验证差距：AI 智能体为何需要硬件根身份

大多数已部署的 AI 智能体存在一个命名不当的身份问题。它们可以出示凭证——API 密钥、会话令牌、签名断言——但这些凭证只能证明持有签名材料的人发出了请求。它无法证明运行智能体的软件就是其所声称的软件，无法证明软件所在的硬件未被篡改，也无法证明执行环境与被评估、批准和信任的状态相符。从"我持有有效凭证"到"我就是所声称的，运行在所声称的地方，处于被授权的状态"之间的差距，就是验证差距。今天大多数智能体部署都落在这个差距之中，且不自知。

硬件验证真正提供了什么

硬件验证是对这一差距的工程回应。硬件验证机制——可信平台模块、安全飞地、带有度量启动链的硬件安全模块——生成一个经密码学签名的声明：特定软件以特定配置哈希运行在特定硬件上，处于特定固件状态。该声明由存储在硬件本身中的密钥签名，运行于其上的软件无法提取该密钥。如果验证链完整，依赖方有充分理由相信关于智能体执行上下文的陈述；如果验证链断裂——因为软件被修改、固件被回滚、或硬件并非其所声称——该断裂是可检测的。

这与仅凭软件的身份声明有本质区别。JWT 只证明知道密钥的人签署了它；硬件验证报告则证明特定二进制文件以特定度量配置运行在特定硬件上，该硬件具有可追溯到已知制造商的可验证监管链。这一差异至关重要，因为在后果严重领域中，智能体面临的威胁模型既包括凭证盗窃，也包括供应链攻击——而硬件验证能以纯软件方法无法做到的方式应对后者。

与三个关键领域的交叉

硬件验证恰好处于两个关键领域的交叉点：× 硬件领域涉及与物理系统接口的智能体；× 安全领域涉及智能体身份、凭证委托和审计完整性的密码学基础。没有硬件验证，智能体的身份声明只是软件断言，而软件断言永远弱于硬件根断言。

对于 × 物理世界照护领域，这一影响更为直接。接受智能体辅助决策支持的照护机构有义务知道其运行的智能体就是经过评估、批准并承担责任的智能体——而非评估后更新的版本，也非与测试版本存在偏差的配置。硬件验证结合配置管理和度量启动链，使这种保证在部署时而非仅在评估时成为可能。

量子维度与关闭差距

当前的验证方案依赖经典非对称密码学——RSA 或椭圆曲线签名，密钥存储在硬件中。随着后量子过渡的推进，这些方案需要迁移。由于相关签名密钥存在于无法通过软件简单重新生成的硬件中，这一迁移比大多数密码学应用更为困难。未针对算法敏捷性设计的验证基础设施将难以在合理时间内完成迁移。在迁移压力到来之前构建敏捷性，是现在就应着手的工作。

硬件验证不是研究项目——标准已存在，硬件已存在，工具链已存在。缺失的是将验证作为运营信任前提条件的规范，而非将软件凭证视为充分条件。关闭验证差距不需要新科学，而需要以关键基础设施对待硬件身份的同等严肃态度对待智能体身份：不是部署后的锦上添花，而是任何后果发生之前信任所依赖的最低条件。