वह अंधा धब्बा जिसके बारे में कोई भी कार्यकारी अपनी AI रिपोर्ट में बात नहीं करता
कृत्रिम बुद्धिमत्ता को कॉर्पोरेट स्तर पर अपनाने की आधिकारिक तस्वीर बड़ी साफ-सुथरी दिखती है: स्वीकृत निवेश, पायलट परियोजनाएं चालू हैं, उत्पादकता मेट्रिक्स वाले डैशबोर्ड। लेकिन एक ऐसी परत है जिसे वे रिपोर्ट नहीं पकड़ पातीं, और यही वह जगह है जहां असली जोखिम जमा होता है।
गार्टनर का हाइप साइकिल आज जनरेटिव AI को "मोहभंग की घाटी" में रखता है — पाँच चरणों में से तीसरे चरण में, जहाँ अपेक्षाओं को ठोस परिणामों के सामने परखा जाने लगता है। यह हिसाब-किताब का क्षण है। और जो आंकड़े सामने आ रहे हैं, वे सहज नहीं हैं: MIT का एक अध्ययन जो तकनीकी हलकों में व्यापक रूप से प्रसारित हो रहा है, यह निष्कर्ष निकालता है कि कंपनियों में जनरेटिव AI के 95% पायलट विफल हो रहे हैं। वे नाटकीय रूप से नहीं डूब रहे, बल्कि बस किसी मापने योग्य परिणाम तक नहीं पहुँच रहे।
उस संख्या के पीछे जो छिपा है, वह स्वयं संख्या से कहीं अधिक दिलचस्प है। यह तकनीक की समस्या नहीं है। यह संगठनात्मक संरचना की समस्या है, दृश्यता की समस्या है और, मूल रूप से, इस बात की समस्या है कि कंपनियां किसी ऐसी चीज़ को कैसे प्रबंधित कर रही हैं जो उनके देखने की क्षमता से तेज़ गति से आगे बढ़ती है।
जब अपनाने की गति अवलोकन की क्षमता से आगे निकल जाती है
बड़े संगठनों में AI को अपनाने की प्रक्रिया दो समानांतर रास्तों पर चली है: ऊपर से नीचे की ओर कार्यकारी आदेश, और ऑपरेशनल टीमों से ऊपर की ओर उपकरणों का स्वत:स्फूर्त उपयोग। दोनों रास्ते बिना किसी साझा मानचित्र के आगे बढ़ रहे हैं।
परिणाम एक खंडित सूची है। विभिन्न व्यावसायिक इकाइयाँ समान कार्यों के लिए अलग-अलग उपकरणों का उपयोग करती हैं, निगरानी के स्तर सख्त नियंत्रण से लेकर पूर्ण अनौपचारिकता तक जाते हैं। यह कोई छोटी बात नहीं है। AI सिस्टम के साथ प्रत्येक इंटरैक्शन व्यवहार का एक रिकॉर्ड उत्पन्न करता है: उससे क्या पूछा गया, कौन से डेटा साझा किए गए, कौन से वर्कफ़्लो सक्रिय हुए। वह जानकारी मौजूद है, लेकिन अधिकांश मामलों में इसे व्यवस्थित रूप से न तो कैप्चर किया जाता है और न ही विश्लेषण किया जाता है।
समस्या यह नहीं है कि संगठन विकेंद्रीकृत तरीके से AI का उपयोग करते हैं। समस्या यह है कि नेता उस उपयोग के बारे में ऐसी मान्यताओं के आधार पर काम करते हैं जिनका कोई अनुभवजन्य आधार नहीं है। वे मानते हैं कि वे जानते हैं कि कौन से उपकरण सक्रिय हैं, उनसे कौन सा डेटा प्रवाहित होता है और किन परिस्थितियों में। व्यवहार में, वह ज्ञान आंशिक है और अक्सर पुराना हो चुका होता है।
