当智能体行动时，谁签署了收据？

在公司信用卡上预订机票的员工是可追溯的。预订记录可归因，权限已存档，一旦出现问题，有清晰记录说明谁将何种权限委托给了谁。这不是为繁琐而繁琐的程序——它是机构问责的基础基础设施。在受治理的系统中，每一项有实质性影响的行动都留下一份收据。

AI 智能体现在也在预订机票。它们同样在路由付款、注册患者、拒绝索赔，并代表那些未曾认真思考在这一语境下"签名"究竟意味着什么的机构行事。这些收据——在存在的情况下——只是日志，而非签名。这一差别比表面看来更为重要。

日志条目说的是"此事在此时发生了"。签名收据说的是"该实体、凭此授权、使此事发生，并对该声明具有密码学绑定的责任"。前者是记录；后者是问责。受监管环境、对手方机构和未来的审计者需要的是后者，而他们大多数时候得到的是前者。

委托链问题

当人类将权限委托给智能体时，一条授权链随之创建。人类委托方授权智能体在特定范围内行事；智能体采取行动；下游系统、人员或机构受到影响。要使这条链可审计，每个环节都需要可归因：谁授权了谁、做了什么、在什么约束下、在什么时间。

今天，这条链通常在智能体边界处断裂。系统可能记录"AI 建议了此行动"或"自动化完成了这一步骤"，但该记录很少携带正式的委托结构——谁划定了权限范围、限制是什么、智能体是否在此范围内行动。当出现问题时，"谁签署了收据"这个问题在结构上没有答案。

这不是新类型的问题。这是代理的经典问题，如今以软件的速度和规模运行。新的是，这一失败模式——智能体在其授权范围之外行事且没有可归因的轨迹——快速、廉价，且很可能变得普遍。

身份是缺失的基础原语

关于智能体安全的讨论，大多聚焦于对齐：让智能体做人类打算让它做的事。这是必要的，但还不够。对齐解决的是智能体会做什么的问题；归因解决的是当它行动时谁承担责任的问题。

为使归因在技术层面可行，智能体需要持久的、有范围的身份。不只是账户，不只是 API 密钥，而是携带委托溯源的身份——可追溯至创建它的人类或机构委托方，且权限范围与约束内嵌于凭证之中。智能体应呈现一个签名声明，其效力是：我被授权代表实体 X 行事，在范围 Y 内，直至条件 Z，且该声明由 X 签署，X 事后无法否认。

这是一种加密结构。它意味着大多数当前智能体部署所不具备的密钥管理和签名架构——因为大多数智能体部署的设计目标是产出结果，而不是产出机构级收据。

规模使这一问题变得紧迫

对智能体行动进行审计的压力，随这些行动的规模和影响而增长。一个智能体预订一张机票，人工审核尚可应对。一千个智能体在受监管领域——支付、医疗、法律执行——持续行动，则需要机构级收据基础设施，而非人工审核。

现在构建智能体部署的机构，将决定在该规模下运行的架构。如果该架构不包含身份、委托链和签名收据，日后将不得不进行改造——在监管压力下、在事故发生后，其代价远高于从一开始就内置它。签名层不是智能体能力的瓶颈，而是智能体能力赢得在后果性领域运行资格的前提条件。

收据层即信任层

智能体经济将建立在智能体在无人观察每一步骤的情况下可被信任去做的事之上。这种信任不由能力基准来授予，而由记录来赢得——一系列可签名、可归因、可审计的行动积累，机构、监管者和对手方可以检查。

构建这一记录，需要任何负责任的机构用来证明自身在授权范围内行事的同等基础设施：身份、委托、签名和审计。不只是因为监管者最终将会要求它——尽管他们将会——而是因为替代方案是建立在不可问责行动之上的智能体经济。而不可问责的行动，在规模上，不是进步，而是伪装成能力的责任。

收据层，是智能体经济为其在世界中行动的权利所支付的代价。