权限积累问题：单独合理的授权如何在聚合层面变得危险

授予AI智能体的每一项权限都经过了某种形式的审查。有人决定这个智能体在这个部署上下文中需要访问某项能力——于是授权被批准。每个单独的决定通常是站得住脚的。问题不在于任何单一的授权，而在于没有人在审查它们的聚合状态。

权限在积累。它们跨越会话、跨越部署阶段、跨越不断演进的运营需求而积累。一个最初因某个照护工作流而获得患者记录读取权限的智能体，后来因出院摘要功能而获得了写入权限。一个需要传感器遥测读取权限的硬件控制智能体，后来因维护集成而获得了执行器命令权限。每次扩展在请求和批准时都是合理的。数月后，该智能体的总体能力档案已是无人刻意设计、也无人整体审查过的状态。

为何审计缺口是结构性的

对这一担忧的标准回应是"我们有审计日志"。审计日志记录了授予了哪些权限、何时授予、由谁授予。但审计日志是对时间序列事件的记录，而非当前状态的快照。要了解一个智能体今天的总体能力档案，需要重放整个权限历史、计入所有撤销，并生成一个连贯的汇总——这是大多数部署所不具备的主动投入和工具能力所要求的任务。

这个缺口是结构性的，而非偶发性的。权限管理系统的设计目标是高效处理单次授权决策，而非回答"这个智能体现在总共能做什么，这个总量是否仍适合其当前的部署方式？"这一问题需要跨时间、跨上下文、跨系统的聚合，且通常只有在出现问题之后才会被要求给出答案。

不过期权限的复利效应

当权限不会过期时，积累问题最为突出。为支持试点部署、一次性集成或已废弃工作流而授予的权限，可能会无限期有效，除非有人明确撤销。智能体的能力档案因此呈单调增长：权限在需要时被添加，但在不再需要时很少被移除。已废弃用例的残余授权，成为了攻击者——或行为异常的智能体——可以利用的能力表面。

在后量子安全语境中，这些残余权限比表面上看起来更危险。在经典威胁模型下，今天的残余授权可能看起来无害。但拥有足够算力的攻击者，可以将长期运行智能体积累的能力档案作为攻击面——其聚合权限远比任何单次会话范围更宽广。该智能体在事实上成为了一把被缓慢拼装的万能钥匙——不是因为有人刻意设计，而是因为没有人在追踪总量。

硬件维度的具体后果

在与硬件相关的部署中，权限积累具有物理后果。管理工业硬件的智能体可能在部署过程中跨子系统积累命令权限——每次授权都是对合理运营需求的响应。但物理系统中的命令权限与数据访问权限不同，其后果并不可逆。如果一个积累了执行器命令权限的智能体出现异常行为，损害可能是物理的、即时的，且无法通过撤销使能该行为的权限来消除。权限清单必须保持最新，不仅是为了审计目的，更因为在物理层面，基于过时清单采取行动的代价是以物理损害来衡量的。

照护环境中的人际维度

物理世界照护场景带来了积累问题的第三个维度：人际关系。照护智能体积累了对患者数据、沟通渠道、照护计划记录和临床工作流的访问。每次授权都对应特定的照护关系或任务。但在聚合层面，该智能体可能比任何单一临床医生都更全面地掌握患者的生活和健康轨迹——且其能力档案一旦被滥用或利用，可能在极为私人的层面造成伤害。同意单项集成的患者，并未同意这些集成在聚合层面所产生的总体能力档案。

设计应对

解决积累问题，需要将聚合能力档案作为一等产物来对待——主动维护、定期审查，并与智能体当前的运营范围进行比较。这与逐项授权审查是不同的纪律。它需要定期重新授权：在这个时间点上，现有权限不是默认延续，而是对照当前部署上下文重新审查，予以确认或撤销。它需要能从权限历史中生成连贯当前状态汇总的工具，而不仅仅是日志。它还需要每项权限都明确陈述用途和预期生命周期——以便在用途结束时，权限有明确的过期触发条件。

硬件绑定的权限状态在这里有所帮助。当权限授予与特定硬件配置锚定——由经硬件证明的密钥签发，并与智能体运行设备的运营上下文绑定——授权在硬件上下文发生变化时自动失效。权限无法在智能体重新部署时悄然跟随。聚合档案被限定在证明其合理性的上下文之内。

权限积累不是任何单一决策的缺陷，而是系统中单个决策被称职地做出、但系统不产生关于聚合状态信号的属性。在AI智能体从沙箱走向实质影响的领域中，弥合这一缺口不是可有可无的选项。这是有治理的权威与仅仅自然增长的权威之间的区别。