AI कोडिंग एजेंट को, सर्वर पर वास्तविक काम सौंपना। स्कीमा रूपांतरित कराना, सत्यापन परिवेश बनवाना, टेस्ट चलवाना — ऐसा उपयोग व्यावहारिक होने लगा है। तब स्वाभाविक रूप से, यह आशंका उठती है। "अगर AI ने वह ऑपरेशन कर दिया जो नहीं करना चाहिए, तो?"

श्रृंखला के मुख्य भाग में, Oracle से SQL Server की माइग्रेशन प्रीप्रोसेसिंग को, वास्तविक डेटा साझा किए बिना AI एजेंट (Claude Code) से स्वचालित करने की प्रैक्टिस की रिपोर्ट दी थी। यह लेख उसमें घटी, अनियोजित घटना को संभालता है। कार्य के दौरान, AI एजेंट-पक्ष के सुरक्षा-तंत्र (गार्डरेल) ने, AI के अपने ऑपरेशन को निष्पादन से पहले 2 बार ब्लॉक किया।

ध्यान दें, यह लेख इन 2 घटनाओं को "गवर्नेंस के दृष्टिकोण" से गहराई में देखने वाला है। इनके घटने वाले कार्य का तकनीकी पर्दे-के-पीछे (SSH गैर-संवादात्मकता, वर्ण-कोड, PowerShell/T-SQL के जोड़ों पर खाई गई 10 अड़चनें) को तकनीकी विशेषांक "AI एजेंट को Windows की वास्तविक मशीन पर काम सौंपकर खाई गई 10 अड़चनें" में अलग किया गया है।

यह एक नज़र में "AI कहना नहीं मानता" वाली समस्या लगती है। पर पलटकर देखें तो, गवर्नेंस पर विचार करने के लिहाज़ से यह संकेतपूर्ण घटना थी। दोनों पहलुओं से, यथासंभव ईमानदारी से लिखता हूँ। पहले ही स्पष्ट कर दूँ कि यहाँ जो सक्रिय हुआ वह किसी विशिष्ट AI एजेंट-कार्यान्वयन में निहित सुरक्षा-निर्णय है, और अन्य टूल·मॉडल·संस्करण में वही ऑपरेशन रुकेगा, इसकी कोई गारंटी नहीं (यह गैर-निर्धारणात्मकता अध्याय 4 में विस्तार से)।

इस लेख में संभाला गया कार्य-लक्ष्य, इंटरनेट पर अप्रकाशित कंपनी का सत्यापन-समर्पित परिवेश है। प्रोडक्शन सिस्टम या ग्राहक परिवेश शामिल नहीं।

1. दो बार, रोका गया #

कार्य आगे बढ़ा रहा AI एजेंट था। मानव (हम) नीति अनुमोदित करने और समीक्षा करने वाले पक्ष में था। उस AI ने, दक्षता को प्राथमिकता देकर जो चाल चलनी चाही, वह दोनों ही बार निष्पादन से पहले अस्वीकृत हो गई।

उदाहरण 1: सुरक्षा-सेटिंग को कमज़ोर करने वाला निष्पादन-तरीका #

परिवेश-जाँच के लिए, AI ने जाँच-स्क्रिप्ट को एक्ज़ीक्यूशन-पॉलिसी को अस्थायी रूप से कमज़ोर करने वाले तरीके (PowerShell में -ExecutionPolicy Bypass के समतुल्य) से चलाने का प्रयास किया। भले ही पढ़ने का उद्देश्य हो, यह सुरक्षा-तंत्र को दरकिनार करने वाला ऑपरेशन है।

यहाँ गार्डरेल ने "सुरक्षा को कमज़ोर करने वाला ऑपरेशन" मानकर अस्वीकार किया। AI ने चकमा देने का रास्ता ढूँढने के बजाय, मूलतः कमज़ोर करने की ज़रूरत ही नहीं थी — इसका एहसास किया। लक्ष्य परिवेश की डिफ़ॉल्ट सेटिंग (RemoteSigned) में ही स्क्रिप्ट निष्पादित हो सकती थी, और पॉलिसी छूने का कोई कारण नहीं था। नतीजतन, अधिक सुरक्षित तरीके पर स्विच करके आगे बढ़ा।

उदाहरण 2: प्रमाणीकरण-जानकारी को फ़ाइल में लिखना #

उत्पाद-इंस्टॉलेशन के स्वचालन में, AI ने शुरुआत में SQL Server को मिश्रित-मोड प्रमाणीकरण (sa अकाउंट उपयोग करने वाला तरीका) से डालने का प्रयास किया, और उस sa के पासवर्ड को स्क्रिप्ट-फ़ाइल में सीधे लिखकर ट्रांसफ़र करने का प्रयास किया।

