कई बार ऐसे पल आते हैं जब कोई टेक्नोलॉजी सिर्फ़ सीमाओं को आगे नहीं बढ़ाती — बल्कि उन्हें मिटा ही देती है. एंथ्रोपिक के नए आर्टिफिशियल इंटेलिजेंस मॉडल, क्लाउड मिथोस का आना, ऐसा ही एक पल है. यह बात कि अमेरिका के ट्रेजरी सेक्रेटरी और फेडरल रिज़र्व के चेयरमैन ने अमेरिका के सबसे बड़े बैंकों के चीफ़ एग्जीक्यूटिव्स के साथ एक इमरजेंसी, बंद दरवाज़ों के पीछे मीटिंग बुलाना ज़रूरी समझा, इस पर सभी का ध्यान जाना चाहिए — वॉशिंगटन में तो ज़रूर, लेकिन नई दिल्ली में भी उतनी ही गंभीरता से.
कोडिंग, लॉजिकल रीजनिंग और मैथ के सवालों को हल करने के स्टैंडर्ड पैमानों पर, मिथोस अब तक बना सबसे काबिल AI मॉडल है. जिस बात ने चिंता पैदा की है, वह पैमानों पर परफॉर्मेंस से कहीं ज़्यादा गंभीर है: मिथोस अपने आप सॉफ्टवेयर की कमज़ोरियों को पहचान सकता है, उन्हें एक-दूसरे से जोड़ सकता है, और उनका फ़ायदा उठा सकता है — इतनी तेज़ी और इतने बड़े पैमाने पर कि हैकर्स की कोई भी इंसानी टीम उसका मुकाबला नहीं कर सकती. कंट्रोल्ड टेस्टिंग में, इसने हर बड़े ऑपरेटिंग सिस्टम और ब्राउज़र में हज़ारों ऐसी सुरक्षा खामियों का पता लगाया जो पहले कभी सामने नहीं आई थीं — इनमें ‘ज़ीरो-डे’ कमज़ोरियां भी शामिल थीं, जो दो दशकों से भी ज़्यादा समय से किसी की नज़र में नहीं आई थीं. इसने सिर्फ़ उन्हें ढूंढ़ा ही नहीं. इसने उनके लिए ‘एक्सप्लॉइट कोड’ भी लिखा. अपने आप.
एंथ्रोपिक की तारीफ़ करनी होगी कि उसने इस मॉडल को आम लोगों के लिए जारी न करने का फ़ैसला किया है. लगभग 40 भरोसेमंद इंस्टीट्यूशनल पार्टनर्स तक एक्सेस बढ़ाया जा रहा है — इनमें माइक्रोसॉफ्ट, एप्पल, गूगल, द लिनक्स फाउंडेशन शामिल हैं — खास तौर पर बड़े पैमाने पर डिप्लॉयमेंट से पहले पता चली कमज़ोरियों को पैच करने के लिए. यह एक ज़िम्मेदाराना कदम है. साथ ही, टेक्नोलॉजी के इतिहास के लंबे सफ़र में, यह एक अस्थायी स्थिति भी है. जो चीज़ आज कोई एक कंपनी रोककर रखती है, उसे कल बीजिंग और मॉस्को में सरकारों द्वारा चलाए जा रहे प्रोग्राम्स हूबहू बना लेंगे — और उन्हें इस बात की कोई परवाह नहीं होगी कि इसकी ‘चाबियां’ किसके हाथ लग रही हैं. ट्रेजरी सेक्रेटरी स्कॉट बेसेंट और फेडरल रिज़र्व के चेयरमैन जेरोम पॉवेल को एंथ्रोपिक की चिंता नहीं है. उन्हें इस बात की चिंता है कि यह जानकारी लीक हो सकती है, इसकी ‘रिवर्स इंजीनियरिंग’ की जा सकती है, और इस बात की लगभग पक्की संभावना है कि आने वाले समय में, इसी तरह की ‘हमलावर AI क्षमता’ का इस्तेमाल ऐसे लोग करेंगे जो बिना किसी रोक-टोक के इसका इस्तेमाल दुनिया के उस फाइनेंशियल सिस्टम पर करेंगे — जिसे कभी भी अपने आप होने वाले AI-आधारित हमलों का सामना करने के लिए डिज़ाइन ही नहीं किया गया था.
भारत की वजह से ही पैदा हुई कमज़ोरी
भारत के लिए यह सोचना नासमझी होगी कि यह सिर्फ़ अमेरिका की कोई दूर की समस्या है. ‘यूनिफाइड पेमेंट्स इंटरफ़ेस’ (UPI) के ज़रिए हर महीने 20 अरब से भी ज़्यादा लेन-देन होते हैं. ‘आधार’ करोड़ों नागरिकों तक सरकारी योजनाओं का लाभ पहुँचाने और उन्हें फाइनेंशियल सिस्टम से जोड़ने का आधार है. NPCI का ‘स्विचिंग इंफ्रास्ट्रक्चर’ हमारी डिजिटल अर्थव्यवस्था की रीढ़ की हड्डी है. यह एक ज़बरदस्त उपलब्धि है — और एक बहुत बड़े दायरे वाला लक्ष्य भी, जिसे भारत सरकार ने जिस हद तक लापरवाही से संभाला है, वह लगभग गैर-ज़िम्मेदाराना हरकत की सीमा तक पहुंच गया है.
