交接问题：一个AI智能体将工作传递给另一个时的问责时刻

多智能体系统中，很少由一个智能体完成所有工作。实践中，智能体A收集信息，智能体B处理信息，智能体C根据结果采取行动。每一次这样的过渡——工作从一个智能体转移到下一个的时刻——就是一次交接。交接如此普遍，以至于在架构中变得隐形。这种隐形，正是问题所在。

交接时实际转移了什么

当智能体A将工作传递给智能体B时，发生了两件大多数系统视为同一件事的事：状态转移了，而授权被假设随之转移。但这两者并不相同。状态是数据、上下文、任务描述——接收智能体继续工作所需的一切。授权则是一项声明：智能体B被允许代表原始委托人、在委托人实际授予的范围内继续这项工作。

状态很容易转移。授权则不然。典型的交接传递状态，并期望智能体B推断交接本身就是足够的授权。当一切正常运作时，这一假设成立。它在最关键的情况下失效：当交接被注入、拦截或重放时，攻击者希望智能体B执行原始委托人从未授权的操作。

接收智能体的困境

智能体B在每次交接时都面临一个结构性问题：如果没有已签名、可验证的交接记录，它无法独立验证所接收工作的合法性。如果它信任从智能体A收到的一切，它就成为任何能冒充智能体A或修改交接负载的攻击者的攻击向量。如果它在没有验证的情况下拒绝行动，工作流就会中断。

大多数智能体系统设计通过隐含地信任内部消息通道上到达的任何内容是合法的来解决这一困境。在严格控制的部署中，这一假设是合理的。在智能体之间的通道跨越网络边界、智能体A本身在形成交接之前正在处理不受信任的输入、或者在智能体A工作期间调用的工具将外部数据引入交接负载的任何部署中，这都是不合理的。上下文污染问题和供应链问题在这里交叉：收到了被污染上下文的智能体，会在其交接中将该污染传递下去，而接收智能体没有机制来检测它。

照护环境中的物理世界交接

在临床环境中，交接问题有一个经过数十年研究和标准化的人类类比。临床交接——班次之间、照护团队之间、机构之间——遵循结构化协议，因为不完整转移的后果是可衡量且严重的。用药历史未被准确转移、持续监测未被明确交接的患者，是处于风险中的患者。

照护环境中的智能体间交接没有等效标准。当监测智能体将责任转移给升级智能体时，什么构成完整的交接？接收智能体在接受对某人照护连续性的责任之前必须验证什么？问责记录在转移时刻会发生什么？在照护中，问责记录不是技术工件——它是做出和审查照护决策的证据基础。一条涵盖了智能体A的观察但在交接时刻存在空白、然后在智能体B的行动中恢复的审计轨迹，无法重建系统在决定升级时所知道的内容。这个空白不是日志记录失败。它是在问责最关键的时刻的问责真空。

已签名的交接与后量子角度

设计良好的交接会生成一条交接记录：一份已签名的文件，指定谁在转移、谁在接收、交接携带什么授权及该授权在委托人层级中的来源，以及正在转移什么状态。接收智能体在接受交接之前验证签名。这在概念上并不复杂。但它很少被实现。

后量子过渡在这里同样重要，原因与它对终止信号和不可否认性同样重要：今天用经典非对称密码学签名的交接记录，未来可能是可伪造的。现在捕获交接流量的攻击者，凭借足够的未来能力，可以构造出看起来可信的交接记录，授权原始委托人从未许可的行动——有效地改写已经运行的管道的授权链。对于长期运行的智能体部署，交接签名机制需要从一开始就具有量子抵抗性，而不是在密码学假设转变后再进行改造。

硬件认证使情况更为复杂。当交接跨越设备边界——一个嵌入式单元在照护环境中将责任传递给另一个——硬件认证告诉你每个设备运行的是它声称运行的内容。它不认证交接负载本身。固件经过认证的设备仍然可以转发伪造或被污染的交接记录。认证和交接记录是独立的问责声明，两者都必须存在才能使链条成立。

完整的交接架构需要什么

一个严肃的交接架构有四个组件，必须在任何多智能体管道处理重要决策之前存在。第一，在转移时刻创建的明确交接记录：指定转移智能体、接收智能体、正在转移的范围，以及原始授权链。第二，接收智能体验证步骤，在对转移状态采取行动之前检查交接记录的签名并验证授权链。第三，状态一致性检查——接收智能体确认转移的状态在内部是连贯的，并且在其被授权处理的范围内。第四，将交接视为一等事件的统一问责日志，以便可以从单个可审计的轨迹重建整个管道中所有智能体行动的完整序列。

这些组件都不比智能体系统本身的成本昂贵。所有这些都被定期省略，因为交接看起来是管道细节而不是问责表面。交接是问责表面。它是责任从一个智能体转移到另一个的确切时刻——如果该时刻没有文档记录、没有签名、没有验证，之后的审计轨迹就建立在假设上，而不是事实上。