离线智能体问题：网络中断时的问责

当AI智能体行动时，问责基础设施假设日志服务器是可以访问的。在数据中心和云端部署中，这一假设成立。在物理世界部署中——照护机构、工业现场、偏远地点的嵌入式硬件——网络时断时续、不可靠，或根本不存在。智能体仍必须行动。但当没有可访问的日志时，问责究竟意味着什么？

这就是离线智能体问题。它不是边缘案例。恰恰是在智能体具有最直接物理后果的部署场景中——老年照护、临床监测、基础设施管理——网络可靠性往往是系统最薄弱的环节。问责缺口恰好在最关键的地方打开：在那些无法撤销的决策中。

两种糟糕的默认方案

对网络中断最天真的回应是停机：如果智能体无法记录其决策，它就不应做出任何决策。在数据中心，这是最安全的策略——停机的代价是任务延迟，未记录行动的代价是问责缺口。但在照护机构，这一算式完全颠倒。负责检测无法自我照护的住户医疗事件的监测智能体，不能因为日志服务器不可访问就停机。在网络中断时停机，以问责层的安全保证换掉了照护层的安全保证。因无法记录日志而拒绝行动的智能体，以更直接的责任失效取代了问责失效。

相反的默认方案——继续行动、本地缓存日志、网络恢复时同步——在操作上合理，但在密码学上过于天真。本地日志是设备上的可变文件，操作员可以访问。标准本地缓冲区没有任何机制阻止文件在智能体写入之后、上传至中央系统之前被编辑。当智能体重新联网并上传缓冲决策时，没有密码学证据证明日志在离线期间未被修改。中央问责系统无法区分智能体实际行动的如实记录，与事后被筛选以删除操作员不希望留下记录的决策的日志。

基于硬件的离线认证

架构上的答案是在每次决策时进行本地认证。在智能体写入日志条目之前，硬件安全模块——TPM、安全飞地或同类芯片——使用硬件绑定且不可从设备导出的密钥对条目进行签名。签名承诺决策内容、时间戳、智能体当前的模型身份，以及将本条目与会话中所有前驱条目链接起来的哈希链。如果任何条目被事后删除、重新排序或修改，哈希链就会断裂。由于签名密钥无法离开硬件，签名无法被重新生成以覆盖被篡改的链。篡改在重连时是可检测的。

网络恢复时，智能体将签名的、有链式结构的日志上传至中央问责基础设施。中央系统从断连时最后一个已知良好条目开始向前验证哈希链。链中的任何断点、无效签名、违反预期顺序的时间戳，都是将整个离线期间标记为需要人工审查的充分证据——不是恶意意图的证明，而是证明该记录在未经审查的情况下不能被接受为干净记录。

这在通用安全工程中并非新思路。基于硬件的认证是安全启动、可信执行环境和企业端点完整性产品的基础。真正新颖之处在于：将其专门应用于AI智能体决策日志，作为一等的问责机制，明确目的是桥接中央日志不可访问的时间段，而非将离线运行视为问责的例外情况。

后量子维度

离线认证方案中的签名密钥，不仅必须抵御当前的网络级威胁，还必须经受量子过渡的考验。今天嵌入物理基础设施的AI智能体——照护机构、楼宇管理系统、医疗设备——在不更换硬件的情况下可能运行十到十五年。如果其硬件绑定签名密钥使用的椭圆曲线方案在这一运行窗口内对量子能力对手存在漏洞，则离线认证方案提供的问责能力仅在攻击可行之前有效。能够事后破解签名密钥的对手，可以伪造整个离线日志历史，随意插入或删除决策，并生成一条中央系统会接受为完整的签名链。

这意味着，为物理世界AI智能体预置的硬件安全模块今天就应使用后量子签名方案，即使代价是更大的签名尺寸和稍高的验证开销。做出正确选择的窗口在制造时。在已部署硬件中改装密码学原语技术难度大，在大多数嵌入式设备类别中，需要对每台设备进行物理接触——这在分布式照护基础设施中大规模执行是不现实的。

重连时刻

离线期间在网络恢复时结束。重连事件不仅仅是数据同步——它是中央系统在此期间无可见性的阶段的第一次问责审计。正确的处理方式是将重连视为认证审查：从断连点开始向前验证完整的离线决策哈希链，确认断连时记录的智能体模型身份与重连时一致（确认智能体在离线且无人监控期间没有发生静默更新），并确认硬件模块对自身执行环境的认证在间隔期间保持一致。

如果任何检查失败，正确的回应不是丢弃离线期间的输出或回滚智能体的行动。智能体在此期间的物理世界决策已经完成，且通常不可逆——照护警报已发出或已抑制，门已上锁或已开锁，用药已标记或已放行。问责审查无法撤销这些行动。其目的是将离线期间标记为需要人工审查，对该时间窗口内产生的每个输出附加认证说明，并向负责智能体运营的人员呈现该异常。

在物理世界照护部署中，这一点尤为关键。在异常情况下离线六小时的智能体，其离线期间的决策应由临床医生审查，然后才能将这些决策作为后续照护计划的权威输入。自动接受已重连的同步——因为上传没有报错——不是问责，而是问责的表象而非实质。

从一开始就为离线设计

离线智能体问题无法靠事后工具来解决。本地硬件认证、后量子签名密钥选择和重连审计协议，必须在部署前就设计进智能体架构。它们需要制造时必须具备的特定硬件能力、在智能体整个运行生命周期内必须保持一致的日志格式约定，以及必须在首次部署前集成到中央问责基础设施中的审计工作流。在没有这些机制的情况下部署到物理世界的AI智能体，其在不可避免的离线期间的问责记录是无法核实的——不是因为智能体做了任何错事，而是因为基础设施从未被设计成能够知晓。

问责不是日志服务器的属性，而是从决策时刻起记录的属性。在物理世界部署中，这意味着问责架构必须在网络不工作时同样有效。