يتجاوز طلاب المدارس اليوم، من الروضة وحتى الصف الثاني عشر، فلاتر الإنترنت باستخدام صفحات بروكسي مستضافة على بنى تحتية موثوقة مثل AWS S3 وGoogle Sites، ومواقع "تعليمية" وهمية مُولّدة بالذكاء الاصطناعي، وصفحات تجميع الألعاب، وخدمات تجاوز مدفوعة تُباع عبر Discord، وقوائم يوتيوب مُنسّقة تضم عناوين URL بروكسي فعّالة. لم يعد تصنيف عناوين URL وحده كافيًا لمواجهة هذه التهديدات، فالحماية الفعّالة تتطلب كشفًا سلوكيًا على الجهاز نفسه، يفحص كيفية تفاعل الصفحة داخل المتصفح.
إذا كنت مسؤولاً عن قسم تكنولوجيا المعلومات في منطقة تعليمية من الروضة وحتى الصف الثاني عشر، فأنت تعلم بالفعل أن نظام الفرز الذي وضعته قبل خمس سنوات أصبح متجاوزاً. ندوة Lightspeed الإلكترونية الأخيرة بعنوان "إيقاف تجاوز الطلاب"،, كشفت محادثة مباشرة مع الحضور عن الأساليب المستخدمة حاليًا في المدارس، وهو ما يتوافق مع نتائج نظام Lightspeed للكشف عن الجرائم الإلكترونية (telemetry). يشرح هذا المقال كل أسلوب بالتفصيل، ويوضح آلية عمله، ويقدم حلولًا للتعامل معه.
لماذا أصبح تجاوز الطلاب الآن مشكلة أمن سيبراني، وليس مجرد تشتيت انتباه؟
كان مصطلح "التجاوز" يُستخدم سابقاً للإشارة إلى طالب يجد طريقة للعب ألعاب الرياضيات الرائعة أثناء الحصة. أما في عام 2026، فقد أصبح له معنى أكثر جدية.
تقريبا طالب واحد من كل ثلاثة طلاب حاول بعض الطلاب تجاوز نظام الحماية الخاص بمدارسهم. وبمجرد نجاحهم في ذلك، يفقد قسم تقنية المعلومات القدرة على مراقبة ما يتعرضون له، وهذه الثغرة الأمنية هي التي تسمح بتسلل برامج الفدية، وعمليات التصيد الاحتيالي، وتسريب بيانات الطلاب. وقد أصبحت المدارس (من الروضة وحتى الصف الثاني عشر) هدفًا متعمدًا للمجرمين الإلكترونيين نظرًا لحقيقة المبالغ المدفوعة: إذ تشير تقارير حديثة في هذا المجال إلى دفع مبالغ طائلة مقابل برامج الفدية، تصل إلى ملايين الدولارات، مرتبطة بحوادث استهدفت مناطق تعليمية.
رصد نظام الكشف الفوري (RTD) الخاص بشركة Lightspeed، telemetry، مجموعة من المواقع التي تحاول تجاوز الحماية، أحدها يُدعى Fern، حيث يؤدي النقر الأول في أي مكان على الصفحة إلى فتح علامة تبويب جديدة لموقع برمجيات خبيثة معروف، مُتنكرًا في صورة برنامج VPN. ظن الطلاب أنهم يتجاوزون نظام الحماية، لكنهم في الواقع كانوا ضحايا لعملية تصيد احتيالي.
النقطة الأساسية: كل طريق جانبي هو بمثابة رمية نرد لمعرفة ما يكمن خلفه فعلاً.
أكثر طرق التجاوز شيوعًا التي تشهدها تقنية المعلومات في المدارس من الروضة وحتى الصف الثاني عشر حاليًا
تم استخلاص هذه البيانات مباشرة مما أشار إليه الحضور في الندوة عبر الإنترنت في الدردشة وما وصفه مهندسو Lightspeed من بيانات الكشف الخاصة بهم.
1. صفحات بروكسي مستضافة على AWS S3
أشار الحضور إلى مواقع بروكسي مثل s3.amazonaws.com/bullmath/index.html و s3.amazonaws.com/vcsamath/index.html تظهر في تقارير الكشف الفوري الخاصة بهم المصنفة ضمن فئة التعليم. لأن عنوان URL يقع ضمن s3.amazonaws.com، فإنه يرث سمعة AWS الموثوقة — وحظر النطاق الرئيسي ليس خياراً حقيقياً.
