العودة إلى المكتبة
الأمن والحوكمة

مفتاح الإيقاف بالتصميم: بنية حوكمة الوكلاء

آخر تحديث: 2026年7月10日

التنبؤ

في مايو 2026، نشرت Gartner تنبؤًا يعيد صياغة حوكمة الوكلاء من تفصيل امتثالي إلى مسألة بقاء: بحلول 2027، ستقوم 40% من المؤسسات بخفض رتبة الوكلاء المستقلين للذكاء الاصطناعي أو إيقافهم بسبب فجوات حوكمة لا تُكتشف إلا بعد حوادث الإنتاج.

السبب الجذري، بحسب Shiva Varma من Gartner، هو أن المؤسسات تعامل الحوكمة على أنها ثنائية — "إما مُقفلة تمامًا أو موثوقة تمامًا". يفشل هذا الإطار لأن وكلاء الإنتاج يعملون على طيف من الاستقلالية. الوكيل الذي يقرأ كتالوجًا للإجابة عن سؤال دعم يحتاج ضوابط مختلفة عن الوكيل الذي يحتجز المخزون، ويسعّر عرضًا، ويكتب الطلب المقبول إلى NetSuite. تطبيق الحوكمة نفسها على كليهما يعني أن الوكيل منخفض المخاطر مُحكَم بإفراط والوكيل عالي المخاطر مُحكَم بنقص. كلاهما يفشل بطرق مختلفة.

يعرّف إطار Gartner أربعة مستويات من الاستقلالية، لكل منها متطلبات حوكمة مميزة:

  • المستوى 1 (المراقبة): وصول للقراءة فقط. ضوابط خفيفة — وصول محدود النطاق إلى البيانات، ومصادقة المستخدم، وتسجيل الاستخدام. الخطر: كشف البيانات.
  • المستوى 2 (تقديم المشورة): قراءة فقط، والبشر ينفذون الإجراءات. الخطر: انحياز الأتمتة. الحوكمة: اختبارات الدقة والهلوسة، وتقييمات الجودة الخاصة بالمجال.
  • المستوى 3 (التصرّف بموافقة): يمكنه الكتابة أو التواصل أو التعديل — ولكن فقط بعد موافقة بشرية صريحة لكل إجراء. الخطر: إرهاق الموافقة. الحوكمة: اختبارات أمان قوية، وتدفقات موافقة واضحة مع مسارات تدقيق، واستجابة للحوادث خاصة بالوكلاء.
  • المستوى 4 (التصرّف باستقلالية): ينفّذ باستقلالية ضمن حواجز حماية. الخطر: يتجاوز الحجم والسرعة الإشراف البشري. الحوكمة: مراقبة مستمرة، وحواجز حماية مفروضة، وتراجع سريع، وقواطع دائرة، وملكية واضحة.

عند المستوى 4 يقع تنبؤ الإيقاف بنسبة 40%. الوكيل الذي يعمل باستقلالية دون قواطع دائرة وتراجع سريع هو الوكيل الذي يُوقَف بعد حادثة — لا قبلها.

الدليل: مفاتيح الإيقاف المفردة لا تعمل

إطار Gartner هو توجيه محللين. أما الدليل الذي يقوم عليه فأصعب في الرد.

ينتقد تحليل Stanford Law School CodeX (مارس 2026) وثيقة UC Berkeley Agentic AI Risk-Management Standards Profile، ويستشهد بأدلة على أن النماذج خرّبت آليات الإيقاف في 79 من أصل 100 اختبار. إن Berkeley Profile، وهو امتداد من 55 صفحة لـ NIST AI RMF، وثيقة جادّة. لكن نقد Stanford يحدد ثلاث فجوات بنيوية:

  1. الإشراف البشري رجعي. تراجع Berkeley Profile ما حدث بعد وقوعه. يقترح إطار AILCCP من Stanford ضابطًا استباقيًا — بوابة موافقة بشرية للإجراءات الحساسة (Human Approval Gate) تتحكم فيما يمكن أن يحدث قبل التنفيذ، لا فيما حدث بعده.

  2. تُعامَل مفاتيح الإيقاف على أنها إنهاء لكيان مفرد. يفترض Berkeley Profile أنك توقف وكيلًا واحدًا. في بنية متعددة الوكلاء، إيقاف وكيل واحد لا يحتوي الضرر إذا كانت الاتصالات بين الوكلاء لا تزال نشطة. يستبدل إطار AILCCP مفتاح الإيقاف المفرد بنظام إيقاف مُطبّق على طبقات: مفتاح إيقاف الوكيل (توقف فوري مع التقاط الحالة وتسجيل غير قابل للتغيير)، والتراجع والحجر، وأمان بروتوكول تعدد الوكلاء (يحتوي الاتصالات بين الوكلاء)، ومحدِّد المعدل والنطاق (يحدّ من التكرار والإنفاق ونطاق التأثير قبل التصعيد).

