هذه الطبقة المصادر الأولية للمعلومات التي تعتمد عليها أنظمة الذكاء الاصطناعي في التعلم، وتشمل قواعد البيانات العامة، والبيانات مفتوحة المصدر مثل: ويكيبيديا، ومواقع التواصل، والمنصات الرقمية الموجهة، والمدونات، والأرشيف الإلكتروني، والصور، والوثائق، وأي معلومات أخرى يتم جمعها لتدريب النماذج أو لتغذية أنظمة التوليد المعزز بالاسترجاع (RAG).
يتم تسميم هذه الطبقة من خلال (حقن) معلومات زائفة أو متحيزة أو معدلة بشكل خبيث بصورة موجهة ومباشرة في هذه المصادر. وكما توضح تقارير وزارة الأمن القومي الصينية، فإن هجمات “تسميم البيانات” في هذه الطبقة تستهدف “تلويث نظام الإدراك المعرفي للذكاء الاصطناعي من المنبع” من خلال استخدام أدوات GEO لتوليد محتوى وهمي بكميات ضخمة، ونشرها على المنصات الإلكترونية المختلفة.
الطبقة الثانية: طبقة النموذج Model layer: وهي الطبقة الوسيطة حيث تقوم أنظمة الذكاء الاصطناعي بمعالجة البيانات وتعلم الأنماط منها. حيث تستوعب النماذج المعلومات الفاسدة وتدمجها في بنيتها المعرفية، مما يجعل التمييز بين المعرفة الصحيحة والمسمومة أمرًا بالغ الصعوبة. وقد حذر الخبراء من أن “نموذج التسميم” في هذه الطبقة يتميز بخطورة أكبر وخفاء أعمق، حيث يقوم المهاجمون “من خلال الضبط الدقيق للنموذج، أو حقن المكونات الإضافية، أو التلاعب بالواجهات، بتضمين تعليمات خبيثة موجهة بمشغلات في أوزان النموذج”. يعمل النموذج بشكل طبيعي في الظروف العادية، لكنه يصدر مخرجات محددة مسبقًا عند مواجهة كلمات أو فئات محددة، مما يجعل هذه الهجمات صعبة الكشف بواسطة طرق المراجعة التقليدية.
الطبقة الثالثة: طبقة التطبيق Application layer: وهي الطبقة العليا حيث تظهر تأثيرات الهجوم على شكل مخرجات وقرارات خاطئة. وخلال هذه الطبقة تترجم النماذج المسمومة فسادها الداخلي إلى توصيات مضللة، أو تقارير غير دقيقة، أو قرارات خاطئة في المجالات الحيوية. وقد أشارت التحليلات إلى أن تأثيرات التسميم يمكن أن تظل كامنة لفترات طويلة، وهو ما يُعرف بـ”التسميم الكامن”، حيث تظهر آثارها عند الحاجة إليها – ربما أثناء أزمة أو حرب – مما يجعلها أداة استراتيجية بالغة الخطورة نظرًا لتخزيينها وامتداد تأثيرها لفترات طويلة جدا.

ثالثًا: الإطار التكتيكي/التشغيلي/الاستراتيجي لتسميم البيانات: The
tactical/operational/strategic framework for data poisoning
يوفر الإطار التكتيكي/التشغيلي/الاستراتيجي عدسة مكملة لفهم تهديدات تسميم البيانات على مستويات مختلفة من الأمن القومي، حيث يختلف تأثير الهجوم ومداه وخطورته حسب المستوى الذي يستهدفه.
على المستوى التكتيكي: تستهدف هجمات تسميم البيانات تحقيق نتائج فورية ومحدودة النطاق. قد تشمل هذه الهجمات إفساد خوارزميات التوصية لمنتج معين، أو توجيه نتائج البحث لصالح جهة معينة، أو التلاعب بأنظمة التصنيف الآلي، وخلال هذا المستوى، يستخدم المهاجمون أدوات مثل GEO “لتوليد محتوى وهمي بكميات كبيرة، مثل تقديم منتج وهمي، أو نشر تقييمات مزيفة، أو معلومات مقارنة خبيثة، وتوجيهها إلى منصات مختلفة”. وعادة ما تكون تأثيرات هذه الهجمات محدودة وقابلة للعلاج من خلال إعادة تدريب النموذج.
على المستوى التشغيلي: تمتد تأثيرات التسميم لتشمل عمليات المؤسسات والهيئات الحيوية. فقد يستهدف المهاجمون مجموعات البيانات المستخدمة في التخطيط اللوجستي، أو التحليل المالي، أو مراقبة الصحة العامة. وقد أشارت التحليلات إلى أن “AI ‘الـتسميم’ يلوث بشكل خبيث وموجه البيانات العامة، وبيانات القطاعات، وبيانات التدريب، مما يؤدي مباشرة إلى تشوه وتزييف البيانات الإحصائية، وبيانات القرار، وبيانات الرقابة، مما يؤثر على صنع قرار الحكومات والشركات”. وتعد هذه الهجمات أكثر خطورة لأنها يمكن أن تستمر لفترات ممتدة وتقوض الثقة في الأنظمة والمستودعات الرقمية الوطنية.
