عندما يقول البائع "مدعوم بالذكاء الاصطناعي" SOC" قد تعني هذه المصطلحات أي شيء بدءًا من نموذج تعلم آلي أساسي مُدرَّب على بيانات تنبيهات تاريخية وصولًا إلى وكيل مستقل تمامًا يقوم بفرز الحالات والتحقيق فيها والاستجابة لها دون تدخل بشري. ويتم تسويق كلا النوعين بنفس الطريقة.
معظم ما يُباع حاليًا على أنه "منظمة العفو الدولية SOC عامل" يندرج ضمن إحدى ثلاث فئات، وواحدة منها فقط تستحق هذا التصنيف. الأول هو روبوت محادثة مزود بواجهة أمان. وهو عبارة عن نموذج لغوي كبير (LLM) متصل بـ SIEM هذا النظام قادر على الإجابة عن أسئلة اللغة الطبيعية المتعلقة بالتنبيهات. لكنه لا يتخذ إجراءات، ولا يُجري تحقيقات متعددة الخطوات، ولا يتعلم من بيئة التشغيل. إنه مجرد واجهة استعلام، وليس نظام أتمتة.
أما الثاني فهو محرك دفاتر تشغيل ثابت يحمل شعار الذكاء الاصطناعي. صحيح أن سير العمل الآلي ودفاتر الاستجابة ذات قيمة حقيقية، لكن بعض الموردين أعادوا تسمية أنظمتهم الآلية الحالية بـ"الآلية" لأن دفاتر التشغيل تتضمن الآن خطوة إدارة دورة حياة التطبيق (LLM) تُنتج ملخصًا في النهاية. التنسيق حقيقي، أما تسمية "الآلية" فغالبًا ما تكون زائفة.
أما الثالث فهو الأتمتة الحقيقية القائمة على الوكلاء، وهو نظام يمكنه تحليل الإشارات في سياقها، وربطها عبر المجالات، وتحديد أولويات ما يهم، وإطلاق إجراءات الاستجابة ضمن ضوابط محددة مع إبقاء البشر على اطلاع بالقرارات عالية المخاطر.
هذا هو المعنى الحقيقي للتسويق. بعض المنصات تبني هذا المفهوم منذ سنوات بالاعتماد على البيانات الموحدة، لكن معظم البائعين الذين يواكبون هذا التوجه يقومون بتعديل بنى تحتية لم تُصمم أصلاً لهذا الغرض.
الأسئلة الخمسة التي تكشف زيف البرامج الوهمية
قبل شراء أي منتج يحمل عبارة "وكيل ذكاء اصطناعي" على علبته، اسأل نفسك هذه الأسئلة الخمسة. ستساعدك الإجابات على معرفة ما إذا كان المنتج يتمتع بقدرات حقيقية أم أنه مجرد حيلة تسويقية.
1. هل يمكنه أن يفعل أكثر من مجرد التلخيص؟
يُعدّ برنامج الدردشة الآلي الذي يُلخّص التنبيهات مفيدًا، ولكنه ليس شرطًا أساسيًا. السؤال الحقيقي هو ما إذا كان الذكاء الاصطناعي قادرًا على ربط الإشارات عبر المجالات المختلفة، وتحديد أولويات الحالات حسب مستوى الخطورة، وعرض السياق الكامل الذي يحتاجه المحلل لاتخاذ الإجراء اللازم. إذا كان "الوكيل" يُعيد صياغة ما لديك فقط SIEM كما أخبرتك سابقاً، هذا لا يقلل من عبء العمل.
2. هل يعمل ذلك عبر جميع طبقات النظام لديك؟
معظم "وكلاء الذكاء الاصطناعي" التابعين لموردين محددين لا يرون إلا البيانات من منتجاتهم الخاصة. إذا كان نظام الذكاء الاصطناعي لديك قادرًا على تحليل تنبيهات نقاط النهاية ولكنه يتجاهل حركة مرور الشبكة، وأحداث الهوية، وبيانات القياس عن بُعد السحابية، فإنه لا يحل سوى جزء ضئيل من المشكلة. التهديدات الحقيقية لا تعترف بحدود الموردين، وكذلك يجب أن تكون أنظمة التشغيل الآلي لديك.
3. هل يمكنه شرح منطقه؟
إذا صنّف نظام الذكاء الاصطناعي لديك حادثةً ما على أنها حرجة، لكنه لم يتمكن من عرض سلسلة الأدلة التي أدت إلى هذا الاستنتاج، فلن يتمكن المحللون من التحقق منها، ولن يتمكن المدققون من مراجعتها. إنّ الصندوق الأسود الذي يقول "ثق بي" ليس نظامًا فعالًا.