  3. تحديد النطاق ثابت. إن سياسة تقول "ينبغي لهذا الوكيل أن يعدّل أنظمة التطوير فقط" بلا معنى إذا كان الوكيل يمتلك تقنيًا وصولًا إلى الإنتاج ولا توجد آلية تمنعه من الوصول إليه. يفرض إطار AILCCP النطاق في الزمن الحقيقي عبر مرشّح إجراء آمن (قوائم سماح) وفحص ما قبل التنفيذ في الوضع الظلي (تشغيل تجريبي يقارن الإجراءات المقصودة بالمعتمدة).

استنتاج Stanford مباشر: "تحديد المخاطر الشامل دون خصوصية ضبط مقابِلة يُنتج وثيقةً تصف الحريق دون توفير الطفّاية." يحدد إطار AILCCP 48 ضابطًا مصممة لترجمة المبادئ إلى آليات قابلة للتدقيق وللدفاع عنها.

توصّلت Cloud Security Alliance (يناير 2026) بشكل مستقل إلى الاستنتاج نفسه عبر مسار مختلف. نشرت CSA تصنيفًا للاستقلالية من ستة مستويات (L0 إلى L5) يعكس مستويات أتمتة المركبات SAE J3016. الاكتشاف الرئيسي لـ CSA: "غالبية المؤسسات التي تنشر الذكاء الاصطناعي الوكيلي ليس لديها نظام تصنيف رسمي لمستويات الاستقلالية، وتتخذ قرارات الاستقلالية بشكل ارتجالي، [وتفتقر] إلى الفرض التقني لحدود الاستقلالية." تقول CSA صراحةً إن "سياسة تقول 'ينبغي لهذا الذكاء الاصطناعي أن يعدّل أنظمة التطوير فقط' بلا معنى إذا كان الذكاء الاصطناعي يمتلك تقنيًا وصولًا إلى الإنتاج ولا توجد آلية تمنعه من الوصول إليه."

تتلاقى ثلاثة مصادر مستقلة — Gartner وStanford Law CodeX وCSA — على الاستنتاج نفسه: الحوكمة الثنائية تفشل، والحوكمة المتناسبة مع الإيقاف المُطبّق على طبقات هي المعيار، والفرض التقني لحدود الاستقلالية هو الفرق بين السياسة والضابط.

المُحرِّك التنظيمي القسري

يبلغ قانون الذكاء الاصطناعي للاتحاد الأوروبي إنفاذه الكامل في 2 أغسطس 2026 — بعد 22 يومًا من اليوم. تُلزم المادة 14 أنظمة الذكاء الاصطناعي عالية المخاطر بتنفيذ قدرة إيقاف في الزمن الحقيقي. وتتطلب المادة 12 الاحتفاظ بالسجلات لمدة ستة أشهر على الأقل. ويوسّع الحيثيتان 99 و100 الامتثال ليشمل كل وكيل في سلسلة متعددة الوكلاء. الغرامة القصوى 35 مليون يورو أو 7% من الإيراد السنوي العالمي.

نظام الإيقاف المُطبّق على طبقات الذي تصفه Gartner وStanford وCSA ليس مجرد ممارسة فُضلى. إنه البنية التي تلبي قدرة الإيقاف في المادة 14، والاحتفاظ بالسجلات في المادة 12، والنطاق المتعدد الوكلاء في الحيثيتين 99 و100. يجعل موعد الامتثال بنية الحوكمة متطلبًا قريب الأجل، لا اعتبارًا مستقبليًا.

البنية رباعية الطبقات

يتوافق نظام الإيقاف المُطبّق على طبقات في AILCCP مع أربع طبقات تنفيذ ملموسة. كل طبقة ضابط يمكن اختباره وتدقيقه وإثباته لمراجع امتثال.

الطبقة 1: وصول محكوم بالهوية

يمر كل استدعاء أداة عبر المصادقة قبل التنفيذ. لا يمتلك الوكيل وصولًا شاملًا إلى خادم MCP — بل يقدّم اعتمادًا، ويتحقق الخادم منه، ولا يمضي الاستدعاء إلا إذا كان الاعتماد صالحًا.

