العودة إلى المدونة
AI Nov 18, 2025 8 دقائق دقيقة قراءة

تدقيق الامتثال الذي يستطيع الكود المُولّد بالذكاء الاصطناعي اجتيازه فعلاً

آخر تحديث Apr 9, 2026

ملخص

يجتاز الكود المُولّد بالذكاء الاصطناعي تدقيقات الامتثال عندما تكون القطعة القابلة للمراجعة مواصفة مُهيكلة، لا مخرج نموذج خام. التوليد الحتمي من واصف JSON معتمد يُلبي متطلبات قابلية التتبع في SOX وHIPAA وقانون الذكاء الاصطناعي للاتحاد الأوروبي.

التدقيق الذي أوقف الإطلاق

“كان لدينا 220 شاشة مُولّدة وجاهزة. سأل التدقيق الداخلي أي موجّه أنتج منطق الموافقة لشاشة 147، وما إذا كنا نستطيع استنساخه. لم نستطع الإجابة على أي من السؤالين. توقف الإطلاق في ذلك اليوم بعد الظهر،” أخبرنا رئيس المنصة في شركة تأمين أوروبية الربع الماضي. كلّفت إعادة البناء فريقه ربعاً مالياً آخر وأعادت تشكيل كيفية تعامل الشركة مع مخرجات الذكاء الاصطناعي بالكامل.

الحادثة ليست نادرة. بل هي النتيجة الافتراضية عندما يُعامل مخرج الذكاء الاصطناعي ككود مصدر بدلاً من قطعة مشتقة.

ما الذي يعترض عليه المدققون فعلاً

لا يعاني المدققون من مشكلة فلسفية مع النماذج اللغوية الكبيرة. لقد جلسنا في اجتماعات مراجعة كافية لمعرفة أن الاعتراضات ملموسة وقابلة للتكرار. يريدون معرفة ما الذي أنتج رقابة معينة، وما إذا كان نفس الإدخال يُنتج نفس الإخراج، وما إذا وافق إنسان لديه الدور الصحيح على التغيير. SOX، وHIPAA، وGDPR، وقانون الذكاء الاصطناعي للاتحاد الأوروبي (اللائحة 2024/1689) كلها تتلاقى في الأسئلة الثلاثة نفسها.

يعاني التوليد ذو الصيغة الحرة مع الثلاثة جميعاً. نادراً ما يُحفظ تاريخ الموجّهات. النموذج غير حتمي. المراجع عادةً مطوّر ينظّف بناء الجملة، لا صاحب رقابة يُوافق على النية.

الحتمية كرقابة

تعامل الصناعات المنظمة قابلية الاستنساخ كرقابة من الدرجة الأولى، كما هو مُنعكس في إطار إدارة مخاطر الذكاء الاصطناعي لـ NIST. حساب رواتب يُعطي إجابات مختلفة في أيام مختلفة هو نتيجة تدقيقية، بغض النظر عن مدى قرب الإجابات. ينطبق نفس المعيار على الكود المُولّد. إذا كانت نفس المواصفة قادرة على إنتاج تنفيذَين مختلفَين، يعامل المدققون كليهما على أنهما غير مُتحقق منهما.

التوليد المُهيكل مقابل مخطط JSON يُضيّق مساحة الإخراج بما يكفي لأن تصبح قابلية الاستنساخ قابلة للتعامل. الواصف هو المواصفة. مرتان من التشغيل تُنتجان نفس الواصف تُنتجان نفس التطبيق الجاري، بتاً ببتّ، لأن وقت التشغيل ثابت.

قابلية التتبع من خلال الواصف

القطعة المفيدة في تدقيق ليست مكوّن React. بل الواصف الذي ولّده. الواصف قصير، وقابل للقراءة البشرية، وقابل للمراجعة من قِبل صاحب رقابة لم يكتب TypeScript مطلقاً. عندما يسأل مدقق SOX كيف تُفرض عتبات الموافقة على شاشة إعداد المورد، الإجابة هي كتلة JSON من 40 سطراً، لا مكوّن من 600 سطر.

رأينا هذا يُقلّص جمع الأدلة من أسابيع إلى ساعات. يرتبط الواصف بـ commit، وترتبط الـ commit بالمُعتمد، ويرتبط المُعتمد بدور في نظام RBAC. تُغلق السلسلة دون جدول بيانات.

أين ينتمي الذكاء الاصطناعي في سير العمل

السؤال ليس ما إذا كان الذكاء الاصطناعي يكتب الكود. بل ما الذي يُسمح للذكاء الاصطناعي بإيداعه. في النمط الذي يجتاز التدقيق، يقترح النموذج اللغوي الكبير تغيير الواصف. يراجع إنسان لديه الدور الصحيح ويُعتمد. يُجمّعه وقت التشغيل في شاشة جارية. يلتقط سجل التدقيق كل خطوة.

هذا هو عكس نمط “الإكمال التلقائي للذكاء الاصطناعي” الذي يُهيمن على أدوات المطورين. يُحسّن Cursor ونظراؤه للسرعة داخل المحرر. هذا نمط جيد للأدوات الداخلية. إنه النمط الخاطئ لنظام يجب أن يُجيب لمدقق خارجي.

قانون الذكاء الاصطناعي للاتحاد الأوروبي يرفع الرهانات

يُصنّف قانون الذكاء الاصطناعي للاتحاد الأوروبي العديد من أنظمة دعم اتخاذ القرار في المؤسسات على أنها عالية المخاطر، مما يجلب التزامات التسجيل، والرقابة البشرية، والوثائق الفنية. الكود المُولّد الذي لا يستطيع شرح نفسه سيُعاني بموجب المادة 13 من القانون. الواصفات المُولّدة، المراجَعة والموقّعة، هي بالفعل معظم الطريق هناك.

الخلاصة

يمكن للكود المُولّد بالذكاء الاصطناعي اجتياز تدقيق امتثال. لكنه لا يستطيع اجتيازه كمخرج خام. القطعة التي تنجو من المراجعة هي المواصفة المُهيكلة، المراجَعة من قِبل الإنسان الصحيح، المُجمّعة بوقت تشغيل ثابت، والمُسجّلة من البداية إلى النهاية. كل مُنظّم تحدثنا إليه يعامل هذا النمط على أنه معقول. لا أحد منهم يعامل “كتبه النموذج” كإجابة.