4. ماذا يحدث عندما يكون الأمر خاطئاً؟
كل نظام ذكاء اصطناعي معرض للخطأ. هل يُشير إلى القرارات التي تفتقر إلى الثقة لمراجعتها من قِبل البشر؟ هل لديه ضوابط تمنع اتخاذ إجراءات تخريبية دون موافقة؟ الوضع الحالي لأمن أنظمة الذكاء الاصطناعي 2026 وجد التقرير أن 14.4% فقط من المؤسسات أفادت بأن جميع وكلاء الذكاء الاصطناعي يتم تشغيلهم مع الحصول على موافقة أمنية وتقنية كاملة.
5. ما هي البيانات التي يراها فعلياً؟
إذا كان يستقبل التنبيهات من مصدر واحد SIEM لكن بما أنه لا يملك رؤية لتدفقات الشبكة، أو سجلات الهوية، أو أحداث البريد الإلكتروني، أو سجلات التدقيق السحابي، فإنه يتخذ القرارات بجزء ضئيل من الصورة.
ما هو الذكاء الاصطناعي الحقيقي SOC تبدو الأتمتة كما يلي
لا يعني الفارق بين التسويق والواقع بالضرورة وجود الذكاء الاصطناعي في... SOC هذا غير مجدٍ. هذا يعني أن الصناعة تخلط بين ثلاثة أشياء مختلفة، وكلها لها قيمة، لكنها ليست الشيء نفسه.
تساعد الاستعلامات المدعومة بالذكاء الاصطناعي المحللين على الحصول على الإجابات بشكل أسرع باستخدام اللغة الطبيعية. يوفر هذا الوقت، ولكنه لا يقلل من عبء العمل لأن المحلل لا يزال يتعين عليه البحث واتخاذ القرار والتصرف.
تستخدم تقنيات الكشف المعززة بالذكاء الاصطناعي التعلم الآلي لتحسين جودة التنبيهات من مصدرها. وتشمل هذه التقنيات محركات ربط تجمع التنبيهات ذات الصلة في حالات، ونماذج سلوكية تُشير إلى الانحرافات، وأنظمة تحديد الأولويات التي تُظهر الإشارات المهمة فعلاً. هنا تكمن القيمة الحقيقية لهذه التقنيات اليوم، وقد شهدت تحسناً مستمراً على مدى سنوات دون الحاجة إلى تسميتها "بواسطة برامج وسيطة".
تُعدّ الأتمتة المدعومة بالذكاء الاصطناعي مجالاً واعداً، حيث يقوم الموظفون بتحليل التحقيقات، واتخاذ الإجراءات اللازمة، والتعلم من ملاحظات المحللين بمرور الوقت. هذا المجال واقعي، ولكنه لا يزال في مراحله الأولى، والمنصات التي تُطبّقه بنجاح تُطبّقه بحذر مع وجود عناصر تحكم بشرية.
الأخيرة بحوث الصناعة ووجدت الدراسة أن 14% فقط من متخصصي الأمن يسمحون للذكاء الاصطناعي باتخاذ إجراءات تصحيحية مستقلة في SOC بدون أي تدخل بشري. هذا الرقم يخبرك بكل شيء عن الوضع الحقيقي لهذه الصناعة.
قامت المؤسسات التي حققت نتائج ملموسة بتوحيد بياناتها أولاً، وتقليل التشويش الناتج عن التنبيهات من خلال تحسين الربط بينها، وإضافة طبقات من الأتمتة فوق إشارة واضحة. الترتيب مهم.
لماذا يأتي توحيد البيانات قبل الذكاء الاصطناعي؟
إذا كانت بياناتك متناثرة عبر عشرات أدوات الأمان ذات نماذج بيانات مختلفة، فلن يُجدي الذكاء الاصطناعي نفعًا في حل المشكلة الأساسية. لا يمكنك تحليل سلسلة هجوم متناثرة عبر منصات منفصلة. لذا، يُعدّ توحيد البيانات، أي دمج بيانات نقاط النهاية والشبكة والهوية والبريد الإلكتروني وبيانات القياس عن بُعد السحابية في نموذج بيانات واحد، شرطًا أساسيًا يجب تحقيقه قبل إمكانية أتمتة الذكاء الاصطناعي بفعالية.