كيفية إيقاف ذلك: الكشف القائم على السلوك على الجهاز والذي يفحص الصفحة المعروضة (متغيرات جافا سكريبت، وتوقيعات المكتبة، وأنماط استدعاء الشبكة) بدلاً من مجرد عنوان URL.
2. مواقع جوجل المزودة بخوادم بروكسي مدمجة في المتصفح
يقوم الطلاب بإنشاء موقع جوجل، وتضمين إطار عمل بروكسي، والوصول إليه عبر عنوان URL "موثوق" من جوجل. لا يمكن حظر النطاق الرئيسي sites.google.com دون تعطيل الاستخدام المشروع داخل الفصل الدراسي.
كيفية إيقاف ذلك: كما سبق ذكره، يتم إجراء فحص سلوكي على الجهاز. يمكن لملحق مساعد رؤية نموذج كائن المستند (DOM) وما يتم تنفيذه، وليس فقط عنوان URL.
3. مستندات جوجل والمواقع التي تحتوي على مقاطع فيديو وألعاب مضمنة
أشار العديد من الحضور إلى هذه المشكلة باعتبارها معركتهم الدائمة: مستندات جوجل أو مواقع الويب التي تحتوي على فيديوهات يوتيوب مضمنة أو ألعاب HTML5. يرى النظام مستند جوجل، بينما يرى الطالب بوابة ترفيهية.
كيفية إيقاف ذلك: مسح على مستوى الصفحة يتعرف على أنماط المحتوى المضمنة - عناصر اللوحة القماشية التابعة لجهات خارجية، وإطارات الفيديو، وتخطيطات البلاط - حتى عندما يبدو عنوان URL الرئيسي نظيفًا.
4. مواقع "تعليمية" مزيفة مُولّدة بواسطة الذكاء الاصطناعي
يستخدم الطلاب الذكاء الاصطناعي التوليدي لإنشاء موقع تعليمي يبدو مقنعاً في دقائق. ينتظرون حتى يصنفه الفلتر على أنه تعليمي. ثم يستبدلون المحتوى بخادم وسيط أو مُجمِّع ألعاب - مخفي أحياناً خلف اختصار لوحة مفاتيح يُبدِّل بين العرض الآمن والعرض الحقيقي.
كيفية إيقاف ذلك: إعادة المسح على مستوى الجهاز مع تغير الصفحة. تعامل مع التصنيف كإشارة واحدة، وليس كحكم نهائي.
5. أطر عمل بروكسي مفتوحة المصدر من جيت هاب
تُعدّ أُطر العمل مثل Ultraviolet وScramjet من أفضل نتائج البحث على GitHub، ويمكن نشرها في دقائق باستخدام واجهات برمجة التطبيقات (APIs) والأتمتة. لا يحتاج الطالب المُتحمّس إلى كتابة سطر واحد من التعليمات البرمجية.
كيفية إيقاف ذلك: الكشف عن توقيعات مكتبات الإطار نفسها - بصمات JavaScript متسقة بما يكفي للإشارة حتى عند تغليفها أو إعادة تسميتها.
6. مواقع تجميع البلاطات للألعاب (نيبولا، إنترز1 تي بي 3 تيلار، والبناءات المخصصة)
لا يقتصر كل تجاوز للحدود على الوصول إلى الإنترنت المفتوح. فجزء متزايد من أنشطة تجاوز الحدود التي يقوم بها الطلاب يتمثل ببساطة في شراء أو استضافة موقع جوجل عبارة عن شبكة من مربعات الألعاب - ومن بين الأطر المعروفة Nebula و Interstellar، بالإضافة إلى العديد من الإصدارات المخصصة.
كيفية إيقاف ذلك: يتضمن Lightspeed RTD مفتاح تبديل "تضمين مُجمِّعات الألعاب" الذي يكتشف المُجمِّعات القائمة على البلاطات من خلال الهيكل والسلوك (أنماط لوحة HTML5، وسحب أصول الطرف الثالث، وأساليب تخطيط البلاطات)، وليس من خلال مطابقة عنوان URL.
7. خدمات تجاوز "الموقع عند الطلب" في ديسكورد
هتف الحضور خوادم ديسكورد تبيع مواقع تجاوز مخصصة حسب الطلب،, صُممت هذه الفلاتر خصيصاً للتحايل على برنامج Lightspeed والفلاتر المشابهة. لم يعد الأمر مجرد عبث أطفال، بل هو سوق خارجي يستهدف فلاتر المدارس.
كيفية إيقاف ذلك: الكشف القائم على السلوك والذي لا يعتمد على معرفة عنوان URL مسبقًا. المواقع المصممة خصيصًا لها عناوين URL فريدة ولكنها تعيد استخدام نفس مكتبات البروكسي أو إطار عمل اللعبة الأساسية.
