環境權威問题

當系統向AI智能體授予權限時，存在一個委託人——人或机構——審查了該授權並接受了其責任。授權模型依賴於這種審查。權限應該存在，是因為有人决定了它们應該存在；撤銷是有意義的，因為有具體的东西可以撤銷。

環境權威以一種安静的方式打破了這個模型。智能體不需要请求其執行環境中已經存在的能力。作為環境變量注入的雲服務憑證、掛載到容器中的文件系統路徑、從主机可訪問的網絡接口、從父進程繼承的文件描述符、對共享內存区域的隱式寫訪問——所有這些都是智能體進程無需任何顯式授權即可訪問的能力。没有委託人在智能體部署的上下文中審查過它们。没有審計記錄註明智能體持有它们。當智能體使用它们時，没有權限事件可以記錄，因為該能力從未被正式授予。

環境權威如何積累

環境權威通過普通的操作實踐積累。容器鏡像由平台团隊構建，他们的工作是基礎設施，而不是智能體安全。鏡像繼承了使部署正常工作的環境變量——數據庫连接字符串、API令牌、服務賬戶憑證。隨後，智能體被部署到該鏡像中，因為它是智能體其他依賴項的正确運行時環境。平台团隊並没有將憑證暴露設計為智能體權限授予。他们没有這样考虑。但從智能體的進程角度來看，這些憑證是可訪問的，而訪問它们不需要任何特殊操作。

權限積累問题描述的是隨時間请求和收集能力的智能體——每個请求單獨來看都是合理的，但总體上危險地寬泛。環境權威在結構上是不同的。這些能力從未被请求過。它们早於智能體的部署而存在。智能體没有積累它们；它在進程啟動時繼承了它们。這種区別對審計軌跡很重要：權限積累審查可以追蹤授權事件的序列。環境權威審查必須從執行環境本身開始，並向後推理智能體可以訪問什么——這是一項困難得多的取證任務。

硬件表面與物理世界交叉點

環境權威問题在嵌入式硬件部署中邊缘最為鋒利。照護監測設备具有特定的能力配置：它公開的傳感器、它控制的執行器、它運行的網絡接口。該配置是由了解每種能力物理後果的工程师為特定操作範圍設計的。

當AI智能體部署到該設备上時，它繼承了平台的完整能力配置。智能體的任務可能很窄——观察和总結；在閾值违規時發出警報——但其進程可以訪問設备公開的每個接口。如果智能體後來被更新，如果其上下文窗口被對抗性輸入污染，或者如果供應鏈攻擊改變了其行為，爆炸半徑不受智能體预期範圍的限制。它受設备物理能力表面的限制——一個更大的邊界，從未被審查為智能體權限授予。

在照護環境中，這不是理論上的擔憂。一個對執行器接口具有環境訪問權的監控智能體，在對抗性條件下，是一個可以影響物理環境的智能體。智能體被設計做什么與其進程可以訪問什么之間的差距，正是環境權威問题所創造的攻擊面。

後量子维度

環境憑證——API令牌、服務賬戶密鑰、云訪問憑證——通常是不记名令牌或使用經典非對称密碼學認證的憑證。它们是長期存在的，很少以安全態势要求的頻率進行轮换。在许多部署中，它们在服務的整個生命週期內都是静態的。

後量子過渡加剧了這一問题。今天存在的環境憑證可能使用在憑證退役之前就變得脆弱的密碼算法簽名或保護。在憑證生命週期內的任何時間点捕獲環境的攻擊者，凭借足夠的未來能力，可以在原始部署結束後很長時間內使用它來偽造授權操作。這是"現在收割，以後解密"模式應用於環境權威本身：代表智能體執行環境無限期行動的能力，因為憑證從未被限定在有界授權上下文中，也從未使用量子抗性算法簽名。

設計回應：顯式能力放弃

最小足迹原則说，智能體應該只獲取它需要的能力。環境權威問题揭示了一個必要的推論：智能體還應該明确放弃其環境中它不需要的能力。放弃是一個主動步骤，而不是缺乏行動。智能體啟動序列應該枚舉從其進程可訪問的能力——憑證、接口、路徑、描述符——並正式排除那些超出其操作範圍的能力。排除應該像授權一样記錄為授權事件。這創建了一個可審計的記錄，記錄智能體選擇不使用的內容，這與記錄它使用的內容同样重要。

這創造了一個可由委託人層級審查的邊界。並且創造了一個可以在基礎設施层面強制執行的安全不變量：智能體環境被剥離以匹配其声明的能力放弃声明的部署，是在智能體運行之前已在結構上限制了爆炸半徑的部署。

環境權威問题之所以安静，是因為它不需要任何行動。能力隨環境而來。智能體從不请求。授權從不發生。審計軌跡没有任何顯示，因為没有正式授予任何东西。這種沉默就是漏洞：没有審查的繼承權威就是没有問責的權威，在智能體對物理世界采取行動的领域，問責是不可選擇的。