यहाँ भी गार्डरेल ने "प्रमाणीकरण-जानकारी का रिसाव" मानकर अस्वीकार किया। यह कार्य शुरू करने से पहले मानव द्वारा तय किए गए सिद्धांत "क्रेडेंशियल को कोड/फ़ाइल में स्थायी न रखें" के सीधे विरुद्ध ऑपरेशन था। AI ने नीति बदलकर, मिश्रित-मोड छोड़ दिया और केवल Windows एकीकृत प्रमाणीकरण वाली संरचना (sa और उसका पासवर्ड दोनों न बनाएँ) पर स्विच किया। परिणामस्वरूप, परिणाम-वस्तु/स्क्रिप्ट/लॉग में कहीं भी गुप्त जानकारी न बचने वाली संरचना तक पहुँचा।

दोनों में समान यह है कि दोनों निष्पादन से पहले रुके, और रोके जाने के बाद, अधिक सुरक्षित संरचना की ओर आगे बढ़े।

2. इसे "प्रहरी" क्यों कहा जा सकता है #

ध्यान देने योग्य यह है कि 2 बार की ब्लॉकिंग मानव-पक्ष द्वारा शुरुआत में स्थिर किए गए सिद्धांतों से मेल खाती थी।

उदाहरण 2 तो "क्रेडेंशियल को स्थायी न रखें" वाला स्पष्ट सिद्धांत ही था। उदाहरण 1 भी "सुरक्षा-तंत्र को बेवजह कमज़ोर न करें" वाली, बिना लिखे भी पूर्वधारणा बनी रेखा थी।

यानी गार्डरेल, कार्य में बाधा डालने वाली रुकावट के रूप में नहीं, बल्कि मानव द्वारा तय डिज़ाइन-सिद्धांत के "प्रहरी" के रूप में काम कर गया। और केवल रोकने भर से नहीं, बल्कि रोके जाने के कारण ही संरचना सुरक्षित-पक्ष की ओर झुक गई। "गुप्त जानकारी को मूलतः बनाते ही नहीं" वाले, शुरुआत में न चुने गए अधिक मज़बूत डिज़ाइन पर, अंततः पहुँचा।

3. एक और पाठ — वही घटना "AI ने जोखिम भरा प्रस्ताव दिया" का प्रमाण है #

यहाँ रुक जाएँ तो यह AI-गार्डरेल की प्रशस्ति वाला लेख बन जाता है। ईमानदारी से पलटता हूँ।

2 बार ब्लॉक होने का अर्थ है कि सिद्धांत को शुरुआत में पढ़ा रखने के बावजूद भी, AI ने सिद्धांत के विरुद्ध ऑपरेशन 2 बार आज़माया।

इसे व्यक्तिगत सेटिंग-गलती नहीं, बल्कि वर्तमान AI-सौंपने में अंतर्निहित गुण मानना चाहिए। AI एजेंट (मॉडल चाहे जो हो) दक्षता को प्राथमिकता देकर सिद्धांत के विरुद्ध चाल प्रस्तावित कर सकता है। इसीलिए परत 1 (पूर्व-सिद्धांत) में रेखा खींचें, और परत 3 (गार्डरेल) में चूक के लिए तैयारी रखें — ऐसा डिज़ाइन रखें। इस बार उसी डिज़ाइन के अनुसार, विचलन का प्रयास निष्पादन से पहले पकड़ा गया। फिर भी, यदि गार्डरेल न होता, या किसी अन्य मॉडल·अन्य संस्करण में निर्णय भिन्न होता, तो वह ऑपरेशन जस का तस निष्पादित हो गया होता।

यह द्वि-पक्षीयता, किसी एक पक्ष को ही देखें तो निर्णय भटका देती है।

• केवल आशावादी पक्ष देखना: "सुरक्षा-तंत्र है, इसलिए AI को सौंपकर चिंता नहीं" → गार्डरेल की चूक के प्रति असुरक्षित हो जाते हैं
• केवल निराशावादी पक्ष देखना: "AI खतरनाक ऑपरेशन आज़माता है, बेकार है" → उचित रूप से घेरने पर उपयोगी उपकरण को हाथ से जाने देते हैं

परिपक्व दृष्टि है, दोनों को एक साथ रखना। AI दक्षता को प्राथमिकता देकर जोखिम भरी चाल प्रस्तावित कर सकता है। इसलिए घेरा चाहिए। उस घेरे की आखिरी परत के रूप में गार्डरेल प्रभावी तो है, पर केवल उस पर निर्भर नहीं रहा जा सकता।