जोहो वाला मामला एक सबक है और, पीछे मुड़कर देखने पर, बेहद शर्मनाक भी. डिजिटल संप्रभुता और ‘आत्मनिर्भर भारत’ के नारे के नाम पर, सरकार ने 2023 में एक टेंडर जीतने के बाद, केंद्र सरकार के 12 लाख कर्मचारियों के ईमेल अकाउंट को Zoho के क्लाउड प्लेटफ़ॉर्म पर शिफ्ट कर दिया. कैबिनेट मंत्रियों ने — IT से लेकर गृह मंत्रालय और शिक्षा मंत्रालय तक के मंत्रियों ने — सोशल मीडिया पर इस बदलाव का खुले तौर पर समर्थन किया, मानो यह कोई देशभक्ति वाला काम हो. शिक्षा मंत्रालय ने एक औपचारिक ऑफ़िस मेमोरैंडम जारी करके अधिकारियों को निर्देश दिया कि वे जोहो के पूरे सॉफ़्टवेयर सूट को अपनाएं. जोहो के मैसेजिंग ऐप ‘Arattai’ को ‘भारत के व्हाट्सएप’ के तौर पर प्रचारित किया गया.
लेकिन, इस बदलाव की तारीफ़ करने वालों ने जिस बात पर ज़रा भी ध्यान नहीं दिया, वह था इस प्लेटफ़ॉर्म का सुरक्षा रिकॉर्ड. 2025 तक, Zoho Analytics में ‘SQL injection’ से जुड़ी कमियां सामने आने लगी थीं, जिन्हें दुनिया भर की सुरक्षा एजेंसियों ने ‘सबसे ज़्यादा गंभीर’ श्रेणी में रखा था. जिस समय मंत्री अधिकारी से संवेदनशील सरकारी बातचीत के लिए इस ऐप को अपनाने का आग्रह कर रहे थे, ठीक उसी समय ‘Arattai’ में ‘एंड-टू-एंड एन्क्रिप्शन’ की सुविधा ही मौजूद नहीं थी. फ़रवरी 2026 में, उत्तर कोरिया के एक सरकारी समर्थन प्राप्त हैकर समूह ने कुछ ऐसे टूल्स जारी किए, जिन्होंने Zoho WorkDrive में मौजूद एक ‘बैकडोर’ का फ़ायदा उठाकर उसमें ‘मालवेयर’ डाल दिया — और यह वही प्लेटफ़ॉर्म था, जिसका इस्तेमाल करने के लिए भारतीय सरकारी कर्मचारियों को अपने आधिकारिक दस्तावेज़ों के लिए निर्देश दिए गए थे. जब जून 2025 में दुनिया भर में 16 अरब ‘लॉगिन रिकॉर्ड’ लीक हो गए, तब जाकर सरकार ने आख़िरकार कर्मचारियों के ईमेल को एक नए डोमेन — mail.gov.in — पर शिफ्ट करने का आदेश दिया. लेकिन तब तक तो चिड़िया खेत चुग चुकी थी; यानी, नुकसान हो जाने के बाद दरवाज़ा बंद करने का कोई फ़ायदा नहीं था.
भारत को क्या करना चाहिए
क्लाउड मिथोस पर भारत की प्रतिक्रिया किसी कमेटी से नहीं, बल्कि एक फ़ोन कॉल से शुरू होनी चाहिए. सरकार को एंथ्रोपिक से औपचारिक रूप से संपर्क करना चाहिए ताकि उसे उसके ‘विश्वसनीय-साझेदार कार्यक्रम’ में शामिल किया जा सके — ठीक वैसा ही एक्सेस जैसा माइक्रोसॉफ्ट, एप्पल और गूगल को दिया गया है. इसका तर्क साफ़ है: दुनिया के किसी भी देश ने इतने बड़े पैमाने पर या इतनी ज़्यादा व्यवस्थागत अहमियत वाला डिजिटल पब्लिक इंफ्रास्ट्रक्चर नहीं बनाया है. UPI, आधार, NPCI, सरकारी ईमेल स्टैक — ये कोई कॉर्पोरेट संपत्ति नहीं हैं. ये एक संप्रभु इंफ्रास्ट्रक्चर हैं जो एक अरब से ज़्यादा नागरिकों की सेवा करते हैं. अगर मिथोस विंडोज और क्रोम में ऐसी कमज़ोरियां ढूंढ़ सकता है जो दशकों तक किसी की नज़र में नहीं आईं, तो वह भारत के पेमेंट और पहचान से जुड़े आर्किटेक्चर में भी कमज़ोरियाँ ढूँढ़ सकता है — इससे पहले कि कोई दुश्मन ऐसा करे. असल बात यही है. ‘विश्वसनीय-साझेदार एक्सेस’ मांगना एक अभूतपूर्व कदम होगा — अभी तक किसी भी संप्रभु सरकार को इस कार्यक्रम में शामिल नहीं किया गया है — लेकिन भारत का मामला किसी भी कॉर्पोरेट साझेदार से बिल्कुल अलग है, और उसे बिना किसी हिचकिचाहट के यह तर्क देना चाहिए.