8. فهرسة قنوات يوتيوب وخوادم البروكسي العاملة
شارك أحد الحضور قناة على يوتيوب (@VCSAOfficial) تُفهرس مواقع البروكسي العاملة مع شروحات تفصيلية. تُتيح هذه الأدلة للطلاب قائمة مُحدثة باستمرار لما يعمل حاليًا في منطقتهم.
كيفية إيقاف ذلك: أرسل هذه الدلائل إلى فريق تصنيف المواقع التابع لمزود خدمة التصفية لديك. يقوم فريق المحتوى في Lightspeed بإعادة تصنيف المواقع التي تظهر من خلال RTD telemetry بشكل فعال، حيث يساهم تشغيل عملية الكشف في تعزيز الحماية المشتركة.
9. منشورات على ريديت وديسكورد توزع روابط تجاوز الحماية
تتشارك المنتديات الفرعية وقنوات ديسكورد المخصصة لمدارس أو مناطق تعليمية محددة روابط وحلول تجاوز فعّالة في الوقت الفعلي. وتتميز طبقة التوزيع بسرعة تفوق دورات تحديث معظم أنظمة التصفية.
كيفية إيقاف ذلك: يجمع هذا النظام بين الكشف الفوري على الجهاز وتحديثات التصنيف السريعة. إذ يرصد طبقة الكشف المتغيرات الجديدة بمجرد وصول الطالب إليها، حتى قبل معرفة عنوان URL.
10. مشاركة الممرات ومشاركة الأقران (بما في ذلك الوصول المدفوع)
يبيع الطلاب روابط تجاوز الشبكة العاملة لبعضهم البعض وجهاً لوجه. هذه هي أبسط طرق التوزيع وأكثرها صعوبة في الاختراق على مستوى الشبكة.
كيفية إيقاف ذلك: مرة أخرى، يتم الكشف عن الموقع على الجهاز. لا يهم من أين أتى عنوان URL، المهم هو ما تفعله الصفحة عند تحميلها.
11. منصات النطاق المشترك
تاريخياً، كان موقع Afraid.org المثال الأبرز. ولا يزال هذا النمط قائماً في خدمات نظام أسماء النطاقات الديناميكي وخدمات الاستضافة المشتركة الأحدث. أطلقت شركة Lightspeed فئة "النطاقات المشتركة" لمعالجة هذه المشكلة، لكن الضغط انتقل الآن إلى AWS وGoogle Sites ومضيفين موثوقين مماثلين.
كيفية إيقاف ذلك: تحديد منصات المشاركة المعروفة وحظرها، والكشف عن سلوك البروكسي داخل المحتوى المشترك.
12. برامج خبيثة تظهر على شكل نوافذ منبثقة متخفية في هيئة شبكات VPN
مجموعة برامج Fern المذكورة أعلاه. يعتقد الطلاب أنهم يقومون بتنزيل برنامج VPN لتجاوز الفلتر؛ لكنهم في الواقع يقومون بتثبيت برامج ضارة مصنفة كتهديد إلكتروني معروف.
كيفية إيقاف ذلك: يتم الحظر عند لحظة إعادة التوجيه، وليس عند لحظة التنزيل. يكشف الفحص الفوري نمط سلوك النوافذ المنبثقة نفسه.
لماذا لا يكفي تصنيف عناوين المواقع الإلكترونية وحده بحلول عام 2026؟
لا يزال التصنيف أساسيًا - تعتمد عليه شركة Lightspeed وكل مورد مرشحات جاد. لكن له حدودًا هيكلية في هذا المجال:
- الصفحات المستضافة ضمن نطاقات رئيسية موثوقة (AWS، Google، Microsoft) ترث سمعة لا تستحقها.
- يُمكّن الذكاء الاصطناعي الطلاب من إنشاء مواقع تصنيف مزيفة مقنعة بشكل أسرع من قدرة المراجعة البشرية على اكتشافها.
- “تُفشل تكتيكات "الانتظار والتبديل" التصنيف في لحظة زمنية محددة.
- لا يُظهر لك عنوان URL ما هو كود جافا سكريبت الذي يتم تشغيله في الخلفية.
الحل ليس التخلي عن التصنيف - بل إضافة طبقة مراقبة حية في الأعلى تراقب ما يحدث فعليًا على الصفحة.
