O problema da autoridade-velocidade: responsabilidade quando os sistemas autónomos físicos devem decidir antes que a autoridade possa ser confirmada

Um drone identifica um obstáculo a 40 metros. À sua velocidade aérea actual tem aproximadamente 200 milissegundos para iniciar a evasão. A latência mínima de ida e volta para um centro de comando remoto é de 400 milissegundos. A hierarquia de principais — a cadeia de autoridade da qual o drone deriva permissão para agir — está, neste momento, fisicamente inacessível. A matemática não fecha.

Este é o problema da autoridade-velocidade: o intervalo entre o tempo que um sistema autónomo físico necessita para decidir e o tempo que o seu quadro de autoridade requer para confirmar que essa decisão está autorizada. Não é um problema de largura de banda. Mais espectro não o resolve. É uma propriedade estrutural da IA física, e quebra o modelo de responsabilidade de "verificar primeiro" que a maioria dos quadros de governação de agentes assume.

A assimetria estrutural

Os agentes de software têm um privilégio que os agentes físicos não têm: podem pausar. Um agente incerto quanto à sua autoridade pode esperar, registar a incerteza e escalar. O estado sobre o qual estava a raciocinar pode persistir enquanto a revisão acontece. O custo é atraso; o benefício é supervisão.

Os agentes físicos que operam no mundo frequentemente não podem pausar sem que a pausa em si se torne consequente. Um drone que para antes de um obstáculo não paira; continua na sua trajectória actual. Uma embarcação autónoma que aguarda autorização durante uma decisão de evasão de colisão não está à espera — está a comprometer-se com um resultado. Em sistemas físicos de alta velocidade, a ausência de uma decisão é uma decisão. O quadro de responsabilidade deve ter isto em conta.

O cruzamento da segurança pós-quântica

O problema agudiza-se quando a autenticação deve ser resistente a quantum. Os esquemas criptográficos pós-quânticos adicionam latência relativamente às assinaturas clássicas. Para um sistema físico que deve responder em dezenas de milissegundos, um ciclo de autenticação pós-quântica não é apenas inconveniente — cria um incentivo estrutural para contornar completamente a verificação.

Esta é a assimetria que a transição pós-quântica introduz para a IA física: os sistemas que mais precisam de garantias de identidade fortes — aqueles que tomam acções físicas irreversíveis — são precisamente aqueles onde o custo de latência de fornecer essas garantias é mais difícil de absorver. Se a autenticação for concebida como uma porta de pré-acção, será ignorada nas condições em que os riscos são mais elevados.

A resposta correcta não são assinaturas mais rápidas, embora isso ajude. É a pré-autorização na implantação: incorporar políticas de resposta com atestação pós-quântica no sistema antes de este operar, de modo a que não seja necessária autenticação por acção no momento da execução. A assinatura cobre a política, não o acto individual.

O cruzamento do hardware

O substrato de computação determina o que é fisicamente possível em termos de responsabilidade. Uma raiz de confiança de hardware que pode avaliar uma árvore de políticas autenticada em microssegundos — sem um ciclo de rede — muda a arquitectura de responsabilidade em comparação com uma que requer uma pilha de software e validação do lado da nuvem.

A atestação de hardware, neste enquadramento, não diz apenas respeito a provar identidade. Diz respeito à velocidade a que a responsabilidade pode ser exercida. Um agente físico com um enclave seguro que avalia políticas comportamentais pré-autorizadas à velocidade do hardware é um objecto de responsabilidade fundamentalmente diferente de um que depende de autoridade externa no momento da decisão. O design de hardware é a arquitectura de autoridade. Para a IA física, estas duas coisas são a mesma coisa.

O cruzamento do cuidado no mundo físico

Em ambientes de cuidado, o problema da autoridade-velocidade assume uma forma menos dramática mas com uma carga ética maior. Um robô de cuidado que responde a uma queda não tem tempo para confirmar preferências de consentimento ou escalar para um familiar antes de iniciar uma assistência física. A resposta deve começar.

Isto não é uma falha de design de consentimento; é uma propriedade inerente do cuidado em tempo real. Os robôs de cuidado que operam em cenários de resposta de alta velocidade precisam de árvores de resposta pré-autorizadas: autorização permanente, concedida na inscrição, que cobre as acções físicas que o agente pode precisar de tomar sem confirmação por evento. A questão de responsabilidade não é se a confirmação ocorreu no momento da execução. É se a autorização permanente foi bem concebida, claramente explicada e sujeita a revisão periódica significativa.

Onde vive a responsabilidade

O problema da autoridade-velocidade não elimina a responsabilidade. Desloca-a. Em sistemas autónomos físicos, o acto responsável não é a decisão física individual — a evasão de obstáculos, a assistência de cuidado, a correcção de curso. O acto responsável é o design e a autorização da política que governou essas decisões, executada antes da primeira implantação.

Esta mudança tem consequências práticas. Exige um tratamento mais rigoroso da autorização de políticas no momento da implantação: quem aprovou, que cenários foram antecipados, quais os limites do envelope pré-autorizado e o que desencadeia a re-autorização. Significa que o engenheiro que concebeu a política de resposta e o operador que a aceitou são responsáveis por cada acção que essa política produz — não em retrospectiva, mas por design.

Na Asaptic Labs, tratamos o problema da autoridade-velocidade como uma restrição de primeira ordem na arquitectura de responsabilidade de IA física. Quando o sistema não pode pedir permissão, a responsabilidade vive na política que governa o que ele faz sem permissão. Essa política deve ser elaborada, atestada e auditável — e os principais que a autorizaram devem ter compreendido o que estavam a autorizar antes de o hardware sair do banco de trabalho.