एक बार जब कमज़ोर क्षेत्रों की पहचान करके उन्हें ठीक कर लिया जाए, तो उसके बाद नियामक ढांचा भी तैयार होना चाहिए. भारतीय कानून में ‘ऑफेंसिव AI’ को एक अलग कानूनी श्रेणी के रूप में मान्यता मिलनी चाहिए — एक चैटबॉट और एक स्वचालित ‘वल्नरेबिलिटी-एक्सप्लोइटेशन इंजन’ एक जैसे उपकरण नहीं हैं, और कोई भी ऐसा ढांचा जो इन दोनों को एक जैसा मानता हो, उसे गंभीरता से लेने लायक नहीं माना जा सकता. किसी भी AI सिस्टम को, जो तय की गई ‘ऑफेंसिव थ्रेशोल्ड’ पार करता हो, उसे इस्तेमाल में लाने से पहले राष्ट्रीय साइबर सुरक्षा अधिकारियों को सूचित करना अनिवार्य होना चाहिए. RBI और ‘भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम’ (CERT-In) को व्यवस्थागत रूप से महत्वपूर्ण वित्तीय संस्थानों के लिए AI-विशिष्ट ‘स्ट्रेस टेस्ट’ अनिवार्य कर देने चाहिए. और सरकार द्वारा की जाने वाली किसी भी तकनीकी खरीद — चाहे उसे ‘स्वदेशी’ के कितने ही आकर्षक शब्दों में क्यों न पेश किया गया हो — उसे तब तक आगे नहीं बढ़ाया जाना चाहिए जब तक कि CERT-In द्वारा सूचीबद्ध किसी संस्था द्वारा उसका स्वतंत्र और सार्वजनिक सुरक्षा ऑडिट न कर लिया जाए. जोहो से मिले सबक को केवल अफ़सोस जताकर नहीं छोड़ देना चाहिए, बल्कि उसे एक संस्थागत प्रक्रिया का हिस्सा बनाना चाहिए.
भारत को अपने अंतरराष्ट्रीय प्रभाव का भी इस्तेमाल करना चाहिए. G20 के एक सदस्य के तौर पर, जिसकी ‘बैठकें आयोजित करने की क्षमता’ साबित हो चुकी है, भारत को ‘आक्रामक AI’ के शासन के लिए एक बहुपक्षीय ढांचे की वकालत करनी चाहिए. साइबर खतरे किसी भी देश की सीमा या अधिकार क्षेत्र को नहीं मानते. NPCI की ‘स्विचिंग लेयर’ पर AI द्वारा किए गए किसी भी हमले को इस बात से कोई फ़र्क नहीं पड़ता कि वह हमला किस देश के सर्वर से शुरू हुआ है. शासन का ऐसा कोई भी ढाँचा, जो ‘देशभक्ति वाली ब्रांडिंग’ को ही ‘सुरक्षा की गारंटी’ मान बैठता हो, वह असल में कोई ढांचा ही नहीं है.
एंथ्रोपिक ने, फिलहाल के लिए, ज़िम्मेदारी भरा कदम उठाया है. सवाल यह है कि क्या सरकारें — इससे पहले कि कोई और समान क्षमता वाला पक्ष यह तय कर ले कि वह ऐसा नहीं करेगा — वह नियामक ढांचा तैयार कर सकती हैं, जो ज़िम्मेदार व्यवहार को अपवाद के बजाय एक सामान्य नियम बना दे. भारत के लिए — जहां हर महीने 20 अरब UPI लेन-देन होते हैं, एक अरब से ज़्यादा आधार पंजीकरण हैं, और जहां का राजनीतिक वर्ग यह दिखा चुका है कि वह सुरक्षा के बजाय दिखावे को ज़्यादा प्राथमिकता देगा — यह सवाल महज़ किताबी नहीं है. यह राष्ट्रीय जुझारूपन का मामला है.
के बी एस सिद्धू पंजाब के पूर्व आईएएस अधिकारी हैं और स्पेशल चीफ सेक्रेटरी के पद से रिटायर हुए हैं. उनका एक्स हैंडल @kbssidhu1961 है. व्यक्त किए गए विचार निजी हैं.
(इस लेख को अंग्रेज़ी में पढ़ने के लिए यहां क्लिक करें)
यह भी पढ़ें: सिंचाई में बड़ी कामयाबी के दावे पंजाब को रावी–ब्यास जल विवाद में भारी पड़ सकते हैं