في ai_mcp_daemon_engine من SilvaEngine، هذا هو FlexJWTMiddleware — وسيط Starlette يعترض كل طلب، ويستخرج رمز Bearer، ويوجّه التحقق إما إلى AWS Cognito (لعمليات نشر الإنتاج) أو إلى مزوّد JWT محلي بخوارزمية HS256 (للتطوير). يحتفظ الوسيط بقائمة مسارات عامة (/auth، /health)، ويرفض باستجابة 401 كل طلب آخر لا يحمل رمزًا صالحًا. يجلب مسار Cognito ملف JWKS من نقطة النهاية well-known الخاصة بـ user pool مع دعم HTTP/2 واستجابة JWKS مُخزَّنة مؤقتًا (TTL قابل للتهيئة، الافتراضي 3600 ثانية)، بحيث لا يضيف التحقق من الرمز رحلة شبكة ذهابًا وإيابًا عند كل استدعاء.

هذا هو "مفتاح إيقاف الوكيل مع إبطال الهوية" في AILCCP — البوابة الأولى. عند إبطال اعتماد وكيل في Cognito، يفشل كل استدعاء أداة لاحق من ذلك الوكيل عند الوسيط. الإيقاف فوري ولا يتطلب المساس بكود الوكيل أو تكوين الوحدة. إبطال مستخدم Cognito هو أسرع طريقة لإيقاف وكيل يسيء التصرف.

الطبقة 2: قاطع دائرة لكل أداة وتسجيل تدقيق

يُغلَّف كل تنفيذ أداة في مُزخرِف (decorator) يسجّل الاستدعاء قبل تشغيله ويحدّث السجل بالنتيجة بعد اكتماله. يلتقط السجل اسم الأداة، ووسائط الإدخال، ومحتوى الإخراج، والحالة (initial، completed، failed)، والوقت المستغرق بالميلي ثانية، وهوية المستدعي.

في ai_mcp_daemon_engine، هذا هو execute_decorator في mcp_utility.py. قبل تنفيذ دالة الأداة، يُنشئ المُزخرِف سجل MCPFunctionCallModel في DynamoDB بالحالة initial، ملتقطًا partition key واسم الأداة والوسائط والطابع الزمني. بعد التنفيذ، يحدّث السجل بالمحتوى والحالة completed وtime_spent بالميلي ثانية. إذا أطلقت الأداة استثناءً، يلتقطه المُزخرِف، ويحدّث السجل إلى الحالة failed مع الـ traceback الكامل في حقل الملاحظات، ثم يعيد إطلاقه.

يخزّن MCPFunctionCallModel السجلات في جدول DynamoDB (mcp-function_calls) بمفتاح تجزئة partition_key ومفتاح نطاق mcp_function_call_uuid. تتيح ثلاثة فهارس ثانوية محلية الاستعلامات حسب نوع MCP، وحسب الاسم، وحسب طابع التحديث الزمني — فيستطيع المشغّل أن يسأل "أرِني كل استدعاء فاشل لأداة التسعير في الساعة الأخيرة" ويحصل على الإجابة من استعلام فهرس واحد. أما المحتوى الذي يتجاوز حد العنصر البالغ 400 كيلوبايت في DynamoDB فيُفرَّغ تلقائيًا إلى S3، مع علامة content_in_s3 تميّز السجل.

هذا هو "التسجيل غير القابل للتغيير" و"قاطع الدائرة" في AILCCP مجتمعين. مسار التدقيق هو دليل الامتثال الذي تتطلبه المادة 12. وتتبّع الحالة لكل أداة هو أساس قاطع الدائرة — عندما يتجاوز معدل فشل أداةٍ عتبةً معينة، يستطيع المشغّل تعطيل تلك الأداة دون التأثير على بقية الوكيل. سجلات MCPFunctionCallModel هي مصدر البيانات للمراقبة والتنبيه وإعادة البناء بعد الحادثة.

الطبقة 3: عزل البيانات على مستوى المستأجر

يحمل كل استدعاء أداة partition key يحصر الوصول إلى البيانات في مستأجر واحد. يُبنى الـ partition key من معرّف نقطة النهاية ومعرّف جزء اختياري، موصولين بفاصل #. تُرشِّح جميع استعلامات DynamoDB، وجميع عمليات البحث في الذاكرة المؤقتة، وجميع عمليات حالة الوحدة على هذا المفتاح. لا يستطيع وكيل يعمل للمستأجر A قراءة بيانات المستأجر B لأن الـ partition key مفروض في طبقة البيانات، لا في طبقة التطبيق.

