第二行动者问题：AI 智能体继承自身未创建后果时的问责制

AI 智能体的标准问责模型假设一个清晰的起源点：智能体被部署、采取行动、记录日志，出现问题时查阅日志。当智能体的完整运营历史是其自己的时候，这个模型运作良好。然而在实践中，大多数智能体不是第一行动者。它们继承。它们接手处于照护中途的患者。它们操作并非自己调试的硬件。它们管理并非自己生成的密码材料。它们应用在自己存在之前就已建立的授权策略。第二行动者问题就是：当智能体继承的历史已经塑造了其现在承担责任的结果时，问责制会发生什么。

问题不在于继承智能体对历史不知情。它可能可以访问先前记录、配置快照以及早期操作的审计日志。问题是结构性的：智能体的问责记录从其开始时开始，但产生当前结果的因果链可能延伸得更远。当发生不良结果时，调查必须跨越问责架构并非设计来穿越的边界进行因果归因。早期决定——由较早的智能体版本、人类操作员或系统集成商做出——通常不以支持因果归因的形式在当前智能体的记录中体现。继承的后果已经成为智能体的起始条件，而起始条件从当前日志来看就像是客观事实。

在后量子安全交叉点

密码密钥材料有一个生命周期，很少与智能体部署周期对齐。接管密钥管理中途的智能体继承了它未在自己设定的条件下生成的密钥材料。如果密钥是在现在被认为存在漏洞的经典算法下生成的，或在早于当前标准的实践下生成的，那么第二行动者智能体的安全保证受到该继承材料的限制——无论当前智能体自身的实践如何。智能体可能在完全符合当前标准的情况下运作，同时依赖于在其到来之前就已被破坏的信任根。

这造成了问责不对称。如果解密失败或密钥泄露后来被追溯到继承的材料，归因问题——谁的实践产生了弱点？——无法仅通过检查当前智能体的记录来回答。第二行动者智能体的日志是干净的。漏洞早于日志的第一条记录。对当前操作的后量子签名证明了它们自身的完整性；它们不能证明操作所建立的底层基础的完整性。继承问责要求将移交时刻记录为一个独立事件，其中包含密钥材料状态的明确快照、来源断言以及移交时承认的任何已知弱点。

在硬件交叉点

部署时建立的硬件配置在设备的延长使用寿命中持续存在。当新的智能体实例开始在其未调试的硬件上运行时，它继承了该设备配置中编码的安全属性和安全债务。初始部署时可接受的固件版本可能在智能体任期内低于当前标准。在早期假设下生成的认证密钥可能比当前规范要求的保证更弱。安装时建立的物理安全控制可能因磨损、环境暴露或智能体无法观察的设施变化而退化。

硬件证明回答了这个问题：该设备当前是否在已验证状态下运行授权固件？它没有回答：谁决定了什么固件是被授权的，或者今天是否会做出同样的决定？当前智能体发出基于证明的声明时，它断言该设备与其当前授权配置文件匹配。它不断言授权配置文件本身是按照当前安全要求设计的。第二行动者智能体继承了硬件状态和授权基线。如果该基线设置不正确或此后已变得不足，智能体的证明声明在形式上是正确的，但在实质上是不完整的。

在物理世界照护交叉点

护理连续性意味着大多数临床智能体在患者轨迹中途遇到患者。智能体正在执行的护理计划是在其部署之前建立的。药物已经开具。已采取的干预措施无法逆转。来自先前护理事件的临床观察为当前风险评估提供信息。智能体不仅继承数据，还继承临床义务——在不同操作背景下做出的行动承诺，没有智能体本身可能无法提供的临床理由，就无法单方面修订。

当发生不良结果时，临床问责审查必须询问：该结果是由当前决定、继承的护理计划要素，还是两者之间的相互作用所塑造的？这个问题很少能仅凭当前智能体的记录来回答。先前的护理记录是一个独立的系统，具有独立的来源，在不同的问责标准下生成。第二行动者智能体基于它未发起的信息和约束采取行动。其日志反映了它所做的事；它不反映为什么那些是可用的选择。不明确代表移交状态的护理问责架构——智能体收到了什么、在什么条件下、已有哪些义务在执行——无法可靠地回答哪些决定实际上驱动了结果。

继承记录作为问责原语

第二行动者问题的设计回应是继承记录：一种在智能体对正在进行的部署承担责任时生成的结构化、签名快照。继承记录捕获智能体收到的状态——密钥材料来源和年龄、硬件配置以及与当前标准的已知偏差、已生效的护理计划义务及其发起背景。它不是免责声明，而是使后续调查可行的问责锚点。

没有继承记录，对第二行动者结果的调查会退化为考古：从碎片来源拼凑先前状态，每个来源都有其自己的来源和可靠性特征。有了继承记录，移交时刻就是一个有文件记录的事实，因果归因可以清晰地分为智能体继承的内容和随后引入的内容。继承记录并不能修复潜在的问责差距——先前的决定仍然可以产生未来的后果——但它使继承和发起的后果之间的边界在审计追踪中可见。在三个交叉点，这种可见性是可问责部署的最低条件。