不可抵赖性问题：为何AI智能体不能否认自身行为

当一名专业人员做出重要决定时——医生开具医嘱、金融分析师授权转账、安全工程师批准配置变更——该决定的记录通常通过签名、登录凭证或见证行为与当事人绑定。这种绑定并不完美，但它有明确的方向：举证责任落在当事人一方，需要解释记录与其陈述之间的任何差异，而不是由记录来证明自身的真实性。

AI智能体在默认情况下没有等效的绑定机制。一条记录智能体执行了某操作的日志条目，只是证明该操作被记录了——而非证明智能体确实执行了该操作、日志未被篡改，或者记录的操作与智能体实际做出的决策相符。当利害关系较低时，记录与不可抵赖性之间的差距尚不明显。当智能体在结果存在争议的领域运行时——照护决策受到质疑、金融授权遭到挑战、安全事件进入诉讼程序——这一差距就演变为问责记录中的结构性漏洞。

不可抵赖性的要求

不可抵赖性是一种属性，能够在事后证明特定当事方生成了特定消息或采取了特定行动，且该当事方无法可信地予以否认。在人类系统中，这通过程序控制与密码学机制的结合来实现——签名、审计轨迹、由独立方维护的带时间戳记录。

对AI智能体而言，不可抵赖性要求智能体在决策时使用绑定其身份且受防篡改保护的密钥，对自身输出进行签名。签名的内容不仅仅是所采取的行动——还包括智能体据以行动的输入、其运行所处的范围，以及将任务委托给它的授权链。签名证明：特定智能体在特定授权赋予下，从特定输入中产生了特定输出。若缺少这四个要素中的任何一个，记录都可能在该要素上受到质疑。

由此产生的实践后果是：不可抵赖性无法事后加装到日志中。它必须内置于智能体的行动管道中。记录智能体行为的日志，只有在满足以下条件时才构成不可抵赖性记录：日志条目由智能体在行动时签名；签名密钥的管理方式能够防止不可察觉的替换；且该密钥本身通过独立于智能体及其运营方可审计的证书链，绑定至智能体经过验证的身份。

量子安全节点

不可抵赖性的持久性完全取决于底层签名的持久性。今天部署的、使用经典椭圆曲线方案对行动签名的智能体，在当前威胁条件下产生的记录具有不可抵赖性。然而，若对手可使用足够强大的量子处理器——其实现时间线存在争议，但并非遥不可及——这些记录将面临追溯可抵赖的风险。具备量子能力的对手，可以在智能体的历史公钥下生成有效签名，将其插入行动日志的替代版本中，从而提交一份貌似可信的伪造记录。

这是"现收现破"（harvest-now-decrypt-later）问题在问责层而非机密性层的对应形式。今天使用量子脆弱方案签名的记录，将在签名算法被破解很久之后，继续在法律、监管和证据领域被使用。那些决策具有长尾法律敞口的智能体——在照护、金融授权或经认证的安全系统领域——正在签署今天看似可靠、十年后可能无法辩护的记录。

向后量子签名方案的迁移，是问责层面与加密层面迁移的对应形式。在操作上难度更大，因为签名嵌入于协议握手、证书链、固件验证管道和监管证据格式中——每个环节都有其自己的升级周期。但不迁移的后果不是机密性损失，而是对手追溯性伪造智能体历史决策记录的能力。

硬件节点

智能体不可抵赖性链条中最薄弱的环节，通常是签名密钥。存储在软件中、与智能体运行于同一系统上的密钥，可能被拥有足够权限的攻击者提取——或者被智能体的运营方提取，这在任何涉及智能体行为的争议中都会产生利益冲突。如果运营方控制签名密钥，运营方就有能力生成替代的签名记录，这对运营方之外的任何一方而言都会破坏不可抵赖性保证。

硬件安全模块和可信执行环境通过将签名密钥绑定至无法导出的物理信任根来解决这一问题。密钥在硬件边界内生成，从不离开该边界，且仅对硬件证明策略所允许的内容进行签名。这意味着智能体生成的签名，不仅证明了签名的内容，还证明签名发生在经过验证的防篡改环境中——无论是运营方还是外部攻击者，都无法对其进行事后修改。

对于部署在安全关键硬件中的智能体——工业系统、医疗设备、基础设施监控——硬件根签名是"运营方理论上可以伪造的日志"与"审计方可以独立于运营方配合而信任的记录"之间的分界线。这些领域的认证框架已开始要求这一能力。未进行此类设计的智能体，正在其问责架构中留下一扇供伪造者进入的门。

照护节点

在照护场景中，不可抵赖性问题有其特定形态。当AI智能体协助做出照护决策，且结果事后受到质疑时——漏诊了禁忌证、剂量阈值判断有误、影响了出院计划的风险评估——会产生两个问题。第一，智能体推荐了什么？第二，被执行的，是否就是智能体实际做出的推荐？

第一个问题是取证问题——推理记录问题。第二个问题是不可抵赖性问题：证明智能体在特定范围内、依据特定输入，产生了归因于它的那份推荐。在没有智能体端签名的系统中，照护提供者依赖平台运营方的日志，而这些日志可由运营方修改，任何独立方无法核查。对于人类临床医生的文档标准是签名且经见证的记录这一领域而言，这是不够的。

照护领域中具有不可抵赖性的智能体记录，还以双向影响责任链。能够提交智能体推荐内容签名记录——包括推荐所处范围、所依据的患者数据——的照护提供者，在证明人类照护者对该推荐进行了适当判断方面处于更有利的地位。签名记录并不消除人类的问责，而是厘清了它——而这正是任何形式问责得以存在的前提。

签名是必要条件，但不是充分条件

不可抵赖性无法解决取证差距——签名输出仍然是输出，而非推理轨迹。它无法解决范围问题——签名证明签署了什么，而非智能体是否在授权范围内运行。也无法保证行为正确——对错误答案的格式完整签名，仍然是错误答案。

签名的作用在于锚定记录。它使"智能体是否做了这件事"这一问题，可以通过证据而非断言来回答。其他所有问责主张——关于范围、推理、监督——都建立在包含这一答案的基础之上。没有它，关于AI智能体决策的争议，就只是相互竞争叙述之间的较量，而非可核查记录的对比。

对于在后果重要的领域中运行的智能体，"谁签署记录"不是可以推迟到后续架构评审中处理的细节，而是整个问责结构的承重问题。从信任根开始构建，在智能体做出第一个重要决策之前——并选择一个在密码学格局转变时仍能成立的信任根。