في ai_mcp_daemon_engine، تبني الطريقة AIMCPDaemonEngine._apply_partition_defaults الـ partition key من endpoint_id وpart_id في الطلب الوارد، وتنشره عبر سياق GraphQL إلى كل استعلام وتحوير لاحق. تستخدم MCPFunctionCallModel وMCPFunctionModel وMCPModuleModel وMCPSettingModel جميعها partition_key كمفتاح تجزئة لها. وتفهرس طبقة الذاكرة المؤقتة (CACHE_ENTITY_CONFIG وCACHE_RELATIONSHIPS) كل مدخل مؤقت على context:partition_key، بحيث يكون إبطال الذاكرة المؤقتة على مستوى المستأجر.

هذا هو "محدِّد المعدل والنطاق" في AILCCP و"الفرض التقني لحدود الاستقلالية" لدى CSA في آلية واحدة. نطاق تأثير الوكيل محدود بالـ partition key. لا يستطيع وكيل من المستوى 3 مُعتمَد لتعديل أنظمة التطوير الوصول إلى أنظمة الإنتاج لأن الـ partition key مختلف ولا يوجد مسار استعلام عبر الأقسام. يُفرَض تحديد النطاق بواسطة نموذج البيانات، لا بواسطة وثيقة سياسة.

الطبقة 4: تراجع سريع وتعطيل على مستوى الوحدة

يمكن تعطيل كل وحدة MCP دون المساس بالعمود الفقري للتنسيق. يُخزَّن تكوين الوحدة في DynamoDB ويُحمَّل في وقت التشغيل عبر Config.fetch_mcp_configuration. تعطيل وحدةٍ يعني تحديث سجل تكوينها — يستبعدها الجلب التالي للتكوين، ولا تعود قائمة الأدوات المُعادة إلى الوكيل تتضمن الأدوات المعطَّلة. دون نشر كود، ودون إعادة تشغيل، ودون إعادة تجميع للوكيل.

يوفّر admin_static_token في فئة Config مسار إبطال محدود النطاق. يستطيع مشغّل يحمل الرمز الإداري إصدار تغييرات تكوين — تعطيل وحدة، تحديث حدود المعدل، تغيير إعداد — عبر واجهة تحوير GraphQL. الرمز هو JWT ثابت بادعاء perm: true يتجاوز فحوص انتهاء الصلاحية، بحيث يظل المسار الإداري متاحًا دائمًا حتى لو تعطّل تدفق إصدار الرموز الاعتيادي.

هذه هي طبقة "التراجع والحجر" في AILCCP. عندما تسيء وحدةٌ التصرف، فأول إجراء للمشغّل هو تعطيلها عبر التكوين — يواصل الوكيل العمل بأدواته المتبقية، وتُعيد استدعاءات دوال الوحدة المعطَّلة خطأً يستطيع الوكيل معالجته عبر مساره الاحتياطي. تُوضَع الوحدة في الحجر (مع الاحتفاظ بتكوينها للتحقيق) دون إخراج الوكيل من الاتصال. هذا هو الفرق بين مفتاح إيقاف يوقف كل شيء وإيقاف مُطبّق على طبقات يعزل العطل.

لماذا تعمل الطبقات معًا

تعالج كل طبقة نمط فشل مختلفًا:

نمط الفشل الطبقة الضابط ماذا يحدث
اختراق اعتماد الوكيل 1 وصول محكوم بالهوية إبطال مستخدم Cognito؛ تُعيد كل الاستدعاءات اللاحقة 401
أداة تنتج نتائج خاطئة 2 قاطع دائرة لكل أداة تعطيل الأداة؛ يوجّه الوكيل إلى الاحتياطي أو يصعّد إلى إنسان
وكيل يصل إلى بيانات غير مصرّح بها 3 عزل على مستوى المستأجر يمنع الـ partition key الاستعلامات عبر المستأجرين في طبقة البيانات
وحدة تتصرف بشكل غير منتظم 4 تراجع سريع تعطيل الوحدة عبر التكوين؛ يواصل الوكيل بأدواته المتبقية

الطبقات مستقلة وقابلة للتركيب. قد يحتاج وكيل من المستوى 2 لدى Gartner (تقديم المشورة) إلى الطبقتين 1 و2 فقط — المصادقة وتسجيل التدقيق — لأن إجراءاته استشارية والبشر ينفذون النتائج. أما وكيل من المستوى 4 (التصرّف باستقلالية) فيحتاج الطبقات الأربع جميعها، إضافةً إلى مراقبة مستمرة لمسار التدقيق لاكتشاف الشذوذ قبل تصعيده.

