O problema do sinal físico: responsabilização quando a cadeia de confiança começa no mundo físico
Os agentes de IA que atuam em ambientes físicos recebem o seu primeiro input do próprio mundo físico — uma leitura de sensor, um dado biométrico, uma medição ambiental. A attestation de hardware e a criptografia pós-quântica protegem tudo depois desse ponto. Não conseguem proteger o ponto de origem.
Quando concebemos responsabilização para agentes de IA, começamos tipicamente pela camada de software. Auditamos chamadas de API. Assinamos tokens. Rastreamos qual versão do modelo estava a correr quando uma decisão foi tomada. Aplicamos criptografia pós-quântica para proteger a integridade das comunicações digitais entre agentes e os sistemas de que dependem. Estas medidas são necessárias. Mas em implementações no mundo físico, a cadeia de confiança não começa na camada de software. Começa com um sinal físico: uma leitura de frequência cardíaca, um evento de deteção de movimento, uma medição de sensor ambiental, uma leitura biométrica. E o mundo físico não consegue assinar os seus próprios outputs.
Este é o problema do sinal físico.
A lacuna que a attestation não consegue fechar
Os enclaves de hardware seguros, os chips TPM e as raízes de attestation de hardware podem verificar que o output digital de um sensor não foi adulterado após deixar o dispositivo. Podem provar que o caminho de dados do sensor ao motor de inferência estava intacto. Os esquemas criptográficos pós-quânticos podem garantir que estas attestations permanecem válidas mesmo contra futuros avanços criptanalíticos.
Mas nada disto responde à questão prévia: o mundo físico produziu efetivamente essa leitura? Uma leitura de 40 bpm de um monitor de frequência cardíaca perfeitamente atestada e criptograficamente intacta pode refletir um doente que removeu o dispositivo, um elétrodo que se desprendeu, ou um sensor que derivou. A attestation de hardware prova que a cadeia estava íntegra em trânsito. Não pode provar que a cadeia estava ligada à realidade na fonte. O limite de attestation termina no alojamento do sensor. Não se estende ao ambiente físico que o sensor habita.
Três modos de falha
O problema do sinal físico manifesta-se de três formas distintas, cada uma com diferentes implicações de responsabilização.
O primeiro é a falha do sensor — degradação de hardware, deriva de calibração ou dano físico que faz com que o sensor reporte mal o mundo sem qualquer anomalia na cadeia digital. Num sistema de software, uma API a falhar retorna um código de erro. Um sensor a falhar retorna frequentemente um número. Um agente treinado para agir com base nesse número agirá, corretamente, com base numa imagem errada do mundo físico.
O segundo é a manipulação ambiental — interferência deliberada com o sinal físico antes de chegar ao sensor. Um íman colocado perto de um sensor de efeito Hall. Luz infravermelha apontada para um detetor de proximidade. Manipulação acústica de um microfone. Ao contrário dos ataques adversariais em inputs de software, a manipulação física não deixa nenhum rasto de software. O registo de auditoria regista o que o agente recebeu; não consegue registar o que foi feito ao ambiente nos momentos antes da medição.
O terceiro é o colapso de contexto — o sinal físico é preciso, mas o contexto que lhe dá significado mudou. Uma leitura de saturação de oxigênio no sangue de 95% significa algo diferente para um jovem de 30 anos ativo do que para um idoso de 80 anos sedentário com doença respiratória crónica. O sensor reporta fielmente. O agente interpreta corretamente de acordo com a sua distribuição de treino. Mas o contexto de implementação deriva afastado da distribuição em que os limiares de decisão do agente foram calibrados. O erro não está na medição ou na inferência; está no alinhamento entre o mundo para o qual o agente foi concebido e o mundo em que está a operar.
Por que razão isto importa em cada cruzamento
No cruzamento da segurança pós-quântica, o problema do sinal físico define o limite externo do que a criptografia pode proteger. As assinaturas resistentes a quantum podem proteger cada byte de dados que flui do sensor ao motor de inferência ao atuador. Não conseguem certificar retroativamente que o sensor estava corretamente ligado ao ambiente físico quando a leitura foi feita. As obrigações de responsabilização para implementações de agentes no mundo físico devem incluir verificação de conectividade física — não apenas integridade criptográfica da cadeia digital.
No cruzamento do hardware, o problema do sinal físico clarifica o que a attestation de hardware está efetivamente a atestar. Uma raiz de confiança de hardware estabelece que a computação correu num ambiente confiável. Não atesta os inputs ambientais que desencadearam essa computação. Conceber stacks de hardware para implementação de agentes no mundo físico requer mecanismos separados para validação de sinais físicos: caminhos de sensing redundantes, verificações de consistência cross-modal, deteção de adulteração física no próprio alojamento do sensor. Estes não são melhoramentos à attestation. São um sistema complementar a operar na camada física que a attestation não consegue alcançar.
No cruzamento dos cuidados no mundo físico, os riscos são mais elevados. Um agente de IA que apoia decisões de cuidados age com base num modelo do estado atual do doente. Esse modelo é construído a partir de sinais físicos. Se os sinais estão sistematicamente errados, o modelo está errado e as ações de cuidados podem causar danos. Ao contrário de uma recomendação errada num domínio de software, uma ação de cuidados errada pode ser irreversível. A obrigação de responsabilização corre para trás ao longo da cadeia de sinais até ao momento da medição física e para a frente através das consequências dos cuidados até ao ponto de dano — e abrange ambos.
O que uma implementação no mundo físico responsável requer
Abordar o problema do sinal físico requer combinar medidas de hardware, operacionais e de governança. A camada de hardware deve incluir caminhos de sensing redundantes, e a divergência entre sensores deve gerar sinalizadores explícitos de incerteza em vez de arbitragem silenciosa. A camada operacional deve incluir ciclos periódicos de calibração física que produzem os seus próprios registos atestáveis — fechando o ciclo entre a cadeia criptográfica e o ambiente físico que se destina a representar. A camada de governança deve tratar a validação de sensores e a integridade ambiental como componentes de primeira classe da revisão de implementação, não como preocupações pós-incidente.
Os sinais físicos não podem ser totalmente verificados por nenhuma cadeia finita de medição. O mundo físico não assina os seus outputs. O que uma arquitetura de responsabilização sólida faz é tornar a lacuna visível, auditável e delimitada — e garantir que os que implementam agentes em ambientes físicos trataram essa lacuna como uma restrição conhecida em vez de uma suposição residual.
As implementações de agentes no mundo físico iniciam a sua cadeia de confiança com um sinal físico — uma leitura de sensor, um dado biométrico, uma medição ambiental — que nem a attestation de hardware nem a criptografia pós-quântica conseguem verificar contra o mundo físico. Três modos de falha se seguem: degradação de sensores que produz dados errados de aspeto plausível, manipulação ambiental que não deixa rasto digital, e colapso de contexto onde leituras precisas são interpretadas contra uma calibração desatualizada. A implementação conforme com responsabilização requer sensing redundante, calibração física periódica com registos atestáveis, e frameworks de governança que tratem a validade do sensor como um pré-requisito de implementação em vez de uma suposição de fundo.