大多数面向AI智能体的问责框架都以会话为中心设计。智能体接收任务、推理、行动并产生输出。管理该会话的授权规定了智能体可以做什么、可以访问哪些数据、必须咨询哪些委托人。会话结束时,问责记录即告完成。在被再次调用之前,智能体不再对任何事情产生影响。
持久记忆打破了这一模型。当智能体跨会话保留信息——先前交互的摘要、学习到的偏好、关于用户或环境推断出的上下文、对其他智能体积累的信任评估——它会将这些信息带入未来的决策。这些未来决策受到在先前授权下、由先前调用、在先前上下文中产生的信息的影响。当前会话的授权记录并不反映这种影响。问责链在会话开始之前就已断裂。
这并非假设性架构。任何存储对话历史、用户档案、环境状态或跨会话上下文的智能体系统都在运用持久记忆。问题的规模随智能体的覆盖范围而扩大:记住偏好的个人助理尚在可控范围内;而在数月患者交互中积累临床上下文的护理智能体,或构建长期网络行为模型的安全智能体,则运行在问责问题实质上更为困难的领域。
授权问题
记忆在一种授权下创建,在另一种授权下被消费。授权第一个会话的委托人并未授权该记忆的未来影响。如果委托人后来修改了智能体的授权——限制其可以处理的内容、更改可咨询的数据源、撤销对特定系统的访问——积累的记忆可能反映了修订后的授权不再允许的假设。智能体的实际权限包括其记忆中编码的一切,而不仅仅是当前的授权文件。这一差距对于标准权限审计而言是不可见的。
当委托人发生变化时,问题更加突出。服务于护理团队A的智能体会积累来自与团队A交互的上下文。当团队B接手时,智能体携带着由团队A的实践、判断和优先事项塑造的上下文。团队B没有关于团队A的交互如何影响智能体当前行为的记录。他们继承了一个受某个委托人影响的智能体——而那个委托人他们可能毫不知情,且其对该智能体的权限早已终止。
后量子安全交叉点
管理基础设施安全的智能体会积累一个正常行为模型:哪些端点在通信、频率如何、使用哪些证书。该模型是在经典密码假设下从观测中构建的。当网络迁移到后量子算法时,行为指纹发生变化——新的握手模式、不同的延迟特征、改变的证书链。记忆中编码了迁移前基线的智能体最初会将量子过渡流量解读为异常。更危险的是,它可能已编码了信任评估——"此端点是受信任的"、"此证书链是规范的"——这些评估在经典假设下有效,但迁移后不再有效。记忆不会随训练它的算法一同过期。清除记忆通常被视为工程上的不便,而非安全要求。
硬件交叉点
在工业环境中运行的物理世界智能体会随时间积累对该环境的模型:传感器基线、设备行为特征、正常运行范围。这种积累的模型之所以有价值,恰恰是因为它需要时间来建立。但它同时也是一种风险:如果物理环境发生变化——设备更换、传感器重新校准、运营流程修改——智能体的记忆反映的是先前的环境。根据过时的环境模型做出的决策可能产生相对于记忆是正确的、相对于当前状态却是危险的行动。这一问题在硬件领域更为严重,因为基于不正确上下文行动的后果是物理性的,且可能不可逆转。
硬件智能体中的记忆还会产生退役问题。当物理智能体被替换或退役时,其记忆持续存在于它写入的任何存储中。该记忆可能包含敏感的运营数据、对人员行为模式的推断,或与安全相关的环境观测。智能体的退役记录很少包括记忆审计。这些信息继续存在,不受任何有效授权的管辖。
物理世界护理交叉点
跨会话积累临床上下文的护理智能体面临同时具有医疗、法律和技术性质的问责问题。它所携带的上下文——推断的疼痛程度、行为模式、药物反应、家庭互动信号——可能比临床医生明确创建的任何记录都更细粒度、更具个人敏感性。它不是由临床医生创建的。它由智能体推断,自动存储,并在后续会话中被访问,而患者并未对这一特定推断给予明确同意。
对智能体初始部署的同意并不构成对其在部署期间创建的每一条记忆条目的同意。撤回同意或将护理转移给其他提供者的患者,并不会自动撤销智能体的记忆。护理记录可能会被转移;智能体积累的上下文很少随之转移,且鲜有相同的可追溯性要求。记忆持续存在,在患者已正式结束关系的会话中继续影响决策。
记忆问题的解决要求
最低限度的回应是将记忆视为授权生命周期中的一等产物。每次记忆写入都应携带溯源记录:哪个会话创建了它、在哪种授权下、具有哪些同意范围。每次影响决策的记忆读取都应出现在该决策的审计记录中。记忆内容应受到与其所概括的数据相同的访问控制和过期规则的约束。
超越溯源,记忆还需要对其生命周期进行明确治理。委托人应能够审计智能体记住了关于他们的哪些内容、请求删除,并限制哪些类别的推断可以被持久化。当授权发生变化时,系统应评估现有记忆是否与新授权一致——而不仅仅评估未来行动是否合规。
记忆问题无法通过使智能体无状态来解决。状态往往正是使智能体有用的东西。但智能体系统的问责架构尚未跟上已投入生产的有状态部署的步伐。智能体所记住的与授权记录所反映的之间的差距,正是问责被悄然丧失的地方——一个会话接一个会话,一个推断接一个推断,在每一个尚未明确设计其记忆治理的部署中。
持久记忆打破了大多数智能体授权框架所假设的以会话为范围的问责模型。在一种授权下创建的记忆塑造了在另一种授权下做出的决策;修改或撤销授权的委托人无法追溯到积累的记忆;对部署的同意并不延伸至智能体存储的每一个推断。在后量子安全场景中,记忆编码了可能在算法迁移后失效的信任假设。在硬件部署中,过时的环境模型可能产生物理危险的行动,且记忆在退役后仍然存在。在护理场景中,智能体推断的上下文可能比任何明确的临床记录都更敏感,却很少受到相同的同意和可追溯性要求的约束。将记忆视为一等授权产物——具有溯源、访问控制、过期规则和明确的生命周期治理——是缩小智能体所记住的与问责记录所反映的之间差距的最低架构要求。