97% من فرق التطوير تستخدم مساعدات البرمجة بالذكاء الاصطناعي — و30% فقط تحكمها

• المراجعة اليدوية للأكواد (52%) — أصبح المراجعون يعالجون حجماً أكبر من الأكواد المولَّدة بالذكاء الاصطناعي مقارنة بتلك التي يكتبها البشر، وهذا الحجم في تزايد مستمر .
• الاختبارات الأمنية (51%) — تُدخل الأكواد المولَّدة بالذكاء الاصطناعي فئات جديدة من الثغرات لم تكن موجودة في الأكواد التي يكتبها البشر، خاصة فيما يتعلق بحقن التبعيات (dependency injection)، والأسرار المضمنة بشكل ثابت (hardcoded secrets)، والتوصية بمكتبات برمجية قديمة .
• إعادة العمل على الأكواد المولَّدة (48%) — ما يقرب من نصف الفرق يبلغون عن قضاء وقت كبير في إصلاح، إعادة هيكلة، أو إعادة كتابة مخرجات الذكاء الاصطناعي قبل أن تصبح قابلة للنشر .

هذا النمط أصبح له اسم الآن: انزياح العمل الشاق (toil shift). بدلاً من إلغاء العمل، يقوم الذكاء الاصطناعي بنقله من مرحلة الإنشاء إلى مراحل التحقق والاختبار والمعالجة . وصف "بلاك داك" صريح: "معظم المؤسسات تنتج أكواداً مولَّدة بالذكاء الاصطناعي أسرع مما تستطيع مراجعته أو تأمينه أو حوكمته" .

الحوكمة: مضاعف العائد على الاستثمار الحقيقي

إذا كان هناك اكتشاف واحد من التقرير يجب على قادة الفرق الهندسية التحرك بناءً عليه، فهو: الحوكمة هي مضاعف العائد على الاستثمار . الفرق بين الفرق التي تحكم استخدام الذكاء الاصطناعي وتلك التي لا تفعل ليس هامشياً — إنه الفرق بين تحقيق مكاسب الكفاءة ومشاهدتها تتسرب من جميع الجوانب.

وجدت "بلاك داك" أن المؤسسات التي تمتلك أطر حوكمة كاملة سجلت مكاسب كفاءة كبرى بنسبة 90% من أدوات البرمجة بالذكاء الاصطناعي. أما الفرق التي لا تملك إشرافاً منظماً؟ تنخفض النسبة إلى 44% .

الحوكمة في هذا السياق لا تعني البيروقراطية. بل تعني وجود سياسات محددة تحدد الأدوات المسموح باستخدامها، وكيفية مراجعة الأكواد المولَّدة بالذكاء الاصطناعي، وبوابات الأمان التي يجب اجتيازها، ومن يتحمل مسؤولية المخرجات. إنه الفرق بين "المطورون يستخدمون ما يريدون" و"المطورون يستخدمون أدوات معتمدة ضمن مسار منظم وقابل للتدقيق".

مشكلة الذكاء الاصطناعي الخفي (Shadow AI)

ما يزيد من تعقيد الحوكمة هو ظهور الذكاء الاصطناعي الخفي (Shadow AI) — أي استخدام المطورين لأدوات الذكاء الاصطناعي بشكل مخالف أو خارج نطاق سياسة الشركة. وجدت "بلاك داك" أن 18% من المؤسسات تُبلغ عن الذكاء الاصطناعي الخفي كمخاطر كبيرة غير مُدارة . عندما يتم تبني أدوات مثل Cursor أو Windsurf أو Claude Code على مستوى المطور الفردي دون المرور عبر إجراءات المشتريات أو المراجعة الأمنية، تفقد المؤسسة الرؤية الواضحة لسطح الهجوم الخاص بها .

مخاطر سلسلة التوريد: ما ترثه الأكواد المولَّدة بالذكاء الاصطناعي

آثار سلسلة التوريد هي حيث تتحول فجوات الحوكمة إلى ثغرات ملموسة. عمل "بلاك داك" — بما في ذلك تقريرها المرتبط تحليل مخاطر وأمان المصادر المفتوحة لعام 2026 (2026 OSSRA) — يسلط الضوء على ثلاثة مخاطر مترابطة تخص مساعدات البرمجة بالذكاء الاصطناعي:

غسيل التراخيص (License laundering). يمكن لمساعدات الذكاء الاصطناعي التي تدربت على مستودعات مفتوحة المصدر أن تولد مقتطفات من الأكواد من مصادر ذات تراخيص متبادلة (copyleft) دون الاحتفاظ بمعلومات الترخيص الأصلية . وجد تقرير (OSSRA) لعام 2026 أن ثلثي قواعد الأكواد التي خضعت للتدقيق تحتوي على تعارضات في التراخيص — وهو أعلى معدل في تاريخ التقرير . قد تكون المؤسسات تنشر أكواداً لا يحق لها استخدامها، دون علمها بذلك.

انفجار التبعيات (Dependency explosion). ارتفع عدد المكونات مفتوحة المصدر لكل قاعدة أكواد بنسبة 30% على أساس سنوي، وقفز متوسط الثغرات لكل قاعدة أكواد بنسبة 107% . مساعدات البرمجة بالذكاء الاصطناعي تسرع هذا الاتجاه لأنها تؤلف الحلول بشكل أسرع ومن مجموعات تدريب أوسع — مما يعني أن كل دالة مولَّدة بالذكاء الاصطناعي قد تسحب تبعيات لم يخترها المطور بشكل صريح.

