协议骨化问题：密码学假设被固化于硬件之中，而硬件寿命超越了其所实现标准的有效期

每个运行加密算法的嵌入式设备都预装了一套密码学原语——哈希函数、密钥协商协议、签名方案——实现于协议栈的某处。对于成本、功耗和性能约束严格的设备，这些实现往往驻留于硅片之中：具有固定能力的硬件安全模块、加速特定运算的协处理器，或制造后内容不可更改的引导程序ROM。

在原语健全时，不可更改性是一种安全属性。当原语不再健全时，它就成了漏洞。协议骨化问题，就是当AI智能体部署在密码学表面无法改变的硬件上——而该硬件所实现的标准已不再足够——时所发生的问题。

为何后量子过渡使这一问题变得尖锐

过去十年发现的大多数密码学漏洞都有某种修复路径：新协议版本、修订后的密钥长度、弃用旧密码套件的软件补丁。这些修复之所以有效，是因为它们在软件层运作，变更可以跨已安装设备群增量部署。

后量子过渡在性质上截然不同。受威胁的算法——RSA、ECDSA、ECDH以及所有经典非对称密码学——不是因为某个可以规避的新攻击而变得不安全，而是因为一种新的计算模型。当具有密码学意义的量子计算到来时，每一个用ECDSA生成的签名都将被追溯性地认定为不可信，每一次用ECDH完成的密钥协商都将被追溯性地暴露。这一转变是永久的、单向的。

在固定硅片中实现这些算法的硬件没有迁移路径。一个依托硬件加速经典密码学来生成授权令牌、证明链和审计日志签名的AI智能体，无法通过固件更新变得后量子安全。该智能体生成的问责工具——日志、证明、签名授权记录——将在设备运行期间持续携带那些经典签名。

无法用补丁修复的问责缺口

问题不仅仅是骨化的硬件会暴露传输中的数据，而是它损害了智能体曾经生成的每一条问责记录的证据完整性。

在关键领域运作的AI智能体会生成签名记录：此智能体经此委托人授权，采取了此行动，发生于此时刻。签名使记录对第三方——审计员、监管机构、法院——具有可信度。如果签名方案可以被追溯性破解，记录的证据价值就取决于何时被审查，而非其是否被正确生成。一个在2026年正当行事的智能体，若签名该记录的硬件骨化于已不再受信任的经典原语，可能在2036年无法证明其行为的正当性。

这是一个没有追溯性修复方案的问责缺口。记录存在。签名存在。但签名的可信度取决于一个在质疑时刻可能已不成立的计算假设。

照护场景放大了风险

部署在物理世界照护环境中的设备服务寿命尤其长。安装在照护环境中的监测设备，合理预期可能运行十年。它所做的决策——异常检测、升级到人类照护提供者、用药依从记录——对其服务的人员具有直接影响。

一个硬件密码层骨化于经典原语的照护AI智能体，会生成无法在后量子过渡中存活的签名问责记录。当一项决策在数年后受到质疑，且必须提供智能体当时决策的密码学证明时，该证明上的签名可能因质疑时已存在的量子计算能力而被认定为可疑。无法回去用更强的算法重新签名。审计记录就是它本来的样子。

正确的架构应该是什么样子

解决方案不是避免硬件加速密码学。硬件安全模块、安全飞地和硬件根密钥存储提供了在智能体部署中确实重要的安全属性。解决方案是维护最小化且可分离的硬件密码表面——并从第一个设计决策开始规划密码学敏捷性。

对于其决策需要在长时间内保持可验证的AI智能体，这意味着：在硅片允许的情况下尽可能算法无关的硬件根；硬件之上可更新的软件密码层；从一开始就使用后量子算法生成审计日志签名，即使底层硬件无法在传输层强制执行PQC；以及包含所用密码学假设明确记录的设备级证明，以便任何依赖方都能清楚地了解适用的信任模型。

分离至关重要。存储密钥材料的硬件不必与对问责日志应用签名方案的组件相同。在签名算法可以被移至软件层而不牺牲密钥存储安全性的情况下，就应该这样做。这种分离就是当硬件密码层无法更改时，允许进行软件层升级的余量。

设计时刻就是现在

现在正在设计和部署的智能体将运行在整个后量子过渡期间都将在役的硬件上。今天在硬件选型会议上选择的密码原语，将是那些要么在过渡中存活，要么无法存活的原语。建立在这些选择上的问责系统，将与其所依赖的硬件假设一样耐用——或脆弱。

Asaptic Labs在硬件×后量子安全交叉点的工作，将协议骨化作为一级设计约束，而非边缘情况。每个限制密码学敏捷性的硬件选择，都是关于哪些问责记录将在过渡中完整存活——哪些不会——的决定。

今天在硬件中实现的标准，就是设备整个生命周期内承诺遵循的标准。请审慎选择。