البرمجة بالحدس وGDPR: لماذا قد يكون موقعك المبني بالذكاء الاصطناعي مخالفًا للقانون

وكلاء البرمجة مثل Claude Code وCodex يطلقون مواقع تعمل في غضون ساعات، لكنهم يدسّون في صمت مخالفات للائحة GDPR لم تطلبها قط: كوكيز تُوضع قبل الموافقة، بيانات شخصية محفوظة إلى الأبد، ولا سبيل للمستخدم لحذفها. إليك لماذا يحدث ذلك مع كل وكيل برمجة، وكم قد يكلّفك، ومهارة Claude Code المجانية التي تفحص مشروعك بحثًا عن مشكلات GDPR وتصلحها.

تصف لوكيل برمجة تطبيقًا، فيكتب الكود، تنشره، وبعد بضع ساعات يصبح لديك منتج حقيقي على الإنترنت. هذا هو وعد البرمجة بالحدس (vibe coding)، وفي معظم الأحيان يفي بوعده. الموقع يُحمّل، والتسجيل يعمل، ولوحة التحكم تبدو أنيقة. كل ما تراه على ما يُرام.

المشكلة في كل ما لا تراه. فبينما كان يربط مزاياك ببعضها، اتخذ الوكيل أيضًا عشرات القرارات الصغيرة بشأن الكوكيز والتتبّع وتخزين البيانات وحقوق المستخدمين. لم يطلب منه أحد أن يفكّر في القانون، فلم يفعل. وحين تطلق منتجك، قد يكون موقعك الجديد اللامع قائمًا على كومة من مخالفات GDPR (اللائحة العامة لحماية البيانات) من دون أن تدري بوجودها.

هذه ليست مشكلة خاصة بـ Claude ولا بـ Codex. إنها خاصية بنيوية في طريقة عمل وكلاء البرمجة بالذكاء الاصطناعي، وتنطبق على كل واحد منهم. لنستعرض بالضبط ما الذي يسير على نحو خاطئ، وكم قد يكلّفك، ومهارة Claude Code المجانية التي تكتشف هذه المشكلات وتصلحها قبل أن تفعل ذلك جهة رقابية.

ما الذي يخطئ فيه وكيل البرمجة بالذكاء الاصطناعي في صمت

يُحسّن وكيل البرمجة شيئًا واحدًا: جعل الميزة تعمل. اطلب منه أداة تحليلات فيدسّ سكربت تتبّع. اطلب منه نموذج تواصل فيخزّن كل إرسال في جدول. اطلب منه تسجيل دخول فيحتفظ بسجلات المستخدمين إلى ما لا نهاية. كل خيار منطقي بمعزل عن غيره. وحين تجتمع، تشكّل القائمة النموذجية للمخالفات التي تعاقب عليها الجهات الرقابية أكثر من غيرها.

إليك ما يتسلّل عبر الشقوق في موقع نموذجي مبني بالبرمجة بالحدس:

  • الكوكيز وأدوات التتبّع تنطلق قبل الموافقة. أدوات التحليلات والخرائط المضمّنة والخطوط والبكسلات الاجتماعية وأدوات الجلسات تُحمّل لحظة فتح الصفحة. بموجب GDPR وقواعد ePrivacy، تتطلب الكوكيز غير الضرورية موافقة مسبقة وحرّة. الموقع الذي يضعها عند أول عرض للصفحة غير متوافق أصلًا، وشريط الكوكيز الذي لا يظهر إلا بعد انطلاق أداة التتبّع لا يصلح الأمر.
  • البيانات الشخصية محفوظة إلى الأبد. ينشئ الوكيل جدول users وجدول submissions وجدول logs، ولا يضيف أبدًا سياسة احتفاظ. يقتضي GDPR ألا تحتفظ بالبيانات الشخصية إلا بقدر حاجتك الفعلية إليها. "إلى الأبد، تحسبًا" هو بالضبط خرق مبدأ تحديد مدة التخزين الذي وُضع القانون لإيقافه.
  • لا سبيل لحذف بياناتك. للمستخدمين حق المحو، أي ما يُعرف بالحق في النسيان. لا يكاد أي تطبيق مبني بالبرمجة بالحدس يُطلَق مزوّدًا بمسار "احذف حسابي" أو بإجراء موثّق لتلبية طلب المحو. تدخل البيانات، وليس هناك باب مكتوب عليه "خروج".
  • لا مسار للوصول أو لقابلية النقل. يحقّ للناس أن يطلبوا نسخة من كل ما تحتفظ به عنهم. وإذا كان جوابك الوحيد استعلام قاعدة بيانات يدويًا لم تختبره قط، فأنت لا تفي بالتزامات الوصول وقابلية النقل.
  • بيانات الأطراف الثالثة تغادر الاتحاد الأوروبي في صمت. سكربت التحليلات أو الخط المستضاف الذي أضفته في ثانيتين قد يرسل عناوين IP ومعرّفات إلى خوادم خارج الاتحاد الأوروبي من دون أي آلية نقل قانونية قائمة.
  • لا سجل لما تجمعه. يتوقع GDPR منك أن تعرف أنشطة معالجتك وأن توثّقها. التطبيق الذي لا توجد تدفقات بياناته إلا في سجل محادثة منسيّ مع الوكيل لا يملك أي سجل على الإطلاق.