فجوة الامتثال. فقط 24% من المؤسسات تجري تقييمات شاملة للملكية الفكرية والتراخيص والأمان والجودة على الأكواد المولَّدة بالذكاء الاصطناعي . هذا يعني أن ثلاثة أرباع المؤسسات لا تستطيع الإجابة بشكل موثوق على السؤال: "ما هي الالتزامات القانونية والأمنية التي التزمنا بها للتو؟"

ثقة المطورين: التبني يرتفع بينما الثقة تنهار

اكتشافات "بلاك داك" لا توجد بمعزل عن غيرها. استطلاعات مستقلة متعددة نُشرت في نفس الفترة تعزز وتوسع صورة الثقة ببيانات أكثر تفصيلاً:

• استطلاع حالة الأكواد للمطورين لعام 2026 من شركة Sonar (شمل أكثر من 1,100 مطور) وجد أن 96% من المطورين لا يثقون تماماً في الدقة الوظيفية للأكواد المولَّدة بالذكاء الاصطناعي . ومع ذلك، فقط 48% يتحققون منها دائماً قبل اعتمادها (commit) — مما يعني أن أكواداً لا يثق بها المطورون أنفسهم تُنشر بانتظام إلى بيئة الإنتاج .
• استطلاع المطورين لعام 2025 من Stack Overflow (شمل 49,009 مشارك) أظهر أن الثقة في دقة الذكاء الاصطناعي انخفضت من 40% إلى 29% في عام واحد. وارتفع عدم الثقة النشط إلى 46%، بينما انخفض التأييد الإيجابي من 72% إلى 60% .
• تقرير حالة إصدارات البرمجيات المدعومة بالذكاء الاصطناعي لعام 2026 من Harness (شمل 500 قائد هندسي) وجد أن 57% لا يزالون يحتاجون إلى مراجعة بشرية (human-in-the-loop) لكل سطر من الأكواد المولَّدة بالذكاء الاصطناعي، و29% يقضون وقتاً أطول في مراجعة الأكواد الآن مقارنة بما قبل اعتماد مساعدات الذكاء الاصطناعي .

الإجماع عبر هذه الاستطلاعات متسق بشكل لافت: لا يستطيع المطورون العمل بدون أدوات الذكاء الاصطناعي، لكنهم لا يستطيعون الوثوق بها تماماً أيضاً. الفجوة بين التوليد والتحقق أصبحت هي عنق الزجاجة الجديد.

ديانا كيلي، كبيرة مسؤولي أمن المعلومات في شركة Noma Security، لخصت التوتر الأساسي بقولها: "السرعة في كتابة الأكواد لا تعني أنها أكثر أماناً" .

كيف تبدو الحوكمة فعلياً

وصفة "بلاك داك" ليست نظرية. يشير التقرير إلى مجموعة من الإجراءات الملموسة التي تميز الـ30% التي تملك حوكمة كاملة عن البقية:

1. أطر حوكمة منظمة للذكاء الاصطناعي — ليست مجرد إرشادات غير رسمية، بل سياسات موثقة ومطبقة تغطي الموافقة على الأدوات، ومراجعة المخرجات، والمساءلة .
2. بوابات مراجعة مدمجة في مسار العمل (Pipeline) — الانتقال من عمليات التسليم اليدوية إلى طابور الاختبارات الأمنية، وهو ما لا تزال 46% من الشركات تستخدمه، نحو فحوصات جودة وأمان مؤتمتة تعمل على كل تعديل (commit) بمساعدة الذكاء الاصطناعي .
3. مراقبة مستمرة بعد النشر — تشير "بلاك داك" إلى أن "استراتيجية 'التحول لليسار فقط' (shift-left only) لم تعد كافية" لأن المخاطر تُستحدث وتُكتشف ويجب إدارتها عبر دورة حياة تطوير البرمجيات بأكملها .
4. ترشيد مجموعة أدوات الأمان — أبلغ أكثر من 71% من المشاركين أن تضخم الأدوات (tool sprawl) هو مصدر احتكاك رئيسي، وأن الدمج على أدوات أقل وأفضل تكاملاً هو شرط أساسي لتوسيع نطاق الذكاء الاصطناعي بأمان .

الخلاصة

لا يجادل تقرير "بلاك داك" ضد استخدام مساعدات البرمجة بالذكاء الاصطناعي. بل يجادل بأن استخدامها دون حوكمة متناسبة هو هزيمة ذاتية. عندما تولد 97% من الفرق أكواداً بسرعة غير مسبوقة، بينما 30% فقط لديها البنية التحتية للإشراف لإدارتها، فإن الصناعة تكتب بشكل جماعي "شيكات" لا تستطيع صرفها.

الارتباط بين الحوكمة ومكاسب الكفاءة — 90% مقابل 44% — يجعل الحالة التجارية لا لبس فيها. المؤسسات التي تبني الحواجز الواقية أولاً هي التي ستستحوذ على الإنتاجية التي يعد بها الذكاء الاصطناعي. أما تلك التي لا تفعل، فستكتشف، مراراً وتكراراً، أن الوقت الذي تم توفيره على لوحة المفاتيح يُنفق في طابور المراجعة.