O problema da trilha de auditoria: registos à prova de adulteração são o piso, não o teto

A linguagem da responsabilização na governação de agentes de IA está cheia de garantias sobre supervisão e revisão. Haverá logs. As ações serão registadas. Auditorias serão possíveis. Esta linguagem é necessária, mas não é suficiente. Diz-nos que existem registos. Diz quase nada sobre se esses registos podem ser confiados.

A suposição escondida na maioria dos quadros de responsabilização é que a existência de um log equivale à disponibilidade de evidência. Em circunstâncias normais, essa suposição é inofensiva. Em circunstâncias contestadas, falha. E as circunstâncias mais suscetíveis de contestação são exatamente aquelas em que a responsabilização mais importa.

A lacuna de prova contra adulteração

Um log só é útil na medida da sua integridade. Um agente que mantém registos das suas próprias ações não é o mesmo que um agente cujos registos não possam ser alterados depois do facto. A distinção importa porque a parte mais motivada para alterar uma trilha de auditoria, o operador que a implantou ou o próprio agente sob direção desse operador, é normalmente a parte que controla a infraestrutura onde o registo reside.

A lacuna de prova contra adulteração é a distância entre "existem registos" e "os registos podem ser verificados de forma independente". É aí que a responsabilização morre em silêncio. Uma trilha de auditoria numa base de dados controlada pelo operador dá visibilidade em casos normais e nada oferece em casos contestados.

A dimensão pós-quântica

A prática atual para prova contra adulteração depende de assinaturas criptográficas. Uma entrada de log é assinada com uma chave privada; qualquer alteração invalida a assinatura; a chave pública serve de âncora de verificação. Isto é sólido no modelo clássico de ameaça. Não é sólido no modelo pós-quântico.

Os registos que um agente acumula hoje podem ser contestados daqui a anos, num mundo em que adversários com capacidade quântica conseguem falsificar assinaturas digitais clássicas sobre dados históricos. Uma trilha assinada hoje com RSA ou ECDSA não é um instrumento fiável de responsabilização a longo prazo se esses registos ainda importarem daqui a uma década.

No cruzamento da segurança pós-quântica, isto é um requisito ativo de desenho. Um agente em ambientes regulados, infraestrutura de segurança, sistemas financeiros, registos de saúde, gera hoje registos que serão auditados em processos legais ou regulatórios com horizontes longos. Adiar a atualização de assinatura é aceitar registos não verificáveis.

Hardware como âncora

A forma mais forte disponível de registo resistente a adulteração enraíza os registos em hardware. Um módulo de segurança de hardware ou ambiente de execução confiável pode assinar entradas com uma chave que nunca sai da fronteira segura, que é atestada no fabrico e cuja cadeia de atestação pode ser verificada por qualquer parte com o certificado raiz.

Trilhas de auditoria enraizadas em hardware fazem três coisas que logs apenas em software não conseguem. Tornam a chave de assinatura comprovadamente separada do agente e do operador. Tornam o momento da assinatura verificável sem depender do relógio do sistema. E tornam o registo portátil: qualquer parte com o certificado de atestação pode verificar o registo sem confiar na infraestrutura de origem.

O contexto dos cuidados: completude e acesso

Para agentes que operam em cuidados no mundo físico, a integridade da trilha de auditoria não é uma preferência de engenharia. É condição de confiança para todos cuja vida o agente influencia: residentes, famílias, defensores nomeados, entidades de supervisão e reguladores que podem rever decisões meses ou anos depois.

O contexto dos cuidados revela dois requisitos além da prova contra adulteração. O primeiro é completude. Registar que um agente concluiu uma tarefa não é o mesmo que registar o que observou, que opções avaliou, o que recusou fazer e qual foi a base declarada da decisão.

O segundo requisito é acesso. Um registo à prova de adulteração que só o operador pode ler serve apenas o operador. Para agentes de cuidados, o registo de auditoria deve ser legível independentemente por pessoas sem relação com o operador: familiares com procuração, defensores de pacientes, inspetores designados.

O que é necessário para fechar a lacuna

Daqui decorrem três requisitos. Primeiro, registos de auditoria em domínios consequentes devem ser assinados na criação com algoritmos resistentes ao pós-quântico. Segundo, a chave de assinatura deve ser gerada e mantida em hardware, com uma cadeia de atestação independente do operador. Terceiro, em cuidados e outros domínios de alto risco, o formato do registo deve especificar conteúdo, não apenas existência.

Registos à prova de adulteração são o piso da responsabilização de agentes. A pergunta para o campo é quando deixamos de tratar o piso como teto.