لهذا السبب قامت شركة ستيلر سايبر ببناء Open XDR لقد طورت المنصة بنفس الطريقة. فبدلاً من استبدال نظام الأمان الحالي، تعمل على توحيد البيانات وإثرائها من مئات المصادر، ثم تستخدم الذكاء الاصطناعي متعدد الطبقات لربط التنبيهات الفردية بحالات جاهزة للتحقيق وفقًا لإطار عمل MITRE ATT&CK. يتم الربط تلقائيًا، وهذا هو مصدر التوفير الحقيقي في الوقت، وليس من خلال برنامج دردشة آلي يلخص التنبيهات واحدًا تلو الآخر.
مع الإصدار 6.3، وسّعت شركة Stellar Cyber قدرات الذكاء الاصطناعي التي طورتها على مدار سنوات، لتشمل ملخصات للحالات تشرح تلقائيًا ما حدث، وأهميته، والأدلة التي تدعم الاستنتاج، إلى جانب فرز آلي لرسائل البريد الإلكتروني الاحتيالية يكشف الهجمات قبل تفاقمها. هذه ليست ميزات إضافية لمواكبة الموضة، بل هي ثمرة بناء الذكاء الاصطناعي على أساس قاعدة بيانات موحدة منذ البداية.
أفاد العملاء بتحسن ملحوظ في متوسط وقت الكشف بمقدار 8 أضعاف، وفي متوسط وقت الاستجابة بمقدار 20 ضعفًا. لم يكن ذلك بسبب إضافة روبوت محادثة إلى سير عمل معيب، بل لأنهم قاموا بتوحيد البيانات أولًا، ثم سمحوا للذكاء الاصطناعي بالعمل بناءً على صورة شاملة.
نموذج النضج الصادق
إذا كنت بصدد تقييم الذكاء الاصطناعي SOC فيما يتعلق بالقدرات، فكر في الأمر على مراحل بدلاً من الانجرار وراء الإطار الذي يتبناه معظم البائعين والذي يعتمد على مبدأ "إما الكل أو لا شيء".
المرحلة الأولى هي توحيد البيانات. اجمع جميع بيانات القياس عن بُعد في منصة واحدة باستخدام نموذج بيانات موحد. هذا وحده يُغنيك عن أعمال الربط اليدوي التي تستنزف معظم وقت المحللين.
المرحلة الثانية هي الكشف والربط المعزز بالذكاء الاصطناعي. بمجرد توحيد البيانات، يمكن للتعلم الآلي تجميع التنبيهات ذات الصلة تلقائيًا في حالات، وتحديد أولوياتها حسب المخاطر، والكشف عن الحوادث التي تتطلب بالفعل تدخلًا بشريًا.
المرحلة الثالثة هي الأتمتة المحدودة. مهام محددة وواضحة المعالم يمكن للذكاء الاصطناعي التعامل معها بكفاءة: إثراء التنبيهات بمعلومات استخباراتية عن التهديدات، وإنشاء ملخصات للتحقيقات، وفرز رسائل البريد الإلكتروني الاحتيالية. يبقى العنصر البشري حاضرًا في أي عملية تخريبية.
المرحلة الرابعة هي الأتمتة التكيفية. يتعلم النظام من قرارات المحللين بمرور الوقت، ويوسع قدراته المستقلة حيثما أثبت جدارته، ويشير إلى الحالات الجديدة لمراجعتها من قبل البشر. هذا هو الاتجاه الذي تتجه إليه الصناعة، لكن التظاهر بأننا وصلنا إليه بالفعل يُسيء إلى الفرق التي تقوم بالعمل.
معظم البائعين يرغبون في بيعك المرحلة الرابعة، لكن معظم فرق الأمن لم تنهِ المرحلة الأولى.
الخلاصة والخطوات التالية
الذكاء الاصطناعي SOC لا يُعدّ الترويج المفرط للوكلاء خطأً أو أمرًا سيئًا، إنما هو مجرد بداية. التكنولوجيا حقيقية، والتوجه سليم، والإمكانات هائلة، لكن الفجوة بين عروض المؤتمرات والواقع العملي لا تزال واسعة. يتطلب سدّ هذه الفجوة حلّ المشكلات الروتينية أولًا: توحيد البيانات، وربط التنبيهات، والأتمتة المُقاسة بحدود واضحة.
إذا كنت بصدد تقييم المنصات، فتجاهل لغة التسويق وركز على ما يقلل فعلياً من متوسط وقت اكتشاف المشكلة والاستجابة لها. اطلب دليلاً، لا وعوداً.
هل تريد أن ترى الأمن الموحد عملياً؟
إذا كنت ستشارك في مؤتمر RSAC 2026، فتفضل بزيارة الجناح رقم 327. اشترك في العرض أو أمسكت بـ تذكرة دخول مجانية للمعرض برمز 52E1069XP.