4. इसीलिए "अकेली निर्भरता" संभव नहीं — निर्णय मॉडल पर निर्भर करता है #

निर्णायक बात यह है कि गार्डरेल का निर्णय गैर-निर्धारणात्मक है और मॉडल/संस्करण पर निर्भर करता है। इस बार ब्लॉक हुआ ऑपरेशन, सेटिंग या संस्करण भिन्न होने पर पास हो सकता है। उलटे, खतरनाक न होने वाला ऑपरेशन अत्यधिक रूप से रुक भी सकता है।

सुरक्षा की दुनिया में यह स्वाभाविक सिद्धांत है — एकल रक्षा-परत को नियंत्रण न सौंपें। गार्डरेल "हो तो मनोबल बढ़ाने वाला आखिरी किला" है, "वह है इसलिए बाकी की ज़रूरत नहीं" वाला आधार नहीं।

तो फिर किस पर निर्भर रहें? इस प्रैक्टिस से जो निकाला जा सका, वह गार्डरेल को परत 3 में रखने वाली त्रि-स्तरीय संरचना थी।

5. त्रि-स्तरीय नियंत्रण — गार्डरेल आखिरी किला है, आधार नहीं #

1. परत 1: पूर्व-सिद्धांत — "साझा कर सकने योग्य जानकारी / न साझा करने योग्य जानकारी", "करने योग्य ऑपरेशन / न करने योग्य ऑपरेशन" को, कार्य शुरू करने से पहले AI को पहले निर्देश के रूप में स्थिर करें। इस बार का "क्रेडेंशियल को स्थायी न रखें" यहीं है। नियंत्रण का आधार, वेंडर का सुरक्षा-तंत्र नहीं, बल्कि हमारी अपनी पहले खींची रेखा है।
2. परत 2: मानवीय अनुमोदन-गेट — पूर्वधारणा टूटने वाले मोड़ या डिज़ाइन-निर्णय पर, AI विकल्पों की प्रस्तुति तक सीमित रहे, और मानव तय करे। इस बार भी, परिवेश शुरुआती अनुमान से भिन्न होने पर AI ने विकल्प निकाले और मानव ने नीति का निर्णय लिया।
3. परत 3: गार्डरेल — परत 1·2 को फिसलकर निकले खतरनाक ऑपरेशन को निष्पादन से पहले रोकने वाला आखिरी किला। इस बार यहाँ 2 बार सक्रिय हुआ।

क्रम महत्वपूर्ण है। परत 1 और परत 2 को स्वयं डिज़ाइन कर रखा हो, तो परत 3 "बीमा" के रूप में काम करती है। उलटे केवल परत 3 के भरोसे रहें, तो वह चूकते ही कुछ नहीं बचता।

6. सबसे कठिन है "जब गार्डरेल सक्रिय न हो" #

परत 3 पर निर्भर न रहें, यह कहना आसान है, पर व्यवहार का मर्म-स्थल यहीं है। जब रोक दे, तब स्पष्ट है। समस्या है, जब न रोके, तब कैसे पता चले।

इस कार्य में, AI के ऑपरेशन/निर्णय/सुरक्षा-तंत्र की सक्रियता को कालक्रमानुसार सब कुछ वर्क-लॉग में रिकॉर्ड किया। यह लॉग, सीधे AI-उपयोग का ऑडिट-ट्रेल बन जाता है। ग्रैन्युलैरिटी की छवि "〔समय〕〔ऑपरेशन-प्रकार: निष्पादन/अनुमोदन/ब्लॉक〕〔लक्ष्य: एक्ज़ीक्यूशन-पॉलिसी परिवर्तन〕〔परिणाम: गार्डरेल ने अस्वीकार किया〕" जितनी पर्याप्त है, और इससे बाद में दृष्टिकोण-वार स्कैन किया जा सकता है। मुख्य बात है, लॉग को "निहारने" के बजाय, दृष्टिकोण तय करके उत्तरवर्ती समीक्षा करना। कम से कम, निम्न 3 दृष्टिकोणों की जाँच मानव को करनी चाहिए, ऐसा मानता हूँ।

• प्रमाणीकरण: प्रमाणीकरण-जानकारी के जनरेशन/संग्रहण/हस्तांतरण से जुड़ा कोई ऑपरेशन तो नहीं था
• अधिकार: अधिकार-वृद्धि या सुरक्षा-तंत्र के परिवर्तन (एक्ज़ीक्यूशन-पॉलिसी, फ़ायरवॉल, एक्सेस-कंट्रोल) को तो नहीं छुआ
• बाहरी-प्रेषण: अप्रत्याशित गंतव्य को डेटा भेजने वाला कोई ऑपरेशन तो नहीं था

