कुछ समय पहले मैंने गहराई से देखना शुरू किया कि AI agent वास्तव में क्या कर सकते हैं। demo नहीं, बल्कि असली agent -- जो वास्तविक डेटा पर, वास्तविक परिवेश में चल रहे हों, जहाँ गलतियों के गंभीर परिणाम होते हैं। मैंने पाया कि क्षमता वाकई मौजूद है। आप किसी agent को अपने ईमेल, कैलेंडर, कोड और फ़ाइलों से जोड़ सकते हैं, और वह सार्थक काम कर सकता है। यह बात प्रभावित करने वाली थी।
जो प्रभावित नहीं किया, वह था सुरक्षा मॉडल -- या यूँ कहें, उसका अभाव। हर platform जो मैंने देखा, वह अपने नियम एक ही तरीके से लागू कर रहा था: model को बताकर कि उसे क्या नहीं करना चाहिए। एक अच्छा system prompt लिखो, सीमाएँ बताओ, और भरोसा करो कि model उनके भीतर रहेगा। यह तब तक काम करता है जब तक कोई ऐसा अनुरोध तैयार नहीं कर लेता जो model को यह विश्वास दिला दे कि इस विशेष स्थिति में नियम लागू नहीं होते। और लोग ऐसा कर लेते हैं। यह इतना कठिन भी नहीं है।
मैं लगातार इंतज़ार करता रहा कि कोई इसका वह संस्करण बनाए जिसे मैं वास्तव में उपयोग करना चाहता था। ऐसा जो हर चीज़ से जुड़ सके, हर उस channel पर काम करे जो मैं पहले से इस्तेमाल कर रहा था, और वाकई संवेदनशील डेटा को इस तरह संभाले कि मुझे उँगलियाँ क्रॉस करके बैठने की ज़रूरत न पड़े कि model आज ठीक से काम करेगा या नहीं। वह कभी नहीं आया।
तो मैंने खुद बना लिया।
Triggerfish वही agent है जो मुझे चाहिए था। यह आपके ईमेल, कैलेंडर, फ़ाइलों, कोड और messaging apps से जुड़ता है। यह सक्रिय रूप से काम करता है, केवल तब नहीं जब आप prompt करें। यह वहीं काम करता है जहाँ आप पहले से काम करते हैं। लेकिन जिस बात को लेकर मैं सबसे गंभीर हूँ, वह है इसकी सुरक्षा संरचना। agent क्या access कर सकता है और डेटा कहाँ प्रवाहित हो सकता है, इसके नियम किसी prompt में नहीं रहते। वे एक enforcement layer में रहते हैं जो model से पूरी तरह बाहर है। model सिस्टम को बताता है कि वह क्या करना चाहता है, और एक अलग परत तय करती है कि वह वास्तव में होगा या नहीं। model उस परत से बातचीत नहीं कर सकता। वह उसके इर्द-गिर्द तर्क नहीं कर सकता। वह उसे देख भी नहीं सकता।
यह भेद जितना सुनने में लगता है, उससे कहीं अधिक महत्वपूर्ण है। इसका मतलब है कि सिस्टम के सुरक्षा गुण model की बढ़ती क्षमता के साथ कमज़ोर नहीं होते। इसका मतलब है कि कोई compromised third-party tool, agent को कुछ ऐसा करने के लिए राज़ी नहीं कर सकता जो उसे नहीं करना चाहिए। इसका मतलब है कि आप वास्तव में नियमों को देख सकते हैं, समझ सकते हैं, और उन पर भरोसा कर सकते हैं -- क्योंकि वे कोड हैं, गद्य नहीं।
मैंने enforcement core को ठीक इसी कारण open-source किया। अगर आप उसे पढ़ नहीं सकते, तो आप उस पर भरोसा नहीं कर सकते। यह किसी भी सुरक्षा दावे के लिए सत्य है, और विशेष रूप से तब जब जिस चीज़ को आप सुरक्षित कर रहे हैं वह एक स्वायत्त agent है जिसके पास आपके सबसे संवेदनशील डेटा तक पहुँच है।
यह platform व्यक्तिगत उपयोग के लिए निःशुल्क है और आप इसे स्वयं चला सकते हैं। यदि आप infrastructure के बारे में सोचना नहीं चाहते, तो एक subscription विकल्प है जहाँ हम model और search संभालते हैं। किसी भी स्थिति में, सुरक्षा मॉडल वही रहता है।
यही वह agent है जिसकी मुझे दो साल पहले तलाश थी। मुझे लगता है कि बहुत से लोग उसी चीज़ का इंतज़ार कर रहे थे।