ما الذي تفحصه تقنية الكشف القائمة على السلوك والمثبتة على الجهاز فعلياً؟
هذا هو الجزء الأكثر أهمية لفرق تكنولوجيا المعلومات في المدارس (من الروضة وحتى الصف الثاني عشر) عند تقييم بنيتها التحتية. يمكن لخاصية الكشف عن تجاوز الحماية في الوقت الفعلي، والتي تعمل كإضافة للمتصفح، فحص ما يلي:
- متغيرات جافا سكريبت وتوقيعات المكتبات: أطر عمل بصمات الأصابع مثل Ultraviolet و Scramjet و Nebula و Interstellar حتى عند إخفائها.
- بنية DOM وأنماط العرض: تخطيطات البلاط، وعناصر اللوحة القماشية المضمنة، وإطارات iframe التابعة لجهات خارجية.
- سلوك الصفحة بمرور الوقت: إعادة المسح بشكل متقطع مع تغير الصفحة حتى لا تفلت تكتيكات "الانتظار والتبديل".
- أنماط مكالمات الشبكة: الكشف عن المكالمات الصادرة المميزة لخادم وكيل قيد التشغيل.
- يتم فتح نافذة فارغة حول الموضوع: تقنية تجاوز شائعة تفشل فيها المرشحات القائمة على التوقيعات.
لأنه يعمل على الجهاز، فإنه يعمل سواء كان الطالب متصلاً بشبكة المدرسة، أو في المنزل، أو على شبكة الواي فاي الخاصة بمقهى.
نقطة العمى خارج الشبكة
يُعدّ جهاز واحد لكل مستخدم، ينتقل إلى المنزل، ثم يُخترق، ثم يعود، أحد أكثر الطرق شيوعًا لدخول التهديدات إلى المدارس. تعمل برامج الحماية المثبتة على الأجهزة على سدّ هذه الثغرة، لأنّ عمليات التصفية والكشف تتبع الجهاز، لا الشبكة. إذا كانت حمايتك تقتصر على جدار الحماية فقط، فإنّ دفاعاتك تضعف في كل مرة يغادر فيها جهازٌ ما حرم المدرسة.
استخدام أدوات الذكاء الاصطناعي: أحدث فجوة في الرؤية
يستخدم الطلاب والموظفون برامج ChatGPT وGemini وCopilot سواءً حددت سياسةً لاستخدامها أم لا. ولن تُقدّم لك شركات الذكاء الاصطناعي سجلاً تفصيلياً لما يُطلب منها، فهذا قرارٌ مُتعمّدٌ من جانبها لتجنّب المسؤولية القانونية، وليس قيداً تقنياً.
هذا يعني أن الرؤية يجب أن تأتي من المتصفح. يسجل برنامج AI Prompt Capture (المتوفر حاليًا في مرحلة الوصول المبكر على Lightspeed) المطالبات والاستجابات عبر ChatGPT وGemini وCopilot باستخدام نفس الإضافة المساعدة المستخدمة لكشف التحايل. إنها المرة الأولى التي ستتمكن فيها معظم فرق تكنولوجيا المعلومات في المدارس من رؤية ما يقوم موظفوها وطلابها بلصقه فعليًا في أدوات الذكاء الاصطناعي، بما في ذلك بيانات الطلاب الحساسة التي قد يقوم الموظفون المتسرعون بلصقها أحيانًا دون تفكير.
نقطة العمى خارج الشبكة
تسلسل تنفيذ عملي يناسب معظم المناطق:
- قم بنشر ملحق المساعدة إلى متصفحي Chrome و Edge في بيئتك المُدارة.
- قم بتمكين خاصية الكشف عن التجاوز في الوقت الفعلي في وضع المراقبة فقط. دعها تراقب لمدة أسبوعين على الأقل. سترى ما يتسلل فعلاً دون أن يسبب إزعاجاً لأحد.
- راجع التقرير. يشكل جزء كبير مما يكشفه نظام RTD في المرحلة الأولى حركة مرور مشروعة تبدو مشابهة لسلوك التجاوز. الأسابيع الأولى مخصصة للمعايرة، وليست للتنفيذ.
- قم بتشغيل خاصية الحظر التلقائي بشكل انتقائي. ابدأ بالفئات التي تكون فيها النتائج الإيجابية الخاطئة أقل إزعاجاً.
- أضف خاصية التقاط الرسائل الفورية بالذكاء الاصطناعي لكل سياسة حتى تتمكن من رؤية كيفية استخدام الذكاء الاصطناعي قبل كتابة سياسة الذكاء الاصطناعي.
