ما هي شبكة VPN التي لا تحتفظ بالسجلات (no-logs)؟ المزوّدون الخاضعون للتدقيق، والتقارير المستقلة، وكيفية تمييز الادعاء الحقيقي عن التسويق
شبكة VPN التي لا تحتفظ بالسجلات هي خدمة لا تسجّل حركة المرور ولا بيانات DNS ولا بيانات الاتصال الوصفية التي قد تحدّد هوية المستخدم. لا يكون لهذا الادعاء قيمة إلا إذا فحص مدقّق مستقل البنية التحتية الفعلية. إليك كيف تميّز الفرق.
ما الذي تعنيه عبارة "no-logs" فعليًا
شبكة VPN التي لا تحتفظ بالسجلات هي مزوّد يتعهّد بعدم تسجيل حركة المرور أو استعلامات DNS أو عناوين IP أو الطوابع الزمنية للاتصال التي يمكن تتبّعها إلى مستخدم بعينه. عبارة 'no-logs' نفسها ليس لها تعريف قانوني. كل صفحة رئيسية لشبكة VPN تستخدمها. ولا يصبح الادعاء ذا مغزى إلا عندما يفحص مدقّق مستقل أسطول الخوادم الفعلي وإعداداته — ويُنشَر التقرير. واعتبارًا من عام 2026، نشرت جميع شبكات VPN المدفوعة الكبرى الخمس التي نتناولها (Mullvad وProton VPN وNordVPN وExpressVPN وSurfshark) عمليات تدقيق مستقلة.
ما الذي تغطّيه عمليات التدقيق المنشورة فعليًا
أحدث عملية تدقيق لـ Mullvad أجرتها Cure53 خلال الفترة من 3 إلى 14 يونيو 2024 (التدقيق الرابع إجمالًا، والثاني مع Cure53). وهي عملية تدقيق للبنية التحتية تغطّي خادم OpenVPN واحدًا وخادم WireGuard واحدًا من أسطول Mullvad الإنتاجي. واجتازت Proton VPN أربع عمليات تدقيق متتالية لسياسة عدم الاحتفاظ بالسجلات من Securitum (2022 و2023 و2024 و2025). واجتازت NordVPN ست عمليات تدقيق مستقلة لعدم الاحتفاظ بالسجلات وفق معيار ISAE 3000: PwC 2018 وPwC 2020 وDeloitte 2022 و2023 و2024 و2025. ويُدرج مركز الثقة (Trust Center) الخاص بـ ExpressVPN 23 عملية تدقيق منشورة، أحدثها عملية تدقيق ثالثة لعدم الاحتفاظ بالسجلات من KPMG (2025) إلى جانب عمليات تدقيق من Cure53/Praetorian لإعادة كتابة بروتوكول Lightway بلغة Rust (سبتمبر-أكتوبر 2024). أما Surfshark فلديها عمليتا تدقيق لعدم الاحتفاظ بالسجلات من Deloitte لعامي 2023 و2025 وفق معيار ISAE 3000.
كيف يبدو ادعاء حقيقي لعدم الاحتفاظ بالسجلات
ثلاث إشارات تميّز ادعاءً حقيقيًا لعدم الاحتفاظ بالسجلات عن التسويق. أولًا: تقرير منشور من طرف ثالث — وليس منشور مدوّنة على هيئة بيان صحفي، بل ملف PDF قابل للتنزيل أو صفحة مركز ثقة تحمل اسم المدقّق وتاريخه. ثانيًا: نطاق تدقيق يشمل البنية التحتية (الإعدادات على مستوى الخادم) وليس تطبيق العميل فقط. ثالثًا: في الحالة المثالية، اختبار فعلي عبر أمر قضائي. فقد دُهمت مكاتب Mullvad في 18 أبريل 2023 من قبل الشرطة السويدية بموجب أمر تفتيش نابع من طلب مساعدة قانونية ألماني؛ ووثّقت Mullvad الحدث علنًا، وغادرت الشرطة دون أي بيانات للعملاء، لأن البيانات المطلوبة في الأمر لم تكن موجودة على الخوادم (وفقًا لمنشور مدوّنة Mullvad عن أمر التفتيش). أما PureVPN فقد سلّمت في عام 2017، في قضية الملاحقة الإلكترونية الخاصة بـ Ryan Lin، سجلات اتصال إلى مكتب التحقيقات الفيدرالي (FBI) — رغم تسويقها السابق لعبارة 'no-logs'. وتمثّل هذه القضية المثال المضاد النموذجي لادعاء تسويقي دُحض بفعل إكراه قانوني حقيقي.
