供应链问题：AI智能体调用的每一个工具都是一次信任决策

当你部署一个AI智能体时，你审查的是智能体本身。你检查其系统提示、验证其模型，也许还通过硬件认证其权重。但你很少以同等深度审查的，是智能体代表你调用的所有工具：它触达的API端点、加载的插件、委托的子智能体。这些构成了供应链。智能体系统中的问责能力，只与其中最薄弱的环节一样强。

经典供应链攻击，现在以推理速度运行

供应链攻击并不新鲜。软件领域已面对多年：注入软件包仓库的恶意依赖、受损的构建工具、在正常运行的同时静默窃取凭证的后门库。智能体系统的不同在于，攻击面向上移动了，速度加快了，问责链也拉长了。

传统软件供应链攻击在代码执行时发生。智能体供应链攻击可以在推理时发生：一个返回微妙篡改数据的工具，一个其响应被精心设计以影响智能体后续决策的API端点，一个大多数任务执行忠实但在其他任务中悄悄引入偏差的子智能体。委托人只看到智能体的输出——而不是产生该输出的操控。等到审计人员将决策追溯到工具调用时，行动早已传播至世界中。

网络边界处的认证缺口

硬件根认证为你提供了关于在环境中执行的智能体的强保证。它认证模型权重、运行时环境、启动时加载的工具定义。它不认证的，是那些工具所调用端点的运行时行为。

当智能体调用第三方API时，调用离开了已认证的执行环境。响应来自一个你未曾度量的系统。返回的数据可能是准确的、被篡改的、过时的或对抗性精心构造的——认证包络不会延伸到网络边界之外。智能体将该数据纳入上下文，并以与信任已认证内部状态相同的置信度基于此行动。

这不是认证技术的缺陷，而是网络化智能体系统的结构性属性。你能认证的边界与智能体触达的边界不是同一边界。硬件认证提供的信任保证，恰恰在智能体影响延伸最远的地方终止：进入外部世界。

照护环境承担不起工具信任债务

在物理世界照护环境中，供应链问题产生直接后果。协助照护协调的智能体可能调用排班系统、药物管理平台和通信服务。每一个都是链中的一环。任何环节的供应链受损——一个微妙错报剂量的响应、一个将消息路由至错误照护团队的排班API、一个静默丢弃上报的通信端点——都可能在任何审查者发现之前产生到达人类的伤害。

照护环境还受到关于告知照护决策的数据来源和完整性的监管要求约束。问责要求延伸至数据本身，而不仅仅是处理数据的智能体。当智能体在行为从未被验证的端点响应上进行推理时，"智能体得出了结论X"不是一个可问责的答案。

后量子供应链：过渡窗口关闭之前

后量子过渡引入了一个特定的供应链关切：工具端点的密码学完整性。今天大多数API通信依赖经典非对称密码学——一台能力足够强大的量子计算机可以破解的密钥交换方案。在过渡期间，当后量子密钥交换正在生态系统中参差不齐地部署时，今天收集加密流量的攻击者可以在获得量子能力后追溯解密API响应。

对于将调用外部端点作为决策制定一部分的智能体系统，这不仅仅是保密性问题。如果收集的响应在未来被选择性重放——在原始端点已停用且审计轨迹已冷却之后——智能体可能在未被检测到就已被替换的数据上进行推理。供应链完整性问题与后量子过渡问题在API层的交叉，以任何一个问题陈述单独都无法完整捕捉的方式发生。

供应链问责需要什么

治理智能体系统中的供应链，需要将问责边界延伸至智能体本身之外。最低限度：智能体调用的每个外部端点应在部署时注册；其响应应与其告知的智能体决策一同记录；行为异常应在事后可检测。一个无法说明产生其决策的数据来源的智能体，无法就那些决策被追究责任。

供应链审查还意味着，第三方工具和API应与调用它们的智能体接受同等的入驻审查。在智能体边界处进行认证是必要的，但不充分。最难发现的供应链受损，不是恶意端点自我暴露的那些——而是端点99.9%的时间行为正确，而被操控的响应恰好在智能体最依赖外部数据、最没有能力检测偏差的决策点到达的那些。

信任你能度量的。治理你不能度量的。确切知道两者之间的边界在哪里——因为那个边界是问责终止、暴露开始的地方。