لا يظهر أيّ من هذا في عرض تجريبي. التطبيق يعمل بإتقان. الطبقة القانونية ببساطة غائبة، وتبقى غائبة إلى أن يشتكي أحدهم أو تطرق جهة رقابية الباب.

مقارنة من عمودين بعنوان ما يُطلَق مقابل ما يتطلبه القانون. العمود الأيسر يسرد ما يقدّمه وكيل البرمجة بالذكاء الاصطناعي مع علامات صح خضراء: المصادقة تعمل، الواجهة مصقولة، المدفوعات فعّالة، البناء نظيف. العمود الأيمن يسرد ما يتطلبه GDPR بعلامات تحذير حمراء تظهر واحدة تلو الأخرى: الموافقة قبل الكوكيز، حد لمدة الاحتفاظ بالبيانات، الحق في المحو، أساس خصوصية موثّق. فجوة متقطعة تمتد في المنتصف لتُظهر المساحة الصامتة بين موقع يعمل وموقع متوافق.

يملأ الوكيل العمود الأيسر بلا خطأ. أما العمود الأيمن فهو الجزء الذي لم يطلب منه أحد بناءه، فيبقى فارغًا.

لماذا يفعل كل وكيل برمجة ذلك، لا Claude وحده

من المغري إلقاء اللوم على أداة واحدة، لكن السبب أعمق من ذلك. يتعلّم وكلاء البرمجة من الكود العام، ومعظم الكود العام لم يُكتب يومًا مع وضع GDPR في الحسبان. وحين يكون النموذج قد رأى عشرة آلاف مثال على "أضف Google Analytics" تضع السكربت مباشرة في <head>، فهذا هو النمط الذي يعيد إنتاجه. بيانات التدريب تُرسّخ العادة السيئة، فتَرِثها المخرجات.

ثمة بيانات قوية حول هذه المشكلة في صورتها الأوسع. اختبر تقرير Veracode لعام 2025 حول أمان الكود المولّد بالذكاء التوليدي مخرجات أكثر من 100 نموذج لغوي كبير عبر عشرات مهام البرمجة، ووجد أن 45% من الكود المولّد بالذكاء الاصطناعي أدخل ثغرة أمنية. ووجدت الدراسة نفسها أن الكود المكتوب بالذكاء الاصطناعي يحمل 2.74 ضعفًا من الثغرات مقارنةً بالكود الذي يكتبه البشر، وما يلفت النظر أن النماذج الأحدث والأكبر لم تكن أفضل. هذا أمر بنيوي، لا خلل يصلحه الإصدار التالي.

التوافق مع الخصوصية مشكلةٌ من طبيعة مشكلة الأمان نفسها. كلاهما متطلبات غير مرئية يتجاوزها هدف "اجعله يعمل" دون أن يلتفت إليها. لذا سواء كنت تقود Claude Code أو Codex أو Antigravity CLI أو Cursor أو أي وكيل آخر، فأنت معرّض للنقطة العمياء نفسها. الأداة تتغير، أما الثغرة فلا.

كم قد تكلّف مخالفة GDPR فعلًا

هنا يكفّ الأمر عن كونه مجردًا. تُسقَّف غرامات GDPR عند الأعلى من قيمتين: 20 مليون يورو أو 4% من حجم الأعمال السنوي العالمي، وقد بدأت الجهات الرقابية تستخدم الحدّ الأعلى من هذا النطاق.

في عام 2025 وحده، أصدرت الهيئة الفرنسية لحماية البيانات، CNIL، غرامات بقيمة 486 مليون يورو، أي قرابة عشرة أضعاف إجماليها لعام 2024. وقراران صدرا في يوم واحد من سبتمبر يفسّران معظمها: 325 مليون يورو ضد Google لإخفاقات تتعلق بالكوكيز وشفافية الإعلانات، و150 مليون يورو ضد Shein لأدوات تتبّع وُضعت دون موافقة. فئات الخطأ ذاتها التي يطلقها وكيل الذكاء الاصطناعي افتراضيًا هي الفئات نفسها التي تجلب غرامات من تسعة أرقام.

