審計軌跡問題：抗篡改記錄是底線，而非上限

AI 智能體治理的問責語言中，充满了關於監督與審查的保證：日誌將被保留，行動將被記錄，審計將成為可能。這些表述是必要的——但還不够充分。它们告诉我们記錄存在，却几乎没有說明這些記錄是否可以被信任。

大多數問責框架背後隱藏着一個假設：日誌的存在等同於證據的可用性。在正常情况下，這個假設無害。在有爭議的情况下，它失效了。而最可能引發爭議的，恰恰是問責最為關鍵的時刻。

篡改證明差距

日誌的價值取决於其完整性。一個自己記錄行動的智能體，與一個其記錄無法事後被篡改的智能體，是完全不同的两回事。這一區别至關重要，因為最有動機篡改審計記錄的一方——運營方，或在運營方指令下行事的智能體本身——通常也是控制存儲記錄基礎設施的一方。

篡改證明差距，是"記錄存在"與"記錄可被獨立核實"之間的距離。這是問責悄然失效之處。存儲於運營方控制數據库中的審計軌跡，在正常情况下提供可見性，在有爭議時什么也提供不了。獨立審計真正起作用的，恰恰是運營方陳述受到質疑的場合——而自我證明的記錄無法化解這種爭議，它只是以格式化的方式重申了運營方的立場。

後量子維度

當前抗篡改的最佳實踐依賴密碼學簽名：日誌條目以私鑰簽名，任何篡改都會使簽名失效，公鑰充当驗證錨點。這在經典威脅模型下是可靠的，在後量子模型下則不然。

智能體今天積累的記錄，未來數年可能面臨質疑——而那時，具備量子能力的對手可以偽造歷史數據上的經典數碼簽名。如果這些記錄在十年後仍具意义，那么今天以 RSA 或 ECDSA 簽名的審計軌跡，並不是可靠的長期問責工具。解决這一漏洞的標準，是在创建時即以抗量子算法簽名，使記錄在未來的密碼學攻擊下仍能抵禦偽造。這一標準已經存在，但在智能體系統中尚未成為默認配置。

在後量子安全這一關鍵節点，這是一個主動設計要求。在受監管環境中运作的智能體——安全基礎設施、金融系統、健康檔案——正在生成今天的記錄，這些記錄將在具有漫长時間跨度的法律或監管程序下被審查。推遲簽名升級，是一種主動選擇接受不可驗證記錄的決定。

硬件作為錨點

最强形式的抗篡改日誌，將記錄根植於硬件。硬件安全模組或可信執行環境，可以用從未離開安全邊界的密鑰對日誌條目进行簽名，该密鑰在製造時即經過證明，其證明链可以由任何持有根證書的方來核實。這不是理論能力——它是成熟密鑰管理基礎設施已經提供的功能。差距在於，智能體部署很少將其列為要求。

硬件根植的審計軌跡能做到純軟件日誌無法做到的三件事：使簽名密鑰可證明地獨立於智能體和運營方，防止任何一方悄然改寫歷史；使簽名時間可在不依賴系統時鐘（系統時鐘可被操控）的情况下得到核實；使記錄具有可攜帶性——任何持有證明證書的方都可以核實記錄，無需信任其所在的基礎設施。倡導者、監管者或法院可以自行核查記錄，而無需請求運營方代為操作。

照護場景：完整性與可訪問性

對於在現實世界照護場景中运作的智能體，審計軌跡的完整性不是工程偏好，而是所有受其影响之人信任的前提——住客、家屬、指定倡導者、監督機構，以及可能在數月乃至數年後審查相關決定的監管者。

照護場景揭示了超越抗篡改之外的两項要求。第一是完整性。記錄智能體完成了一項任務，與記錄智能體觀察到了什么、評估了哪些選項、決定不做什么以及決策依據是甚麼，是截然不同的两件事。只有結果記錄而無推理過程記錄的審計軌跡，不是問責工具，而只是收據——可以確認某事發生了，却無從评判它是否應當發生。

第二項要求是可訪問性。只有運營方能讀取的抗篡改記錄，只服務於運營方。對於照護領域的智能體，審計記錄必須能被與運營方毫無關係的人獨立讀取——持有授權書的家屬成員、患者倡導者、指定檢查員。這並非私隱與問責之間的權衡。審計訪問可以被界定權限範圍。設計要求是：記錄架構從一開始就使獨立訪問成為可能，而非在爭議出現後才亡羊補牢。

彌合差距需要什么

由此引出三項要求。第一，高後果領域的審計記錄，必須在创建時以抗量子算法簽名。現在明确這一要求的成本微乎其微；事後發現十年的智能體審計記錄在密碼學上可被偽造的代价則無法估量。

第二，智能體審計記錄的簽名密鑰，應生成並存儲於硬件中，且證明链獨立於運營方。硬件安全模組是商用組件，技術壁壘並不存在——缺失的是明确的要求。

第三，對於照護等高风險領域，審計記錄格式必須规定内容，而不只是规定存在。一份記錄決策已發生但未記錄所考慮的替代方案及選擇依據的日誌，不是完整的問責記錄。記錄中必須包含什么，其標準應由依賴该記錄的人——倡導者、家屬、監管者——來設定，而不是由创建記錄的運營方來決定。

抗篡改記錄是智能體問責的底線。這一領域的問题在於：我们何時才能停止把底線当作上限。