الخلاصة بالنسبة لتكنولوجيا المعلومات في التعليم الأساسي والثانوي
تجاوز الطلاب لأنظمة الحماية في عام 2026 أسرع وأكثر تطوراً وأخطر من الطرق التي صُممت معظم برامج التصفية لكشفها. والخبر السار هو أن تقنيات الكشف قد تطورت. فإضافة مسح سلوكي على الجهاز إلى نظام التصنيف الحالي يسد الثغرات التي تستغلها خوادم البروكسي المستضافة على AWS، والمواقع المبنية على الذكاء الاصطناعي، ومجمعات الألعاب، ويمنحك رؤية واضحة لاستخدام الذكاء الاصطناعي لا يوفرها مزودو هذه التقنية أنفسهم.
إذا كنت من عملاء Lightspeed، فإن ميزتي الكشف عن التجاوز في الوقت الفعلي والتقاط الرسائل النصية بالذكاء الاصطناعي متاحتان اليوم في مرحلة الوصول المبكر. تواصل مع مهندس الحلول الخاص بك لإضافتك إلى هذه الميزة، أو أجب على هذا المنشور وسنساعدك في تحديد جهة الاتصال المناسبة.
الأسئلة الشائعة
ما هي الطريقة الأكثر شيوعاً التي يتجاوز بها الطلاب مرشحات الإنترنت المدرسية؟
حالياً، أكثر الطرق شيوعاً هي صفحات البروكسي المستضافة على بنية تحتية موثوقة (AWS S3، مواقع جوجل)، ومواقع التعليم المزيفة التي يتم إنشاؤها بواسطة الذكاء الاصطناعي والتي تقوم بتبديل المحتوى بعد التصنيف، ومواقع تجميع الألعاب الموزعة عبر أدلة ديسكورد ويوتيوب.
هل لا يزال بإمكان الطلاب استخدام الشبكات الافتراضية الخاصة (VPN) لتجاوز مرشحات المدرسة؟
يفعل البعض ذلك، لكنّ القلق الأكبر يكمن في أن العديد من "تنزيلات VPN" المُعلَن عنها في مواقع تجاوز الحماية هي في الواقع برامج ضارة. وقد رصدت شركة Lightspeed's RTD telemetry مجموعات من مواقع تجاوز الحماية التي تُعيد التوجيه إلى برامج ضارة معروفة مُتنكرة في هيئة أدوات VPN.
لماذا لا تستطيع أقسام تكنولوجيا المعلومات في المدارس الابتدائية والثانوية حظر خدمات AWS أو مواقع جوجل؟
كلاهما ضروري للاستخدام المشروع في الفصول الدراسية، وحجبهما يعيق العملية التعليمية. والنهج الأمثل هو الكشف السلوكي على الجهاز نفسه، والذي يُحدد صفحات البروكسي أو مُجمّع الألعاب المُحددة دون المساس بالنطاق الرئيسي.
كيف يمكن إيقاف مواقع التعليم المزيفة التي يتم إنشاؤها بواسطة الذكاء الاصطناعي؟
مسح فوري على الجهاز يُعيد فحص الصفحات مع تغير المحتوى. يبقى التصنيف ذا قيمة، لكن يجب أن يقترن بطبقة مراقبة مباشرة لا تثق في التصنيف بشكل دائم.
هل يؤدي اكتشاف تجاوز الحماية على الجهاز إلى إبطاء أجهزة Chromebook الخاصة بالطلاب؟
صممت شركة Lightspeed نظام الكشف الخاص بها واختبرته على أجهزة Chromebook من عام 2019 تحديدًا لضمان عدم وجود أي تأثير ملحوظ على الأداء. يستخدم مكون تمويه الصورة نموذج MobileNet مُدمجًا في الجهاز ومُحسَّنًا للأجهزة ذات المواصفات المنخفضة.
كيف يمكن للمدارس الحصول على معلومات حول استخدام الطلاب للذكاء الاصطناعي؟
لا توفر شركات الذكاء الاصطناعي حاليًا سجلات تدقيق. وتُعد خاصية التقاط الرسائل النصية عبر المتصفح (مثل أداة Lightspeed's AI Prompt Capture) الطريقة الوحيدة حاليًا لمعرفة ما يسأله الطلاب والموظفون لبرامج ChatGPT وGemini وCopilot.
هل تعلم كيف يتجاوز الطلاب نظام الفرز الخاص بك؟
ابدأ تجربة الكشف الصامت لمدة 14 يومًا واحصل على صورة كاملة لأنشطة التجاوز في جميع أنحاء منطقتك — لا انقطاع، ولا حاجة لأي إعدادات، ولا التزام.
