Capacidad no es consecuencia
La IA agentic suele evaluarse por capacidad. Puede redactar, buscar, actualizar un registro o llamar una API. Esas preguntas importan, pero son incompletas. La misma capacidad técnica puede tener consecuencias muy distintas según dónde se use.
Actualizar una nota en CRM no es lo mismo que cambiar el estado de un cliente. Redactar una cláusula no es lo mismo que modificar un contrato firmado. Enrutar un ticket no es lo mismo que cerrar una queja regulada. La operación define el blast radius.
Qué revela el blast radius
Blast radius es el impacto operativo si una acción IA sale mal. Incluye exposición financiera, impacto en cliente, consecuencia legal, efectos downstream y dificultad de revertir. Acciones de bajo blast radius pueden ser autónomas. Acciones de alto blast radius necesitan gates.
Esto convierte la autonomía en algo graduado. La organización no tiene que elegir entre “la IA actúa” o “la IA no actúa”. Puede asignar autoridad por clase de consecuencia.
La autonomía solo debe aumentar donde el blast radius está entendido y contenido.
La capa faltante
Muchos programas tienen evaluación de modelo, access control, logging y monitoring. Son útiles, pero no responden completamente al blast radius. Access control dice si se puede alcanzar un sistema. Blast radius pregunta qué mutación está permitida, bajo qué condiciones y con qué escalamiento.
Esa capa faltante es gestión de autoridad operacional: mapear acciones a clases de consecuencia, clases a niveles de autoridad y niveles a controles.
Por qué importa comercialmente
Blast radius es lenguaje que dirección entiende. Puede no importarles el framework de orquestación. Sí importa si la IA puede afectar reembolsos, contratos, cuentas o pagos sin el límite correcto.
Así los sistemas agentic se vuelven enterprise-ready: no prometiendo razonamiento perfecto, sino conteniendo las consecuencias de la acción.