校準漂移問題：智能體物理世界輸入悄然退化時的問責機制

發生故障的傳感器会停止产生讀數，或产生明显错误的讀數从而触发警報。發生漂移的傳感器则持續产生讀數。这些讀數偏差微小且缓慢增长。在任何给定时刻，讀數看起来都是合理的。没有单个讀數足以引起警惕。只有在事后——当基于数月漂移數據做出的決策被证明是有害的——这一模式才变得清晰可见。

这就是校準漂移問題。它处于硬件与问责的交汇点，在AI智能體部署最快的領域中最为尖锐：實體世界護理和关键基础设施。围绕AI智能體发展的问责框架尚未充分解决这一問題，部分原因在于智能體问责的法律和哲学范畴是围绕离散事件而非漸進退化构建的。

为何漂移比故障更难处理

傳感器故障有清晰的问责結構。智能體基于傳感器讀數做出決策；傳感器随后被发现已故障；智能體的行动可追溯至已知故障时间的缺陷输入。責任可以在智能體開發者、硬件供應商和负责維護的運營者之间分配。

漂移消解了这一結構。没有故障时刻。傳感器在最后一次校準时产生可接受的讀數，现在仍然产生落在合理範圍内的讀數。智能體不是在基于損壞的输入行动，而是基于逐渐变得不那么准确的输入行动。没有外部参照，智能體无法区分这两种情况。在许多情况下，運營者同样无法区分。

问责問題因此变为：当一个智能體基于其所拥有的输入正確行动，而这些输入已悄然退化时，由谁来承担由此造成的伤害？答案并不明显，现有框架也没有提供答案。

硬件交叉點：信任根的漂移

在硬件交叉點，校準漂移触及智能體身份和加密正確性的基础。硬件安全模块依赖内部振荡器，其頻率漂移会影響加密操作的時序。依赖同步时钟的協議中的時序漂移——包括许多进入部署的後量子金鑰交换方案——可能导致操作在规范之外悄然運行。操作在完成而不报错的意义上是成功的，但在協議所依赖的時序保证不再成立的意义上是失敗的。

这对管理加密狀態的AI智能體至关重要。负责金鑰輪換、會話管理或硬件锚定系统中證書生命周期的智能體，正在基于依赖校準硬件的時序和狀態信息做出決策。如果硬件發生漂移，智能體对加密狀態的视图就会存在微妙错误，它将继续自信地基于该视图行动，因为其可观察環境中没有任何信号表明存在問題。

这里的问责挑战在于：智能體不是失敗点，硬件也没有以任何可檢測的方式損壞。失敗模式存在于校準事件之间的间隙中——而这个间隙通常没有被定义、追踪或视为与问责相关的記錄。

護理交叉點：讀數看起来正確但并非如此

在實體世界護理環境中，校準漂移创造了更直接且更难防御的风险。AI護理智能體基于嵌入護理環境的傳感器讀數做出決策——关于用藥計劃、活动水平、護理升级閾值。讀數高出两个百分点的血氧仪看起来没有損壞，它报告的值在合理範圍内。向下漂移五公斤的体重秤不会触发任何警報，它产生的趋势线看起来平滑。檢測半径缩小的运动傳感器不报错，只是无法登记實際發生的活动。

在每种情况下，智能體都在根据其输入正確行动。它在讀數越过配置閾值时进行升级，维持讀數所支持的護理計劃。失敗是不可见的，直到伤害發生，而漂移的讀數在事后做出解释。

最暴露于这种失敗模式的人是无法自我报告傳感器讀數错误的護理接受者。经历真实生理变化的老年居民可能无法区分智能體的决定是不正確的还是情况就是智能體所描述的那样。智能體对其讀數的信心——通常以对決策的信心传达给護理人员——并未针对提供證據的硬件的物理狀態进行校準。

问责架构的要求

将校準漂移视为问责問題而非維護問題，会改变架构必须做的事情。若干屬性变得必要。

首先，校準事件必须被视为一等审计記錄。智能體据以行动的每个傳感器的當前校準狀態，应当是一个已記錄、有时间戳且可查詢的事实——与智能體做出的決策同等重要。一个記錄了智能體決策内容但没有記錄当时输入校準狀態的審計追蹤，在问责意义上是不完整的。

其次，智能體必须将傳感器不确定性傳播到其輸出中。一个基于最近校準超出规定容差窗口的硬件所提供输入进行行动的智能體，应该明確標記这种不确定性——在其決策記錄中，以及在可能的情况下向依赖其輸出的人標記。智能體对決策所表达的信心，不应与提供其證據的硬件的物理狀態无关。

第三，校準計劃必须被视为可审计的義務，而非可推迟的維護建議。在護理環境中，这意味着将智能體操作權限与其所依赖傳感器的校準狀態挂钩。傳感器输入超过校準閾值的智能體，应在降級模式下運行——自主性降低，明確標記不确定性——直到校準恢复。

校準漂移問題并不罕见。部署在實體環境中的每个AI智能體都面临它。为这些智能體构建的问责架构需要直接解决它——不是作为边缘案例，而是作为運行領域的結構性屬性。