ISACA अपने 2026 के जोखिम विश्लेषण में इसे सटीक रूप से वर्णित करता है: AI के कॉर्पोरेट जोखिम के केंद्र में एक अंधा धब्बा है, और यह मॉडलों की क्षमता की समस्या नहीं बल्कि उनके उपयोग पर नियंत्रण की समस्या है। नाजुकता इस बात में नहीं है कि मॉडल क्या गलत कर सकते हैं। यह इस बात में है कि संगठनों के पास यह जानने के लिए पर्याप्त दृश्यता नहीं है कि प्रत्येक इंटरैक्शन के स्तर पर क्या हो रहा है।
जब दृश्यता कम होती है, तो जोखिम एक साथ कई रूप लेता है। संवेदनशील डेटा का असंस्वीकृत उपकरणों के माध्यम से जोखिम होता है। ऐसे AI एजेंट होते हैं जिनकी पहुँच की कभी औपचारिक समीक्षा नहीं हुई। स्वचालित निर्णय होते हैं जिनका प्रारंभिक पायलट अनुमोदन के बाद किसी ने ऑडिट नहीं किया। और सबसे बढ़कर, एक बढ़ती खाई होती है — जो नेता अपनी AI पहलों के प्रदर्शन के बारे में ऊपर रिपोर्ट करते हैं और दैनिक परिचालन में वास्तव में क्या हो रहा है, उसके बीच।
सुरक्षा अनुसंधान उपयोग में आने वाले मॉडलों के बारे में क्या बताता है
अंधे धब्बों पर चर्चा का एक तकनीकी आयाम है जो आमतौर पर बोर्डरूम की बातचीत से बाहर रह जाता है। भाषा मॉडलों के सुरक्षा मूल्यांकनों ने अपनी पद्धति बदल ली है, और परिणाम उन टीमों के लिए असहज करने वाले हैं जिन्होंने मानक बेंचमार्क के आधार पर कार्यान्वयन को मंजूरी दी थी।
महत्वपूर्ण अंतर सिंगल-टर्न परीक्षणों और मल्टी-टर्न परीक्षणों के बीच है। पहले में, यह मूल्यांकन किया जाता है कि क्या कोई मॉडल एकल इंटरैक्शन में किसी समस्याग्रस्त निर्देश को अस्वीकार करता है। दूसरे में, एक पुनरावृत्तीय बातचीत का अनुकरण किया जाता है जहाँ हमलावर प्रत्येक प्रतिक्रिया के बाद अपनी रणनीति समायोजित करता है। परिणाम काफी भिन्न होते हैं।
National CIO Review द्वारा उद्धृत शोध से पता चलता है कि प्रमुख प्रदाताओं के मॉडलों में, बातचीत संबंधी हमलों की सफलता दर मॉडल और हमले के प्रकार के आधार पर 7.89% से 88.30% के बीच होती है। यह सांख्यिकीय शोर नहीं है: यह एक ऐसी रेंज है जो इस बात को बदल देनी चाहिए कि संगठन अपने पहले से तैनात सिस्टम की मजबूती के बारे में कैसे सोचते हैं।
व्यावहारिक निहितार्थ सीधा है। जिन संगठनों ने सिंगल-टर्न सुरक्षा परीक्षणों के आधार पर कार्यान्वयन को मंजूरी दी, उनके पास जोखिम की एक ऐसी तस्वीर है जो लंबे समय तक उपयोग या प्रतिकूल दबाव की परिस्थितियों में क्या होता है, उसे कम आंकती है। और जिन संगठनों ने तैनाती से पहले कोई औपचारिक परीक्षण नहीं किया, उनके पास अपनी घोषित आत्मविश्वास और वास्तविक जोखिम के बीच और भी बड़ी खाई है।
समस्या मॉडल की सुरक्षा पर समाप्त नहीं होती। जब AI एजेंटों की बात आती है, तो जोखिम की परिधि विस्तृत होती है। एक एजेंट केवल सवालों का जवाब नहीं देता: वह काम करता है। वह आंतरिक सिस्टम तक पहुँच सकता है, प्रक्रियाएं निष्पादित कर सकता है, प्रत्यायोजित निर्णय ले सकता है। यह उसे संगठन के भीतर एक परिचालन पहचान बनाता है, जिसमें वे सभी जोखिम शामिल हैं जो इसका तात्पर्य रखते हैं: ऐसी पहुँचें जो कभी रद्द नहीं की गईं, ऐसी अनुमतियाँ जो एक पायलट के दौरान दी गईं और फिर कभी पुनः परिभाषित नहीं हुईं, और ऐसी गतिविधि जो किसी ऐसे लॉग में दर्ज नहीं है जिसे कोई नियमित रूप से देखता हो।
