交接問題：一個AI智能體將工作傳遞給另一個時的問責時刻

多智能體系統中，很少由一個智能體完成所有工作。實踐中，智能體A收集信息，智能體B處理信息，智能體C根據結果採取行動。每一次這樣的過渡——工作從一個智能體轉移到下一個的時刻——就是一次交接。交接如此普遍，以至於在架構中變得隱形。這種隱形，正是問題所在。

交接時實際轉移了什麼

當智能體A將工作傳遞給智能體B時，發生了兩件大多數系統視為同一件事的事：狀態轉移了，而授權被假設隨之轉移。但這兩者並不相同。狀態是數據、上下文、任務描述——接收智能體繼續工作所需的一切。授權則是一項聲明：智能體B被允許代表原始委托人、在委托人實際授予的範圍內繼續這項工作。

狀態很容易轉移。授權則不然。典型的交接傳遞狀態，並期望智能體B推斷交接本身就是足夠的授權。當一切正常運作時，這一假設成立。它在最關鍵的情況下失效：當交接被注入、攔截或重放時，攻擊者希望智能體B執行原始委托人從未授權的操作。

接收智能體的困境

智能體B在每次交接時都面臨一個結構性問題：如果沒有已簽名、可驗證的交接記錄，它無法獨立驗證所接收工作的合法性。如果它信任從智能體A收到的一切，它就成為任何能冒充智能體A或修改交接負載的攻擊者的攻擊向量。如果它在沒有驗證的情況下拒絕行動，工作流就會中斷。

大多數智能體系統設計通過隱含地信任內部消息通道上到達的任何內容是合法的來解決這一困境。在嚴格控制的部署中，這一假設是合理的。在智能體之間的通道跨越網絡邊界、智能體A本身在形成交接之前正在處理不受信任的輸入、或者在智能體A工作期間調用的工具將外部數據引入交接負載的任何部署中，這都是不合理的。上下文污染問題和供應鏈問題在這裡交叉：收到了被污染上下文的智能體，會在其交接中將該污染傳遞下去，而接收智能體沒有機制來檢測它。

照護環境中的物理世界交接

在臨床環境中，交接問題有一個經過數十年研究和標準化的人類類比。臨床交接——班次之間、照護團隊之間、機構之間——遵循結構化協議，因為不完整轉移的後果是可衡量且嚴重的。用藥歷史未被準確轉移、持續監測未被明確交接的患者，是處於風險中的患者。

照護環境中的智能體間交接沒有等效標準。當監測智能體將責任轉移給升級智能體時，什麼構成完整的交接？接收智能體在接受對某人照護連續性的責任之前必須驗證什麼？問責記錄在轉移時刻會發生什麼？在照護中，問責記錄不是技術工件——它是做出和審查照護決策的證據基礎。一條涵蓋了智能體A的觀察但在交接時刻存在空白、然後在智能體B的行動中恢復的審計軌跡，無法重建系統在決定升級時所知道的內容。這個空白不是日誌記錄失敗。它是在問責最關鍵的時刻的問責真空。

已簽名的交接與後量子角度

設計良好的交接會生成一條交接記錄：一份已簽名的文件，指定誰在轉移、誰在接收、交接攜帶什麼授權及該授權在委托人層級中的來源，以及正在轉移什麼狀態。接收智能體在接受交接之前驗證簽名。這在概念上並不複雜。但它很少被實現。

後量子過渡在這裡同樣重要，原因與它對終止信號和不可否認性同樣重要：今天用經典非對稱密碼學簽名的交接記錄，未來可能是可偽造的。現在捕獲交接流量的攻擊者，憑藉足夠的未來能力，可以構造出看起來可信的交接記錄，授權原始委托人從未許可的行動——有效地改寫已經運行的管道的授權鏈。對於長期運行的智能體部署，交接簽名機制需要從一開始就具有量子抵抗性，而不是在密碼學假設轉變後再進行改造。

硬件認證使情況更為複雜。當交接跨越設備邊界——一個嵌入式單元在照護環境中將責任傳遞給另一個——硬件認證告訴你每個設備運行的是它聲稱運行的內容。它不認證交接負載本身。固件經過認證的設備仍然可以轉發偽造或被污染的交接記錄。認證和交接記錄是獨立的問責聲明，兩者都必須存在才能使鏈條成立。

完整的交接架構需要什麼

一個嚴肅的交接架構有四個組件，必須在任何多智能體管道處理重要決策之前存在。第一，在轉移時刻創建的明確交接記錄：指定轉移智能體、接收智能體、正在轉移的範圍，以及原始授權鏈。第二，接收智能體驗證步驟，在對轉移狀態採取行動之前檢查交接記錄的簽名並驗證授權鏈。第三，狀態一致性檢查——接收智能體確認轉移的狀態在內部是連貫的，並且在其被授權處理的範圍內。第四，將交接視為一等事件的統一問責日誌，以便可以從單個可審計的軌跡重建整個管道中所有智能體行動的完整序列。

這些組件都不比智能體系統本身的成本昂貴。所有這些都被定期省略，因為交接看起來是管道細節而不是問責表面。交接是問責表面。它是責任從一個智能體轉移到另一個的確切時刻——如果該時刻沒有文檔記錄、沒有簽名、沒有驗證，之後的審計軌跡就建立在假設上，而不是事實上。