من السهل أن تقرأ هذه الأرقام وتفترض أن الجهات الرقابية لا تلاحق سوى العمالقة. لكنها لا تفعل. تطبّق CNIL إجراءً مبسّطًا موجّهًا مباشرة إلى الحالات الصغيرة والوقائعية: شريط كوكيز غير متوافق، طلب وصول مُتجاهَل، سياسة كلمة مرور ضعيفة. هذه هي المخالفات اليومية المعتادة لمنشأة صغيرة، وهي بالضبط ما يخطئ فيه موقع مبني بالبرمجة بالحدس. حجم شركتك يغيّر حجم الغرامة، لا ما إذا كان يمكن تغريمك أصلًا.

مخطط أعمدة عمودي بعنوان أين سقطت غرامات GDPR في عام 2025. ثلاثة أعمدة ترتفع من خط أساس وهي تظهر تباعًا: 150 مليون يورو ضد Shein لأدوات تتبّع وُضعت دون موافقة، 325 مليون يورو ضد Google لإخفاقات تتعلق بالكوكيز والشفافية، والعمود الأطول عند 486 مليون يورو، وهو الإجمالي الذي أصدرته الهيئة الفرنسية في عام 2025، قرابة عشرة أضعاف العام السابق. شارة في الزاوية تشير إلى السقف القانوني البالغ 20 مليون يورو أو 4 بالمئة من حجم الأعمال العالمي لكل خرق.

الغرامات الكبرى تصيب الشركات الكبيرة، لكن المخالفات وراءها، كوكيز دون موافقة وغياب الشفافية، هي المخالفات نفسها التي يطلقها وكيل برمجة على موقع صغير افتراضيًا.

ما الذي يطلبه GDPR فعلًا (بعبارات بسيطة)

لست بحاجة إلى أن تصبح محاميًا لتسدّ معظم الثغرة. الجزء الأكبر من التوافق اليومي يتلخّص في حفنة من السلوكيات الملموسة التي يلتزم بها كودك أو لا يلتزم:

  • الموافقة قبل الكوكيز غير الضرورية. لا ينبغي أن يعمل أيُّ شيء يتتبّع أو يحلّل الملف الشخصي أو يقيس قبل أن يوافق المستخدم بفعل إيجابي. الكوكيز الضرورية حصرًا هي الاستثناء الوحيد.
  • أساس قانوني لكل جزء من البيانات التي تجمعها. موافقة، أو عقد، أو مصلحة مشروعة، يُحسم قبل أن تخزّن أي شيء، لا بعده.
  • تقليل البيانات. اجمع فقط ما تحتاجه الميزة حقًا. غريزة الوكيل في تسجيل كل شيء هي عكس ذلك تمامًا.
  • حدود الاحتفاظ. كل فئة من البيانات الشخصية تحتاج إلى عمر محدّد وإلى وسيلة لحذفها حين ينقضي ذلك الأجل.
  • حقوق أصحاب البيانات. الوصول والتصحيح والمحو وقابلية النقل، كلها تحتاج إلى مسار حقيقي وعامل، لا إلى وعد في سياسة خصوصية.
  • إشعار خصوصية واضح وسجل للمعالجة. ينبغي أن يتمكّن الناس من رؤية ما تجمعه ولماذا، وينبغي أن تكون قادرًا على إثباته.

أعد قراءة هذه القائمة بالمقارنة مع الفقرة عمّا يخطئ فيه الوكلاء، وستجد التطابق شبه تام. والخبر السار أن هذه سلوكيات ملموسة على مستوى الكود، ولذلك يمكن لأداة أن تفحصها.

الحل: مهارة Claude Code مجانية تفحص وتُصلح

إليك الجزء الذي لا تستطيع القائمة اليدوية أن تمنحك إياه: تمريرة آلية فوق قاعدة الكود الفعلية لديك. نشر مطوّر اسمه Jeremy Longshore مهارة Claude Code مجانية ومفتوحة المصدر تُسمّى scanning-for-gdpr-compliance (مدرجة في بعض الأسواق باسم GDPR Compliance Scanner) تفعل ذلك بالضبط. توجد في مستودع claude-code-plugins-plus وتعمل بالكامل داخل Claude Code، فلا حاجة إلى التسجيل في خدمة منفصلة.

