第三方问责缺口：AI智能体对授权链之外的人造成伤害时的问责

AI智能体的问责架构围绕委托人层级构建：部署者授权智能体，智能体在该授权范围内行动，当出现问题时，问责沿链条向上回溯。这一架构内嵌着一个基础假设——问责所关注的各方，就是参与授权的各方。在物理世界的部署场景中，这一假设经常失效。

由护理机构授权的AI照护智能体，会影响临床人员、探访家属以及共享环境的其他居民。由建筑所有方授权的楼宇管理AI，塑造着场地内每位租户和承包商的日常体验。由机构安全团队授权的后量子密钥管理基础设施，为从未参与授权流程的人员的数据创建或破坏安全属性。在每种情形中，实质性伤害都可能触达完全处于授权链之外的人——而现有的问责机制中，没有任何一种是为触达这些人而设计的。

以委托人为中心的缺口

委托人层级模型将问责视为一个闭环：委托人授权，智能体行动，委托人担责。第三方伤害在这个闭环中没有结构性位置。受影响方未曾同意部署；无法指出被违反的同意记录；无法访问记录智能体行为的审计跟踪。其问责主张即便得到认可，也必须经由一套并非为智能体物理世界部署而设计的法律框架来传递。

这并非罕见的边缘情形。在任何规模化的物理世界部署中，受影响群体在设计上就大于被授权群体。要求可能在共享物理空间中遇到AI智能体的每位人员事先同意，在实践上几乎不可能实现。部署者围绕委托方构建授权，后果却落在更广泛的群体上。

后量子安全交叉点

后量子密码基础设施由机构部署——医疗系统、金融机构、公共机构——依据其自身安全与合规团队授予的授权。向量子抗性算法的迁移，改变了这些机构持有的关于非迁移决策参与方人员数据的安全属性。如果过渡期引入漏洞窗口，或遗留数据的重新保护不完整，处于风险中的人员并非授权迁移的决策者。他们既未收到迁移发生的通知，若迁移出现问题，也无法访问问责流程。

这种不对称性是结构性的。决定如何及何时迁移的机构持有迁移计划、风险评估和审计记录。安全属性受决策影响的数据主体则一无所有，对管辖该决策的问责流程也没有正式主张权。迁移成功对他们而言是无感的；迁移失败则是他们的问题。

硬件交叉点

嵌入楼宇基础设施的AI智能体，依据控制该建筑的实体授权运行。住户——租户、访客、承包商、配送人员——并非该授权的当事方。若智能体记录他们的行动轨迹、基于行为推断调整环境条件、或依据模式识别修改访问权限，这些行动针对的是可能根本不知道该智能体存在、更不用说其授权范围的人员。

硬件证明验证智能体相对于其委托人授权的完整性，不验证该授权范围是否适合于智能体行动所涉及的每个人的利益。一个完整经过证明的部署，若系统性地影响了一群未曾同意的住户，仍然构成伤害。证明机制未提供任何供这些住户表达的途径。

物理世界照护交叉点

由照护机构授权的AI照护智能体，每天与从未授权它的人员接触。临床人员在未参与部署决策的情况下，与智能体的建议并肩工作。探访照护对象的家属，其与亲人的关系经由智能体的行为输出来调节。共享空间中的其他居民，其隐私因照护智能体为服务他人而使用的传感器而受到附带牵连。

这些人员没有任何正式渠道来提出智能体如何影响了他们的问责关切。若智能体造成伤害——强化临床错误、生成关于访客影响其访问权限的推断、记录从未同意录制的居民互动——锚定于委托人层级的问责流程，在结构上没有容纳这一主张的空间。照护机构向其委托方负责，并通过监管向主要照护对象负责。环境中的其他所有人，都处于这一架构之外。

弥合第三方问责缺口的要求

第三方问责不能通过增加委托人来解决。解决方案不是要求可能出现在共享空间的每位人员事先同意——这一要求在大多数物理世界部署场景中不具可操作性，且会使最需要部署的地方反而无法部署。

最低限度的回应，是在部署设计阶段进行明确的第三方影响范围界定。部署前，部署者识别将在委托人层级之外受到影响的人群类别。针对每类人群，部署设计说明智能体可收集其哪些数据、可对其采取哪些行动，以及若其遭受伤害，存在何种问责机制。该说明是部署记录的一部分，而非事后补充。

部署设计还需要可访问的申诉路径：正式机制，使非委托方受影响人员能够提出问责关切、访问与针对其所采取行动相关的记录、并寻求救济。这不要求事先授权——只要该方受到了智能体运行的影响。

在Asaptic Labs，第三方问责缺口被视为每个交叉点的一级部署设计问题。授权链是问责的必要起点，不是充分终点——在物理世界AI部署中，部署后果超出启动者范围几乎是常态。