← 返回博客
× 量子安全 × 硬件 × 物理世界照護

數據溯源問題:無法追溯數據來源的AI智能體,無法為其決策提供正當依據

作者:Asaptic Labs2026-06-145 分鐘閱讀

當法官詢問證人如何得知其所聲稱之事時,回答不是可選項。來源在法律推理中至關重要,因為它決定了一項主張能否被信任、質疑或排除。一個基於無法追溯來源的數據行動的AI智能體,與無法說明信息來源的證人處於結構上完全相同的處境:其輸出可能正確,但不具備可問責性。而在智能體決策帶有真實後果的領域——臨床環境、安全硬件、後量子信任基礎設施——不可問責是不可接受的。

數據溯源是這樣一種能力:對於影響某一決策的任何信息,能夠追溯其來源、到達路徑、經歷的變換,以及在每個環節對其準確性進行背書的主體或實體。在傳統軟件中,這一問題尚屬可控,因為輸入是有界且顯式的:函數接收參數,查詢返回行,API返回響應。每條數據的來源要麼在調用時已知,要麼因代碼邏輯是確定性且可審計的而無關緊要。AI智能體從兩個方向打破了這些假設。

為何智能體面臨傳統軟件所沒有的溯源問題

大規模運行的AI智能體接收的並非整潔、有界的輸入。它從工具調用、網絡檢索、記憶儲存、文件、電子郵件、其他智能體的輸出以及傳感器讀數中汲取信息——所有這些均以自然語言或結構化數據形式到達,且沒有強制性的溯源標注。智能體將這些來源綜合為對當前情境的工作模型,並從該綜合中推導出決策。在決策時刻,推理軌跡通常存在於智能體的上下文窗口內,而非以簽名的、外部可驗證的記錄形式存在。數據來源是隱式推斷的,而非經過證明的。

由此產生三種失效模式。污染溯源發生於數據從未經授權或對抗性來源進入智能體推理——注入的文件、被篡改的工具響應、被污染的記憶條目——而智能體缺乏將其與可信輸入區分的機制。鏈條斷裂發生於數據經過中間環節傳遞——另一個智能體、摘要步驟、緩存檢索——該環節未保留來源元數據,導致下游智能體即便有意也無法核實原始來源。未經認證的溯源發生於來源僅在數據中自我聲明(「此讀數來自傳感器單元7」),但該聲明未加密綁定到任何使其難以偽造的依據。

後量子維度

溯源鏈建立在數字簽名之上:傳感器對讀數簽名,數據庫對導出簽名,智能體在向下游傳遞前對輸出簽名。這些鏈條的安全性完全取決於簽名方案在計算上的抗偽造性。隨著向後量子算法的密碼學轉型推進,以經典算法簽名的溯源記錄在回溯上變得脆弱。具備足夠量子能力的攻擊者可以偽造將捏造數據插入歷史溯源鏈的痕跡——使某一決策看似基於合法輸入,而實際並非如此。

架構應對方案是:對於溯源聲明需要在量子轉型窗口之後仍可驗證的數據,即刻開始使用後量子算法對溯源記錄簽名。這對長期留存的記錄尤為關鍵——臨床病歷、安全審計日誌、基礎設施認證鏈——其溯源聲明可能需要在數十年後仍然有效。相較於事後修復簽名已被量子對手破解的溯源鏈,從一開始就採用經典與量子混合簽名方案的成本要低得多。

硬件認證維度

硬件認證是智能體系統可用的最強溯源錨點。其溯源根植於硬件度量飛地的讀數、決策或憑證,繼承了認證的保證:數據由在特定時間、經驗證的硬件環境中運行的特定軟件配置產生。這不是聲明式溯源——而是構造式溯源,硬件本身是該聲明的當事方。

對智能體架構的含義是:來自硬件認證來源的輸入應被視為比僅軟件來源的輸入更高的信任層級,且這一區分應貫穿溯源清單。需要做出高後果決策的智能體,應在可能的情況下優先選用經認證的輸入,並在無法獲取時優雅降級——向主體表明溯源置信度降低,而非默默繼續,彷彿所有輸入等價。

推論是認證鏈本身必須防範插入攻擊。聲稱具有硬件認證的溯源記錄只有在認證不可被偽造或重放時才有價值。此處的重放維度與重放攻擊問題中討論的新鮮度要求直接交叉:未經新鮮度綁定驗證的硬件認證,是一個比表面上更弱的溯源錨點。

物理世界照護維度

在照護AI部署中,數據溯源承載著使抽象問題具體化的監管與臨床分量。關於用藥劑量、護理計劃調整或出院時機的決策,是否有效,可能完全取決於驅動該決策的數據是否來自權威臨床來源。來自患者主記錄的讀數與來自未經驗證第三方應用的讀數並不等價。由責任臨床醫生簽署的護理計劃與由先前AI智能體步驟生成的摘要並不等價。這一區別並非吹毛求疵——它決定了責任歸屬、臨床有效性,以及在某些司法管轄區的法律可執行性。

因此,照護AI系統需要將溯源清單作為每個重要決策記錄的一部分:對所使用的數據來源、其聲稱來源、該來源是否經加密驗證,以及決策因此所具備的溯源置信度水平進行結構化說明。這份清單不主要是技術工件——它是對可問責性問題的回答:「智能體基於何種依據做出決策?」缺乏它,審計軌跡僅記錄了決策內容,而未記錄該決策是否建立在可辯護的基礎之上。

設計應對

溯源感知的智能體架構需要三個協同運作的要素。第一,智能體必須在其推理上下文中維護溯源清單——影響重要決策的每個輸入必須標注其來源、該來源的驗證狀態,以及自獲取以來的保管鏈。第二,溯源無法驗證的輸入必須被視為較低信任度並相應處理:在審計記錄中披露、向主體標記,或在未獲明確批准的情況下排除在高後果決策之外。第三,溯源清單本身必須經過簽名且防篡改,且簽名必須使用能夠經受密碼學轉型的算法。

基本原則在於:智能體對某一決策的正當依據,僅與該決策所依賴數據的溯源同樣可靠。可問責性不僅是智能體做了什麼、是否具有權限的問題——也是智能體對世界的認知圖景是否建立在可驗證來源之上的問題。無法回答後一問題的智能體,無論其授權憑證如何,都不具備可問責性。溯源是智能體贏得基於所給予信息行動之權利的方式。

← 全部文章延伸閱讀:重放攻擊問題 →