على المستوى الاستراتيجي: تمثل هجمات تسميم البيانات التهديد الأكثر خطورة على الأمن القومي، حيث تستهدف القواعد المعرفية الأساسية التي تعتمد عليها الدول في صنع القرارات المصيرية. وتشير التقارير الأمنية إلى أن “القوى المعادية والجماعات المتطرفة قد تستغل أدوات GEO لنشر معلومات مزيفة وشائعات سياسية، بهدف تحريف الحقائق وتزييف الحقائق، والتشهير بالحزب والحكومة، وتضليل الرأي العام، والنظام الإعلامي، وممارسة الاختراق الأيديولوجي ضد الدول، مما يهديد الأمن القومي والاستقرار الاجتماعي. وفي هذا المستوى، يعمل المهاجمون على تسميم المصادر المعرفية التي ستعتمد عليها نماذج الذكاء الاصطناعي في المستقبل، مما يضمن تأثيرًا طويل المدى قد يستمر لسنوات.
رابعًا: الطبقات التكنولوجية للمعلومات: Information Technology Layers:
يمكن فهم هجمات تسميم البيانات من منظور هندسي من خلال دورة حياة تطوير ونشر أنظمة الذكاء الاصطناعي، حيث توجد نقاط ضعف في كل مرحلة يمكن للمهاجمين استغلالها.
مرحلة جمع البيانات: في هذه المرحلة، تُجمع بيانات التدريب من مصادر متعددة مثل الويب العام أو المحتوى الذي ينشئه المستخدمون. كما يوضح خبراء الأمن السيبراني، يعمل نموذج الذكاء الاصطناعي الكبير من خلال “دمج مصدرين: الأول هو التدريب على كميات هائلة من المستندات والصور، والثاني هو استرجاع المحتوى من الإنترنت”. يمكن للمهاجمين استغلال هذه الثنائية من خلال حقن محتوى خبيث في المصادر التي من المحتمل استرجاعها، أو عن طريق التأثير على مجموعات البيانات المستخدمة في التدريب. وقد حذرت التحليلات من أن “القليل من المحتوى الزائف بعد التعلم التكراري يمكن أن يتحول إلى ‘إجابة قياسية’، مما يؤدي في النهاية إلى مخرجات مشوهة”.
مرحلة المعالجة المسبقة للبيانات: Data preprocessing stage خلال مراحل التنظيف والتصنيف والتحويل، يمكن للمهاجمين إدخال بيانات مسمومة من خلال خطوط أنابيب التصنيف المخترقة أو عمليات زيادة البيانات. تشير الأبحاث إلى أن “هجمات تسميم البيانات” في هذه المرحلة قد تستهدف “تطوير تقنيات تحسين المحتوى التوليدي، واستخدام أدوات الذكاء الاصطناعي لتوليد مراجعات مزيفة بكميات كبيرة، أو تقديم منتجات وهمية، أو معلومات مقارنة خبيثة”.
مرحلة تدريب النموذج: في هذه المرحلة الحرجة، يمكن للمهاجمين استهداف عملية التدريب مباشرة من خلال “الضبط الدقيق للنموذج، أو حقن المكونات الإضافية، أو التلاعب بالواجهات”. وقد أظهرت الأبحاث أن “المهاجم يحتاج فقط إلى خلط 250 وثيقة خبيثة في بيانات التدريب لزرع باب خلفي بنجاح في نموذج كبير يضم 130 مليار وثيقة ، وهذا يعني أن الهجمات لا تتطلب مهارات قرصنة متقدمة، بل مجرد نشر محتوى يبدو طبيعيًا على الإنترنت.
مرحلة النشر والاستدلال: بعد نشر النموذج يمكن أن تحدث هجمات من خلال التلاعب في وقت الاستدلال أو من خلال التحديثات التي تُدخل بيانات مسمومة. كما يوضح الخبراء، فإن “مرحلة التطبيق تستخدم بشكل أساسي آلية الاسترجاع المعزز، وهي محرك بحث معزز، حيث يقوم المهاجمون ببناء معلومات مرجعية زائفة ذات سلطة ظاهرية، وتحسين ترتيب البحث، وتقديم مستندات ضارة ومزيفة في مصادر المعلومات الشائعة، أو اختراق المواقع ووضع محتوى معدل”.
خامسًا: النموذج المبنى على الطبقات الثلاث:
يجمع النموذج المبنى على الطبقات الثلاث بين المنظورين النظري والهندسي في صورة مدمجة للإطار التحليلي المتكامل، ويكشف عن العلاقات المعقدة بين طبقات الهجوم المختلفة. وكما توضح الدراسات العلمية فإن الهجمات التي تنشأ في طبقة البيانات هي الأخطر لأنها تهدد الأساس الذي يقوم عليه كل شيء آخر، و بمجرد أن تتم تغذية النموذج بيانات فاسدة، يصبح من الصعب للغاية إزالتها، حيث تظل التأثيرات كامنة في أوزان النموذج وقد لا تظهر إلا عند تنشيطها بواسطة مشغلات محددة.
كما يكشف النموذج أيضًا عن ظاهرة “التسميم الكامن” التي تمثل تحديًا خاصًا للأمن القومي، حيث قد تظل البيانات المسمومة خاملة لشهور أو سنوات قبل أن يتم تنشيطها في وقت الأزمة. وهذا ما يصعب مهمة المدافعين لأن عملية تسميم البيانات تتم بصورة ضخمة ومؤثرة ويتم اكتشافها والتصدي لها بصعوبة بالغة خصوصًا مع تطور الذكاء الاصطناعي مما يخلق حالة من التضليل والتزييف للمعلومات وعدم الوثوق في أي نظام من أنظمة الذكاء الاصطناعي بشكل كامل، وتتفاقم الخطورة إذا كانت عملية تسميم البيانات تستهدف البيانات والمعلومات الاستراتيجية مما يؤثر على الأمن القومي.


