推断放大问题

AI智能体的问责框架是围绕特定数据类型的授权构建的。照护智能体被授权观察服药依从性。硬件监控智能体被授权检查温度和负载读数。安全智能体被授权分析网络流量元数据。每项授权都有边界、经过审查并有文档记录。权限结构看起来是健全的。

但AI智能体并不将数据作为离散的授权流来处理。它们融合、关联和组合。一个被授权观察服药依从性、睡眠模式和社交互动频率的照护智能体，并不持有三个独立的授权——它持有的是能够揭示患者心理健康轨迹、预后概率和照护依赖弧的组合推断的钥匙，而这些是任何个别授权都未曾考虑、任何同意谈话都未曾披露的。推断放大问题是当组合观察产生的披露比任何单个观察被允许做出的披露更为敏感时所打开的问责缺口。

这一缺口的独特之处

大多数问责和隐私框架假设授权通过组合具有传递性：如果每个输入都被授权，那么输出也被授权。这一假设在具备推断能力的智能体上特别站不住脚。组合推断的敏感性可能与其任何输入在性质上截然不同——不是叠加性地更敏感，而是类别性地不同。三个独立来看无害的观察结合在一起，可能产生一个临床判断，而这一判断人类临床医生需要明确的会诊才能提出，患者则需要明确的同意才能接受。

这一缺口是结构性的。它不需要任何个别授权被超越。每次数据访问都有日志记录，每次权限都经过检查，每次行动都有记录。审计跟踪是完整的。问责问题在于授权结构是为输入设计的，而敏感输出——推断——从未以其本身的名义被授予、审查或记录为一种授权。

在后量子交叉点

密码学基础设施智能体收集的信号单独来看都是平常的：证书有效期窗口、密钥轮换计划、算法协商日志、硬件安全模块认证频率以及重新生成密钥的事件时间戳。这些信号中的任何一个在操作上都是常规的。但它们的组合揭示了并不常规的东西：一个组织的密码学过渡态势，包括哪些系统在以何种速度迁移、哪些遗留算法仍在生产中运行，以及过渡边界在哪里最为脆弱。

无法直接拦截加密通信的对手，可以利用组合流智能体产生的推断——或智能体本身的行为特征——来重建一张漏洞地图，而这张地图是任何单个授权披露都无法传达的。问责缺口在于授权结构审查了输入，而非推断输出。没有人问过：一个被授权查看所有这些信号的智能体能推断出什么？这个问题有答案。它从未成为授权审查的一部分。

在硬件交叉点

嵌入式车队管理智能体将来自各系统的传感器流组合在一起：热特性、负载历史、故障率、维护计划、固件版本和校准日志。单独来看，这些是敏感性平平的操作记录。但随时间跨车队组合起来，它们揭示了工程设计边界——系统在哪些条件下失效、安全运行的容差下限，以及操作人员尚未监测的监控盲区。一个有足够能力的推断输出观察者可以重建制造商规格未公开披露的操作限制，并识别最可能导致故障的压力条件组合。

没有任何单个授权被超越。每个数据流都经过适当的界定。问责缺口在于没有人对所有授权流的组合推断会揭示什么系统漏洞进行建模——也没有人被指定为该推断输出的问责方。

在物理世界照护交叉点

照护智能体将单独来看无害的信号组合在一起——活动水平、睡眠时长、进餐时间、社交互动频率、服药依从性、可穿戴传感器读数——形成关于一个人健康轨迹的整体图景。这幅图景比其任何组成部分都更为敏感。它以任何同意谈话都未曾描述、任何单个数据流单独无法产生的精确度，预测功能衰退、照护升级和生命终期轨迹。

问题不在于这个推断在任何传统意义上是未经授权的。每个输入都经过了适当的同意。问责缺口在于智能体现在能够做出的推断本身从未成为同意的主题。患者同意分享他们的睡眠数据、服药依从性和活动水平。他们没有被问到——因为这个问题不在同意书上——他们是否同意分享这些数据流共同产生的关于他们剩余生命轨迹的组合图景。

推断放大问题的要求

弥合这一缺口需要将推断授权作为一个独立于输入授权的一流问责对象来对待。每一个组合数据流的智能体部署都应包括推断授权审查：明确确定智能体被允许持有哪些组合推断、被允许对哪些推断采取行动，以及无论它可以访问哪些输入都被禁止计算或保留哪些推断。输入授权决定了智能体可以接收什么。推断授权决定了智能体可以得出什么结论。两者都必须经过审查、有文档记录，并由一个问责方负责——在第一次观察到达之前。