يضيف تصنيف CSA بُعد التعديل الديناميكي: قد تنخفض مستويات الاستقلالية تلقائيًا أثناء الشذوذ. فالوكيل الذي يعمل عادةً في المستوى 4 يمكن خفض رتبته تلقائيًا إلى المستوى 3 (التصرّف بموافقة) عندما يتجاوز معدل خطئه عتبةً معينة — إذ تغذّي بيانات قاطع الدائرة من الطبقة 2 قرارَ مستوى الاستقلالية. هنا تصبح الطبقات نظامًا لا كومة: مسار التدقيق يُطلع قرار الحوكمة، وقرار الحوكمة يعدّل حواجز الحماية، وحواجز الحماية المعدَّلة تُفرَض عبر الطبقات الأربع ذاتها.

معيار الشراء

لتنبؤ Gartner — إيقاف 40% من المؤسسات للوكلاء بحلول 2027 — ترجمةٌ موجّهة إلى المشتري. إذا لم يستطع مورّد الوكلاء لديك الإجابة عن هذه الأسئلة الأربعة، فليس لديه نموذج حوكمة:

  1. في أي مستوى استقلالية يعمل وكلاؤك؟ إذا كانت الإجابة "حسب الحال" أو "مستقل تمامًا"، فلا يوجد نظام تصنيف. وجدت CSA أن غالبية المؤسسات ليس لديها تصنيف رسمي.

  2. كيف توقف وكيلًا يسيء التصرف؟ إذا كانت الإجابة "نوقف العملية" أو "نزيل الأداة من الكود"، فلا يوجد إيقاف مُطبّق على طبقات. لا يمكن تعطيل الوكيل دون عملية نشر، ما يعني أن زمن الاستجابة يُقاس بالساعات لا بالثواني.

  3. هل يمكنك أن تُريني مسار التدقيق لآخر 100 استدعاء أداة؟ إذا كانت الإجابة "لدينا سجلات في CloudWatch"، فلا يوجد سجل تدقيق منظَّم لكل أداة. ينبغي أن يكون مسار التدقيق قابلًا للاستعلام حسب اسم الأداة والحالة والنطاق الزمني — لا قابلًا للبحث بـ grep في تدفق سجلات.

  4. ما نطاق التأثير إذا انحرف وكيل أحد المستأجرين؟ إذا كانت الإجابة "نعزل حسب النشر"، فلا يوجد عزل مستأجرين في طبقة البيانات. نطاق التأثير هو النشر بأكمله، لا مستأجر واحد.

تجيب البنية رباعية الطبقات عن كل سؤال بآلية ملموسة، لا ببيان سياسة. هذا هو الفرق بين وصف الحريق وتوفير الطفّاية.


موزّع يشغّل NetSuite وBigCommerce وثلاثة كتالوجات موردين ينشر وكيلًا في المستوى 3 لدى Gartner: يسعّر العروض، ويحتجز المخزون، ويكتب الطلبات المقبولة إلى NetSuite — لكن كل إجراء تسعير فوق عتبة معينة يتطلب موافقة بشرية، وكل استدعاء أداة يُسجَّل مع partition key واسم الأداة وتجزئة الوسائط والمدة. عندما تبدأ وحدة كتالوج موردٍ بإرجاع بيانات توافر غير متسقة، يعطّل المشغّل تلك الوحدة عبر التكوين. يوجّه الوكيل إلى الكتالوج الاحتياطي، وتُستعلَم الاستدعاءات الأخيرة للوحدة المعطَّلة من مسار التدقيق للتحقيق، ويبقى الوكيل متصلًا طوال الوقت. هذا البناء هو المرحلة 2–4 من منهجية الخطوات الأربع، ويكون عادةً جاهزًا للتشغيل خلال 5–8 أسابيع.

اطلب بناءً محدد النطاق. اكتشاف لمدة أسبوع. تحصل على جرد للأنظمة، وخريطة سير عمل، ونطاق ثابت — سواء بنيت معنا أم لا.

هل تريد هذا مبنياً لأنظمتك؟

كل وثيقة هنا من عمل إنتاجي حقيقي. إذا كان لديك نظام مُستهدَف وسير عمل في الذهن، نستطيع تحديد نطاق بناء في أسبوع واحد.

اطلب بناءً محدد النطاق

اكتشاف مدته أسبوع واحد. تحصل على جرد للأنظمة وخريطة لسير العمل ونطاق ثابت — سواء بنيت معنا أم لا.