TechRadar Pro इसे इस तरह से व्यक्त करता है जो किसी भी परिचालन जोखिम बैठक में ध्यान देने योग्य है: समस्या AI नहीं है, बल्कि वह पहुँच है जो उसे दी गई। जो संगठन काफी कम घटना दर रिपोर्ट करते हैं, वे वे हैं जिन्होंने अपने एजेंटों पर न्यूनतम विशेषाधिकार नियंत्रण लागू किए, जो उन्हें औपचारिक पहचान के रूप में मानते हैं जिन्हें प्रावधान, आवधिक समीक्षा और निरसन की आवश्यकता है।
AI पर खर्च जो खुद का हिसाब नहीं दे सकता
इस समस्या में एक वित्तीय आयाम है जिससे AI गवर्नेंस पर चर्चाएं आमतौर पर बचती हैं। यदि कोई संगठन यह नहीं देख सकता कि उसका AI निवेश कैसे उपयोग किया जा रहा है, तो वह विश्वसनीय तरीके से उसका रिटर्न भी नहीं माप सकता।
इसके ठोस परिणाम हैं। AI बजट उत्पादकता अनुमानों पर अनुमोदित होते हैं जो कई मामलों में नियंत्रित पायलट पर बनाए गए थे जो बड़े पैमाने पर उपयोग की शर्तों का प्रतिनिधित्व नहीं करते। जब वह बड़े पैमाने पर उपयोग आता है, तो वह असंस्वीकृत उपकरणों, बिना निगरानी वाले प्रवाहों और ऐसे व्यवहारों के साथ आता है जिनका कोई अनुमान नहीं लगाया था। उत्पादकता हो सकती है, लेकिन यदि इस बारे में दृश्यता नहीं है कि इसे क्या उत्पन्न करता है और किन परिस्थितियों में, तो परिणाम यह है कि नेता इसे जानबूझकर दोहरा नहीं सकते और न ही नियंत्रित तरीके से इसे बढ़ा सकते हैं।
यहाँ नाजुकता का तंत्र विशिष्ट है: जब दृश्यता कम होती है, तो पूंजी उस उपकरण की ओर प्रवाहित होती है जो आंतरिक रूप से खुद को सबसे अच्छी तरह बेच सकता है, न कि उस उपकरण की ओर जो सबसे अधिक मूल्य उत्पन्न करता है। जो टीमें AI का उपयोग ऐसे तरीकों से करती हैं जो वास्तविक परिणाम उत्पन्न करती हैं, लेकिन बिना औपचारिक दस्तावेज़ीकरण के, वे अगले चक्र के बजट से बाहर हो जाती हैं। जिन टीमों के पास अधिक परिष्कृत प्रस्तुतियाँ हैं, उन्हें अतिरिक्त संसाधन मिलते हैं, भले ही उनकी मेट्रिक्स कमजोर हों।
यह आंतरिक भ्रष्टाचार की समस्या नहीं है। यह सूचना वास्तुकला की समस्या है। वास्तविक उपयोग के बारे में डेटा के बिना, निवेश समितियां अवलोकित पैटर्न के बजाय गुणात्मक साक्ष्यों के आधार पर काम करती हैं। और गुणात्मक साक्ष्य व्यवस्थित रूप से सफलता की कहानियों की ओर पक्षपाती होते हैं, उन मूक विफलताओं की ओर नहीं जो बिना मूल्य उत्पन्न किए लागत जमा करती हैं।
अनुपालन जोखिम इस तस्वीर को और जटिल बनाता है। वित्तीय, स्वास्थ्य और महत्वपूर्ण बुनियादी ढाँचे क्षेत्रों में AI के उपयोग पर नियम उस गति से परिपक्व हो रहे हैं जिसकी संगठनों को उम्मीद नहीं थी। नियामक जो सवाल पहले से पूछ रहे हैं, और जिसका जवाब कई कंपनियाँ नहीं दे सकतीं, वह सरल है: किस मॉडल ने, किस डेटा के साथ, किस नीति के तहत, कौन सा निर्णय लिया? उस प्रश्न का उत्तर देने में असमर्थता केवल एक प्रतिष्ठागत जोखिम नहीं है। विनियमित बाजारों में, यह परिचालन प्राधिकरण का जोखिम है।