تقرأ المهارة مشروعك كما يقرؤه مدقّق خصوصية. تفحص تدفقات البيانات، ومواضع التخزين، وأنشطة المعالجة، وآليات الموافقة، وسياسات الاحتفاظ، وضوابط الوصول، وكيفية تعاملك مع حقوق أصحاب البيانات. ثم تفعل ثلاثة أشياء مهمة:

  1. تكتشف. فحوصات قائمة على قواعد ترصد الأنماط الواردة أعلاه: أدوات تتبّع تنطلق قبل الموافقة، بيانات شخصية بلا حد احتفاظ، مسارات محو غائبة، معالجة غير موثّقة.
  2. تصنّف حسب الخطورة. تعود النتائج موزونة ومرتّبة حسب الأولوية، فأداة تتبّع تسرّب معرّفات تتقدّم على سطر ناقص في إشعار خصوصيتك. تصلح الأمور الخطيرة أولًا بدل أن تغرق في قائمة طويلة غير مرتّبة.
  3. تعالج داخل كودك. بما أنها تعمل داخل الوكيل، فهي لا تكتفي بإنتاج تقرير عليك التصرّف بشأنه لاحقًا. يمكنها تطبيق التغييرات الموصى بها مباشرة، فتحوّل "لديك مشكلة هنا" إلى تعديل فعلي في التمريرة نفسها.

تثبيتها يتمّ بسطر واحد. عبر سوق الإضافات تضيف المصدر وتثبّت المهارة:

/plugin marketplace add jeremylongshore/claude-code-plugins-plus

ثم تشغّل فحصًا باللغة الطبيعية. تستجيب المهارة لعبارات مثل:

scan GDPR compliance
check data privacy
validate GDPR

يمكنك أيضًا تثبيتها بوضع مجلد المهارة داخل دليل .claude/skills/ في مشروعك، وهي الطريقة المعيارية التي يكتشف بها Claude Code المهارات. وفي الحالتين، يعمل الفحص على مستودعك الحقيقي، لا على قائمة تحقّق مجرّدة.

مخطط خط أنابيب من اليسار إلى اليمين بعنوان افحص، صنّف، أصلح. صندوق بعنوان قاعدة الكود لديك يغذّي صندوقًا بعنوان مهارة GDPR تفحص، الذي يغذّي بدوره مكدّسًا من ثلاث طبقات خطورة بعناوين حرج، عالٍ، ومتوسط تُضيء بالتتابع، ثم يتدفق إلى صندوق بعنوان إصلاح مُطبَّق في الكود، وينتهي عند صندوق أخضر بعنوان أقرب إلى التوافق. علامة صغيرة تنتقل على المسار لتُظهر مشروعًا يعبر سير العمل.

قاعدة الكود تدخل، نتائج مرتّبة حسب الأولوية في الوسط، تعديلات كود حقيقية تخرج. الحلقة نفسها التي تستخدمها أصلًا للمزايا، موجّهة نحو التوافق.

كلمة تحذير منصفة، لأن الصدق جزء من الثقة هنا: الفحص ليس موافقة قانونية نهائية. تلتقط المهارة المخالفات الميكانيكية على مستوى الكود التي تشكّل معظم المخاطر اليومية، الكوكيز والاحتفاظ ومسار المحو الغائب، وتقرّبك بشكل كبير من التوافق في دقائق. لكنها لا تحلّ محل محامٍ متخصّص في حماية البيانات لأي أمر حساس، ولا محل تقييم أثر حماية البيانات (DPIA)، ولا محل معالجة بيانات صحية. تعامل معها بوصفها التمريرة التقنية الأولى التي تزيل الخروقات الواضحة، ثم استدعِ مراجعة بشرية للحالات الحدّية.

لماذا يزداد هذا صعوبة حين تشغّل أسطولًا من الوكلاء

مطوّر واحد بوكيل واحد لديه قاعدة كود واحدة يحرص على سلامتها. لكن ما إن تشغّل عدة وكلاء بالتوازي، كلٌّ يطلق مزايا في المنتج ذاته، حتى تتضاعف مساحة المخالفات الصامتة. وكيل يضيف سكربت تحليلات، وآخر ينشئ جدول سجلات، وثالث يربط أداة طرف ثالث، ولا أحد من البشر راجع يومًا تبعات كل ذلك على الخصوصية.

