多租户隔离问题：一个智能体服务多位委托人时

大多数AI智能体的问责框架，都是以单一委托人为前提设计的。一个用户，一个运营方，一个层级清晰的委托链。但这并非智能体实际部署的方式。

一个服务于二十位住客的护理智能体，同时嵌入了二十段知情同意关系、二十份护理计划、二十个家庭的期望与二十份临床病史。一个跨投资组合公司管理发票的金融运营智能体，在单一运行时下服务数十个账户。一个企业工作流智能体处理数百名员工的请求，每人拥有不同的资历、权限级别和适当的操作空间。在实践中，任何规模化智能体的默认运行模式就是多租户：一个推理引擎、一个模型、一次部署，服务于多位委托人。

隔离问题的核心在于：当同一个智能体实例跨越多位委托人处理请求时，单一委托人部署所需的问责属性，并不会自动成立。其失效模式隐蔽、难以发现，且后果严重。

三个必须成立的隔离层面

多租户智能体部署的隔离必须在三个层面同时成立，而当前大多数架构仅强制执行其中一个。

第一是上下文隔离。智能体的上下文窗口、工具调用历史及检索记忆，必须严格限定于当前委托人。一个在上一轮检索了某位住客吞咽评估结果的护理智能体，在切换到下一位住客的请求时，绝不能携带前一位住客的任何信息。这听起来不言而喻，却在实践中屡遭违反。共享检索存储、跨越委托人边界的缓存层，以及长时程记忆缓冲，都会产生上下文泄漏的接触面。即便不存在恶意，针对某位住客校准的护理指令——"餐前总要提醒，该住客倾向于拒绝最初的提议"——也可能无形中影响智能体对下一位住客的回应，而两人的护理需求截然不同。

第二是权限隔离。一位委托人所授予的权限，不得延续或跨越委托人边界累积。若某位监护人授权智能体向临床工作人员发送非紧急提醒，该授权不延伸至任何其他住客的数据或提醒情境。这似乎不言自明，但多租户权限架构实际上难以正确构建。基于静态角色的访问控制——将权限授予智能体角色而非委托人范围的会话——系统性地违反了这一原则。正确的架构是将权限绑定于会话范围的凭证，而非绑定于智能体实例。智能体本身不持有权限；会话才持有权限。

第三是认证隔离。在硬件认证部署中，认证报告覆盖的是智能体二进制文件与执行环境，并不自动涵盖被处理的是哪位委托人的数据。若要使签名回执在多租户部署中具有实质意义，它必须将操作绑定至具体委托人的会话标识符、智能体身份与所执行的动作，三者缺一不可。缺乏这种绑定，回执仅能证明智能体在可信环境中运行——无法证明它代表正确的委托人、基于正确的数据运行。

失效模式如何呈现

上下文泄漏很少以灾难性的信息披露形式出现，而是表现为细微的误校准：智能体在处理了来自不同委托人的一系列强势覆写后，对拒绝略微更为顺从；智能体的风险升级阈值发生漂移，因为其最近处理的十个案例全部属于高危级别；智能体的语言风格在与某个社群进行长时间会话后向该社群的习语靠拢，随后却以不当方式与另一群体沟通。这些失效能通过大多数测试套件，因为输出看起来合理。它们只有在输出对这个人、在这个时刻而言是错误的时候才会显现——而届时，后果可能已经发生。

权限泄漏往往表现为能力蔓延。一个为某位委托人的紧急操作获得了提升权限的智能体，在处理下一个请求时仍携带着提升后的会话凭证，因为会话从未被正确终止和范围化。在护理场景中，这可能意味着智能体访问了从未获得授权读取的数据，因为上一次交互的访问窗口未被关闭。

认证泄漏在规模层面危害最大。一份未编码委托人身份的签名回执，实际上成为了批量认证：它断言智能体总体上正确运行，但无法回答任何监管机构最终都会提出的问题——这项影响这个特定人员的具体操作，是否发生在经过正确界定和授权的执行情境中？

为何护理交叉点是最难的情形

三个交叉点各自在不同维度上提升了隔离要求。后量子交叉点使其成为密码学要求：基于格的密钥必须是委托人专属的，以防止未来的对手从另一租户的密码学足迹中恢复某一租户的密钥材料。在后量子部署中混用跨委托人的密钥情境，不仅是当前的隐私失败——更是一种随量子能力提升而日益危险的延迟密码学负债。

硬件交叉点使隔离成为认证工程问题。跨越多个租户的安全飞地，必须在架构上产生会话范围的认证报告，而非仅仅是设备级报告。TPM 认证的是启动时运行的内容；部署必须将该链条延伸至认证每次后果性操作时、代表谁运行的内容。

但物理世界护理交叉点使多租户隔离成为一项没有技术变通方案的知情同意与安全要求。护理智能体不仅是在处理数据——它在调解实际的护理决策。一次将一位住客的行动限制误归因于另一位住客的上下文泄漏，产生的不是软件错误，而是护理失误。在高危场景中，护理失误对人的健康与福祉有直接后果。护理AI的隔离要求不是工程上的细枝末节，而是知情同意保持有效、护理计划保持个体化、智能体能为每项具体决策承担责任的基础条件。

正确的隔离架构是什么样的

后果性智能体部署的多租户隔离，要求每位委托人在每次交互开始时映射到密码学范围的会话凭证，会话结束即销毁。智能体的检索与记忆系统以该凭证为访问门控，而非以智能体实例为门控。权限授权绑定于会话凭证，而非智能体角色。每份认证动作回执均绑定委托人的会话标识符、智能体身份与所执行的动作。后量子密钥材料按会话生成，绝不跨租户边界共享。

由此产生的是一个问责日志可分解的智能体：每项操作都可追溯至具体委托人、具体同意授权、具体时刻，以及经硬件认证的执行情境。来自一个租户会话的上下文或权限，无法污染另一个租户的会话。智能体服务多位委托人，并对每位委托人单独负责——不是作为统计汇总，而是对特定操作的具体问题给出具体回答。

这是应达到的标准。它高于当前大多数多租户部署所能满足的水平。在物理世界的护理场景中，这一标准没有商量余地。