अमेरिका के National Institute of Standards and Technology (NIST) के एक senior scientist, Apostol Vassilev ने इस हफ्ते IEEE Security & Privacy में एक peer-reviewed तर्क प्रकाशित किया, जिसका शीर्षक जानबूझकर थका हुआ है: Robust AI Security and Alignment: A Sisyphean Endeavor? इसका केंद्रीय दावा एक proof है कि किसी AI model पर रखे गए guardrails के किसी भी finite set के लिए, कोई न कोई prompt मौजूद है जो model से उन्हें नजरअंदाज करा देता है। अधिकांश sets नहीं, आज के sets नहीं, कोई भी finite set। यह proof Kurt Gödel द्वारा 1931 में प्रकाशित तर्क को AI तक बढ़ाता है, जिसके incompleteness theorems ने दिखाया कि पर्याप्त रूप से शक्तिशाली formal systems एक साथ complete और consistent नहीं हो सकते। यहां लागू करें, तो एक adaptive विरोधी के खिलाफ बचाव करने वाले एक fixed rule set में वही structural छेद है: हमेशा एक सच्चा-पर-न-रुका input होता है जिसे नियमों ने नहीं भांपा था।

सिद्धांत के साथ एक अलग empirical साथी भी है। Stanford की Trustworthy AI Research Lab ने, NIST के बाहर काम करते हुए, मापा कि बाड़ व्यवहार में कितनी आसानी से गिरती है: fine-tuning attacks ने Claude Haiku को 72% मामलों में और GPT-4o को 57% में bypass किया। जो guardrails दांव पर हैं वे परिणामी हैं, यानी वे filters जो deepfakes, malware, जैविक हथियारों के निर्देश और drug-synthesis मार्गदर्शन रोकने के लिए हैं। यह स्पष्ट रहना जरूरी है कि क्या proved है बनाम क्या measured: Gödel-शैली का परिणाम Vassilev का formal तर्क है कि एक universal bypass हमेशा मौजूद रहता है, और प्रतिशत किसी दूसरे समूह की गिनती हैं कि specific attacks आज कितनी बार सफल होते हैं। दोनों एक ही दावा नहीं हैं, पर एक ही दिशा की ओर इशारा करते हैं।

यह दिशा एक ऐसी कहानी को फिर से फ्रेम करती है जो हमने कल cover की थी। Anthropic ने Claude Fable 5 एक safety बिक्री-बिंदु के साथ shipped: 1000 घंटे से ज्यादा external red-teaming में कोई universal jailbreak नहीं मिला। NIST का परिणाम कहता है कि एक jailbreak का न मिलना उसके न होने के बराबर नहीं है, और यह खोज संरचनात्मक रूप से कभी खत्म नहीं होती। यह हार मान लेने का तर्क नहीं है, यह एक खास कल्पना के खिलाफ तर्क है, यह विचार कि safety एक दीवार है जिसे आप एक बार बनाते हैं और फिर उसके पीछे खड़े रहते हैं। Vassilev का नुस्खा तीन चलते-पुर्जों वाला एक continuous-security model है: attackers से पहले नए adversarial prompts का शिकार करने वाली red teams, खोजों के उतरते ही guardrails को सख्त करने वाले continuous updates, और ऐसी operational resilience जो एक सेंध मान लेती है और नुकसान सीमित करने व जल्दी उबरने को प्राथमिकता देती है, जब, न कि अगर, कोई exploit पार हो जाए।

जो कोई भी agentic systems ship कर रहा है, उसके लिए design पर परिणाम ठोस और थोड़ा असहज है: एक बार के certification के बजाय स्थायी red-teaming के लिए budget रखें, क्योंकि एक certificate किसी एक क्षण की बाड़ का वर्णन करता है और proof कहता है कि बाड़ हर क्षण चढ़ने योग्य है। यह उस security छाया के नीचे का theoretical फर्श भी है जो पूरा हफ्ता पड़ती रही: LiteLLM gateway भेद्यता का active-exploitation सूची में आना, यह निष्कर्ष कि केवल agents का एक छोटा हिस्सा एक बुनियादी security मानक पास करता है, teardown से मिला Meta का facial-recognition code। Adaptive systems पर static बचाव एक treadmill है, बाधा नहीं। Vassilev का घोषित लक्ष्य अभेद्यता नहीं है, जिसे proof खारिज करता है, बल्कि अर्थशास्त्र है: एक ऐसी अवस्था तक पहुंचना जहां एक नया exploit खोजने की लागत उससे ज्यादा हो जाए जितना attackers खर्च करने को तैयार हैं। Safety आपकी अपनी एक property होना बंद हो जाती है और एक ऐसा budget बन जाती है जिसे आप बार-बार भरते रहते हैं।