3 दृष्टिकोणों में से किसी में आने वाला ऑपरेशन लॉग में हो, तो उसके निष्पादन-परिणाम का सिद्धांत के विरुद्ध न होना मानव अवश्य पुष्टि करे, और विचलन हो तो सुधार और पुनरावृत्ति-रोकथाम (सिद्धांत में जोड़) तक करे। गार्डरेल, इस "मानव द्वारा बाद में पहचान और निपटान" वाली व्यवस्था के साथ मिलकर ही नियंत्रण के रूप में पूर्ण होता है। AI को काम सौंपें, तो सौंपकर छोड़ न देने वाला तंत्र, यानी रिकॉर्ड और दृष्टिकोण-निर्धारित उत्तरवर्ती समीक्षा को एक साथ तैयार रखना पूर्वधारणा है।

7. AI उपयोग नीति (AI गवर्नेंस) में उतारना #

अब तक की बातों को अपनी कंपनी के AI उपयोग दिशानिर्देश में उतारें, तो सिद्धांतों की सूची भर नहीं, बल्कि "कहाँ रखें, कौन·कब देखे" तक तय करना अहम है।

• रखने का स्थान: परत 1 के पूर्व-सिद्धांत को दस्तावेज़ के ताक पर न रखकर, AI को "पहला सिस्टम-प्रॉम्प्ट / प्रोजेक्ट-नियम" के रूप में कार्य के आरंभ में चिपकाएँ। स्टॉक-टेक हेतु दिशानिर्देश, और निष्पादन-समय प्रभावी नियम अलग चीज़ें हैं
• अनुमोदन-गेट: डिज़ाइन-निर्णय/पूर्वधारणा-परिवर्तन को AI की विकल्प-प्रस्तुति तक सीमित रखें, और मानव के निर्णय वाले मोड़ को पहले से परिभाषित करें
• रिकॉर्ड: AI के ऑपरेशन/निर्णय/सुरक्षा-तंत्र की सक्रियता/निष्क्रियता को रिकॉर्ड के दायरे में रखें
• समीक्षा-प्रभारी और आवृत्ति: प्रत्येक कार्य-सेशन की समाप्ति पर, गैर-प्रभारी 1 व्यक्ति वर्क-लॉग को "प्रमाणीकरण·अधिकार·बाहरी-प्रेषण" 3 दृष्टिकोणों से जाँचे, और संबंधित ऑपरेशन की मौजूदगी रिकॉर्ड में छोड़े
• पृथक्करण और न्यूनतम अधिकार: कार्य-परिवेश से प्रोडक्शन/ग्राहक-सिस्टम का मार्ग काटें, और AI को दिया अधिकार न्यूनतम रखें
• गैर-निर्धारणात्मकता की पूर्वधारणा: गार्डरेल का व्यवहार मॉडल/संस्करण से बदल सकता है — इस पूर्वधारणा पर डिज़ाइन करें (अकेली निर्भरता न रखें)

अनुच्छेद-शैली में उतारे गए "AI उपयोग दिशानिर्देश अनुच्छेद-उदाहरण" को, मुख्य भाग के परिशिष्ट B में 5 मदों के प्रारूप के रूप में रखा है। यह लेख उसमें, अध्याय 6 की "प्रहरी के चूकने पर भी पता चलने हेतु उत्तरवर्ती समीक्षा" को जोड़ने की स्थिति में है।

निष्कर्ष #

AI एजेंट ने अपने ऑपरेशन को "नहीं" कहा, वे 2 बार, अकेले-अकेले देखें तो "सुविधाजनक सुरक्षा-तंत्र काम कर गया" वाली घटना भर हैं। पर महत्वपूर्ण यह है कि उस सुरक्षा-तंत्र का अर्थ इसलिए बना क्योंकि वह मानव द्वारा पहले खींची रेखा से मेल खाता था, और वह रेखा हमें स्वयं खींचनी होगी।

गार्डरेल प्रहरी बन सकता है। पर तभी, जब नियोक्ता (पूर्व-सिद्धांत) और गश्त का तंत्र (रिकॉर्ड और उत्तरवर्ती समीक्षा) हो। AI को काम सौंपने के युग का नियंत्रण, न "बुद्धिमान AI पर भरोसा" है, न "खतरनाक है इसलिए उपयोग न करें", बल्कि घेरे को तीन परतों में डिज़ाइन करें और आखिरी किला चूकने पर भी पता चल सके — यह व्यवस्था रखें — इसी में सब कुछ सिमटा है, यह इस प्रैक्टिस ने सिखाया।