الولاية القضائية أقل أهمية مما يحتفظ به المزوّد
يبالغ تسويق شبكات VPN في أهمية الولاية القضائية. فتحالفات الاستخبارات 5 / 9 / 14 Eyes (الولايات المتحدة والمملكة المتحدة وكندا وأستراليا ونيوزيلندا + الدنمارك وفرنسا وهولندا والنرويج + ألمانيا وبلجيكا وإيطاليا والسويد وإسبانيا) حقيقية، وأي شبكة VPN مسجّلة في السويد أو هولندا تقع ضمن نطاقها. لكن المزوّد الموجود في ولاية قضائية خارج Eyes والذي يحتفظ بسجلات الاتصال أسوأ من مزوّد لا يحتفظ بالسجلات في أي مكان كان. فكل من Mullvad (السويد، ضمن 14 Eyes) وProton VPN (سويسرا، خارج Eyes) خاضعتان للتدقيق؛ وتُظهر مداهمة Mullvad أن إعداد عدم الاحتفاظ بالسجلات أهم من علم على الخريطة.
كيف تقرأ تقرير تدقيق
افتح التقرير وانتبه إلى ثلاثة أمور. (1) النطاق — هل يصف التقرير ما فحصه المدقّق، بما في ذلك أي الخوادم وأي البروتوكولات وأي فترة زمنية؟ فالعبارات العامة مثل 'فُحصت السياسة' دون تفاصيل أضعف من 'فُحصت ملفات إعداد VPN وإعدادات الخوادم'. (2) المنهجية — تصف تقارير Securitum لـ Proton مراجعة للإعدادات في الموقع ومقابلات مع الموظفين؛ وتشير تقارير Deloitte لـ NordVPN إلى ISAE 3000 (المعيار الدولي لمهام التحقق)؛ وتصف تقارير Cure53 لـ Mullvad اختبارات أمنية بأسلوب الصندوق الأبيض على خوادم الإنتاج. (3) النتائج — كل عملية تدقيق تجد شيئًا ما. فقد وجدت عملية تدقيق Cure53 لـ Mullvad في يونيو 2024 مشكلتين (واحدة منخفضة وأخرى متوسطة)؛ ووجدت عملية تدقيق Praetorian لـ Lightway في 2024 مشكلتين منخفضتي الخطورة. وجود نتائج ليس أمرًا سيئًا — بل إن الغياب التام لأي نتائج سيكون مثيرًا للريبة. ما يهم هو درجة الخطورة والمعالجة.
ما الذي ينبغي تجاهله
تجاهل التصنيفات العامة لـ 'أكثر شبكة VPN خصوصية' التي لا تكشف منهجيتها. تجاهل المزوّدين الذين تكون 'عملية تدقيقهم' عبارة عن خطاب من شركة استشارية صغيرة لم تفحص الخوادم قط. تجاهل مواقع مقارنة VPN التي لا تربط التقرير الفعلي — فللتقرير تاريخ وجهة ناشرة؛ وإذا لم يربطه موقع ما، فالادعاء غير قابل للتحقق. تجاهل الولاية القضائية كإشارة أساسية. الإشارة الوحيدة الموثوقة هي نطاق التدقيق المنشور، وحيثما وُجد، تاريخ القضايا المتعلقة بالإكراه القانوني.
المصادر
تدقيق Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. مداهمة Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. عمليات تدقيق Proton: protonvpn.com/blog/no-logs-audit. عمليات تدقيق NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. مركز ثقة ExpressVPN: expressvpn.com/trust. تدقيق Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. قضية PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. تم الوصول إلى جميع الروابط بتاريخ 2026-04-30.