वह संरचनात्मक समस्या जिसे हाइप साइकिल अपने आप हल नहीं करेगा
कॉर्पोरेट तकनीक अपनाने का ऐतिहासिक पैटर्न दर्शाता है कि क्षमता और गवर्नेंस के बीच की खाई समय के साथ अपने आप नहीं भरती। क्लाउड ने शैडो IT बनाया। SaaS ने अप्रबंधित पहचानों को गुणित किया। कॉर्पोरेट मोबिलिटी ने हमले की सतहें खोलीं जिन्हें सूचीबद्ध करने में वर्षों लग गए। AI उसी पैटर्न का अनुसरण कर रहा है, लेकिन प्रसार की उच्च गति के साथ और इस महत्वपूर्ण अंतर के साथ कि एजेंट केवल संग्रहीत या संचारित नहीं करते — वे काम करते हैं।
जो संगठन टिकाऊ मूल्य प्राप्त करने में सफल होंगे और जो बिना रिटर्न के लागत उठाते रहेंगे, उनके बीच का अंतर वे मॉडल नहीं हैं जो वे चुनते हैं और न ही वह विक्रेता जिसे वे अनुबंधित करते हैं। यह अंतर है अपने स्वयं के उपयोग को व्यवस्थित रूप से देखने की क्षमता, इंटरैक्शन डेटा को परिचालन संकेत के रूप में मानने की क्षमता और उस अवलोकन के आधार पर नियंत्रण बनाने की क्षमता — इससे पहले कि समस्या बाहरी रूप से दिखाई दे।
जो संगठन इसे अच्छी तरह से हल कर रहे हैं, वे तीन ठोस काम कर रहे हैं। पहला, वे अपनी AI संपत्तियों को उसी तरह सूचीबद्ध कर रहे हैं जैसे वे किसी भी कॉर्पोरेट सॉफ़्टवेयर संपत्ति के साथ करते: इन्वेंटरी, संस्करण, पहुँचें, स्वामी। दूसरा, वे महत्वपूर्ण सिस्टमों के लिए इंटरैक्शन स्तर पर गतिविधि लॉगिंग लागू कर रहे हैं — कर्मचारी निगरानी के रूप में नहीं, बल्कि निवेश निर्णयों और जोखिम प्रबंधन के लिए अनुभवजन्य आधार के रूप में। तीसरा, वे AI एजेंटों को दी गई अनुमतियों की समय-समय पर समीक्षा कर रहे हैं, उसी कठोरता के साथ जिसके साथ वे मानवीय पहुँचों की समीक्षा करते हैं।
इन तीन चीज़ों में से किसी के लिए भी ऐसी तकनीक की आवश्यकता नहीं है जो मौजूद न हो। इनके लिए संगठनात्मक इच्छाशक्ति की आवश्यकता है — यह स्वीकार करने की कि समस्या केवल IT की नहीं है, और यह कि समाधान को विशेष रूप से तकनीकी टीमों को नहीं सौंपा जा सकता। बोर्डरूम प्रेजेंटेशन में जिस अंधे धब्बे के बारे में कोई बात नहीं करता, वह ठीक यही है: नेता अपने AI उपयोग के बारे में जो जानते हैं और प्रत्येक इंटरैक्शन के स्तर पर वास्तव में क्या होता है — उनके बीच की सूचना खाई में परिचालन, वित्तीय और विनियामक परिणाम हैं जो चुपचाप जमा होते रहते हैं।
इस चक्र में नाजुकता मॉडलों में नहीं है। यह उन लोगों की अवलोकन वास्तुकला में है जो उन्हें तैनात करते हैं। जो संगठन इसे उस समय से पहले समझ लेंगे, जब नियामक या घटना इसे स्पष्ट कर दे, उन्हें उन लोगों पर संरचनात्मक लाभ होगा जो इसे प्रतिक्रियात्मक तरीके से सीखेंगे।