هذا هو السبب نفسه الذي يجعل السياق والاتساق صعبين على نطاق واسع، وهو موضوع نعود إليه باستمرار سواء كان الحديث عن تشغيل وكلاء البرمجة بالتوازي أو البرمجة بالحدس دون أن تغرق. والحل واحدٌ في جوهره: اجعل المعيار جزءًا من الإعداد المشترك بدل أن يكون شيئًا تتذكّر التحقق منه في النهاية.

في AgentsRoom، قمرة القيادة متعددة الوكلاء، المهارات والقواعد التي تضبطها مرة واحدة تنطبق على كل وكيل في الغرفة، عبر Claude Code وCodex وبقية المزوّدين الذين تقودهم من مكان واحد. اربط تمريرة توافق في سير عملك مرة واحدة فيرثها كل وكيل، بدل أن تأمل أن يتذكّر كلٌّ منهم باستقلال قاعدة لم يدرّبه عليها أحد. الانضباط الذي يبقي جلسة واحدة نظيفة هو ذاته ما يبقي أسطولًا بأكمله بعيدًا عن المتاعب الرقابية.

قائمة تحقّق عملية لتوافق المواقع المبنية بالذكاء الاصطناعي

قبل أن تعتبر أي موقع مبني بالذكاء الاصطناعي منجزًا، اعرضه على هذه القائمة. معظمها سيلتقطه الماسح، لكن معرفة ما تبحث عنه تجعل التقرير قابلًا للقراءة:

  • لا ينطلق أي كوكي أو أداة تتبّع غير ضرورية قبل موافقة المستخدم.
  • لكل مخزن للبيانات الشخصية مدة احتفاظ محدّدة وآلية حذف.
  • يستطيع المستخدمون طلب نسخة من بياناتهم وتلقّيها.
  • يستطيع المستخدمون حذف حساباتهم ومحو بياناتهم.
  • إشعار خصوصية يوضّح ما تجمعه ولماذا وعلى أي أساس قانوني.
  • لسكربتات الأطراف الثالثة ونقل البيانات خارج الاتحاد الأوروبي آلية مشروعة.
  • بإمكانك إنتاج سجل بأنشطة معالجتك إذا طُلب منك ذلك.

إذا لم تستطع وضع علامة في كل خانة، فإن موقعك المبني بالذكاء الاصطناعي يحمل مخاطر GDPR، وشكوى واحدة كافية لإظهارها.

الخلاصة

البرمجة بالحدس سريعة فعلًا، وهذه السرعة هي الفخ. يملأ الوكيل كل ما تراه ويتخطّى كل ما لا تراه، وهناك بالضبط تكمن متطلبات GDPR. كوكيز قبل الموافقة، بيانات محفوظة إلى الأبد، لا سبيل لحذفها: هذه ليست حالات حدّية غريبة، بل هي المخرجات الافتراضية لكل وكيل برمجة، وهي الإخفاقات نفسها التي غرّمت عليها الجهات الرقابية بمئات الملايين من اليوروهات في عام 2025.

الحل ليس التوقف عن استخدام الوكلاء، بل إضافة التمريرة الناقصة. شغّل مهارة scanning-for-gdpr-compliance المجانية على مشروعك، دعها تصنّف وتُصلح الخروقات الواضحة، ثم اعهد بما تبقّى إلى مراجعة بشرية. بضع دقائق من الفحص أرخص بكثير من اكتشاف الثغرة عبر رسالة من جهة رقابية.

تبني بأكثر من وكيل؟ نزّل AgentsRoom لتقود Claude Code وCodex وغيرهما من قمرة قيادة واحدة، وشاهد ما يدعمه كلٌّ منها في مصفوفة توافق المزوّدين، واقرأ كيف تحافظ على سرعتك في البرمجة بالحدس دون أن تغرق.

تحميل AgentsRoom

شغّل وكلاء Claude على جميع مشاريعك من نافذة واحدة.

مجانيتحميل AgentsRoom

التطبيق المرافق: تابع وكلاءك أينما كنت

حمّل من
App Store
احصل عليه من
Google Play

استخدم Claude أو Codex أو Antigravity CLI أو أي مزود AI آخر.

تثبيت الملحق
Chrome Web Store

أرسل الأخطاء والطلبات مباشرة إلى قائمة المهام العامة.

لمحة عن AgentsRoom أثناء العمل.

مشاريع متعددة
متعدد المزوّدين
وكلاء متعددون
حالة مباشرة
فرق الملفات والإيداع
تطبيق الهاتف
معاينة مباشرة
فرق الوكلاء
أتمتة المتصفح
تطوير موجّه بالـ backlog
مكتبة البرومبت
مكتبة المهارات
عرض جميع الميزات