← 返回博客
× 量子安全 × 硬件 × 物理世界照护

数据溯源问题:无法追溯数据来源的AI智能体,无法为其决策提供正当依据

作者:Asaptic Labs 2026-06-14 5 分钟阅读

当法官询问证人如何得知其所声称之事时,回答不是可选项。来源在法律推理中至关重要,因为它决定了一项主张能否被信任、质疑或排除。一个基于无法追溯来源的数据行动的AI智能体,与无法说明信息来源的证人处于结构上完全相同的处境:其输出可能正确,但不具备可问责性。而在智能体决策带有真实后果的领域——临床环境、安全硬件、后量子信任基础设施——不可问责是不可接受的。

数据溯源是这样一种能力:对于影响某一决策的任何信息,能够追溯其来源、到达路径、经历的变换,以及在每个环节对其准确性进行背书的主体或实体。在传统软件中,这一问题尚属可控,因为输入是有界且显式的:函数接收参数,查询返回行,API返回响应。每条数据的来源要么在调用时已知,要么因代码逻辑是确定性且可审计的而无关紧要。AI智能体从两个方向打破了这些假设。

为何智能体面临传统软件所没有的溯源问题

大规模运行的AI智能体接收的并非整洁、有界的输入。它从工具调用、网络检索、记忆存储、文档、电子邮件、其他智能体的输出以及传感器读数中汲取信息——所有这些均以自然语言或结构化数据形式到达,且没有强制性的溯源标注。智能体将这些来源综合为对当前情境的工作模型,并从该综合中推导出决策。在决策时刻,推理轨迹通常存在于智能体的上下文窗口内,而非以签名的、外部可验证的记录形式存在。数据来源是隐式推断的,而非经过证明的。

由此产生三种失效模式。污染溯源发生于数据从未经授权或对抗性来源进入智能体推理——注入的文档、被篡改的工具响应、被污染的记忆条目——而智能体缺乏将其与可信输入区分的机制。链条断裂发生于数据经过中间环节传递——另一个智能体、摘要步骤、缓存检索——该环节未保留来源元数据,导致下游智能体即便有意也无法核实原始来源。未经认证的溯源发生于来源仅在数据中自我声明("此读数来自传感器单元7"),但该声明未加密绑定到任何使其难以伪造的依据。

后量子维度

溯源链建立在数字签名之上:传感器对读数签名,数据库对导出签名,智能体在向下游传递前对输出签名。这些链条的安全性完全取决于签名方案在计算上的抗伪造性。随着向后量子算法的密码学转型推进,以经典算法签名的溯源记录在回溯上变得脆弱。具备足够量子能力的攻击者可以伪造将捏造数据插入历史溯源链的痕迹——使某一决策看似基于合法输入,而实际并非如此。

架构应对方案是:对于溯源声明需要在量子转型窗口之后仍可验证的数据,即刻开始使用后量子算法对溯源记录签名。这对长期留存的记录尤为关键——临床病历、安全审计日志、基础设施认证链——其溯源声明可能需要在数十年后仍然有效。相较于事后修复签名已被量子对手破解的溯源链,从一开始就采用经典与量子混合签名方案的成本要低得多。

硬件认证维度

硬件认证是智能体系统可用的最强溯源锚点。其溯源根植于硬件度量飞地的读数、决策或凭证,继承了认证的保证:数据由在特定时间、经验证的硬件环境中运行的特定软件配置产生。这不是声明式溯源——而是构造式溯源,硬件本身是该声明的当事方。

对智能体架构的含义是:来自硬件认证来源的输入应被视为比仅软件来源的输入更高的信任层级,且这一区分应贯穿溯源清单。需要做出高后果决策的智能体,应在可能的情况下优先选用经认证的输入,并在无法获取时优雅降级——向主体表明溯源置信度降低,而非默默继续,仿佛所有输入等价。

推论是认证链本身必须防范插入攻击。声称具有硬件认证的溯源记录只有在认证不可被伪造或重放时才有价值。此处的重放维度与重放攻击问题中讨论的新鲜度要求直接交叉:未经新鲜度绑定验证的硬件认证,是一个比表面上更弱的溯源锚点。

物理世界照护维度

在照护AI部署中,数据溯源承载着使抽象问题具体化的监管与临床分量。关于用药剂量、护理计划调整或出院时机的决策,是否有效,可能完全取决于驱动该决策的数据是否来自权威临床来源。来自患者主记录的读数与来自未经验证第三方应用的读数并不等价。由责任临床医生签署的护理计划与由先前AI智能体步骤生成的摘要并不等价。这一区别并非吹毛求疵——它决定了责任归属、临床有效性,以及在某些司法管辖区的法律可执行性。

因此,照护AI系统需要将溯源清单作为每个重要决策记录的一部分:对所使用的数据来源、其声称来源、该来源是否经加密验证,以及决策因此所具备的溯源置信度水平进行结构化说明。这份清单不主要是技术工件——它是对可问责性问题的回答:"智能体基于何种依据做出决策?"缺乏它,审计轨迹仅记录了决策内容,而未记录该决策是否建立在可辩护的基础之上。

设计应对

溯源感知的智能体架构需要三个协同运作的要素。第一,智能体必须在其推理上下文中维护溯源清单——影响重要决策的每个输入必须标注其来源、该来源的验证状态,以及自获取以来的保管链。第二,溯源无法验证的输入必须被视为较低信任度并相应处理:在审计记录中披露、向主体标记,或在未获明确批准的情况下排除在高后果决策之外。第三,溯源清单本身必须经过签名且防篡改,且签名必须使用能够经受密码学转型的算法。

基本原则在于:智能体对某一决策的正当依据,仅与该决策所依赖数据的溯源同样可靠。可问责性不仅是智能体做了什么、是否具有权限的问题——也是智能体对世界的认知图景是否建立在可验证来源之上的问题。无法回答后一问题的智能体,无论其授权凭证如何,都不具备可问责性。溯源是智能体赢得基于所给予信息行动之权利的方式。

← 全部文章 延伸阅读:重放攻击问题 →