多租戶隔離問題：一個智能體服務多位委託人時

大多數AI智能體的問責框架，都是以單一委託人為前提設計的。一個用戶，一個營運方，一個層級清晰的委託鏈。但這並非智能體實際部署的方式。

一個服務於二十位住客的護理智能體，同時嵌入了二十段知情同意關係、二十份護理計劃、二十個家庭的期望與二十份臨床病歷。一個跨投資組合公司管理發票的金融營運智能體，在單一運行時下服務數十個賬戶。一個企業工作流智能體處理數百名員工的請求，每人擁有不同的資歷、權限級別和適當的操作空間。在實踐中，任何規模化智能體的預設運行模式就是多租戶：一個推理引擎、一個模型、一次部署，服務於多位委託人。

隔離問題的核心在於：當同一個智能體實例跨越多位委託人處理請求時，單一委託人部署所需的問責屬性，並不會自動成立。其失效模式隱蔽、難以發現，且後果嚴重。

三個必須成立的隔離層面

多租戶智能體部署的隔離必須在三個層面同時成立，而當前大多數架構僅強制執行其中一個。

第一是上下文隔離。智能體的上下文視窗、工具調用歷史及檢索記憶，必須嚴格限定於當前委託人。一個在上一輪檢索了某位住客吞嚥評估結果的護理智能體，在切換至下一位住客的請求時，絕不能攜帶前一位住客的任何資訊。這聽起來不言而喻，卻在實踐中屢遭違反。共享檢索存儲、跨越委託人邊界的緩存層，以及長時程記憶緩衝，都會產生上下文洩漏的接觸面。即便不存在惡意，針對某位住客校準的護理指令——「餐前總要提醒，該住客傾向於拒絕最初的提議」——也可能無形中影響智能體對下一位住客的回應，而兩人的護理需求截然不同。

第二是權限隔離。一位委託人所授予的權限，不得延續或跨越委託人邊界累積。若某位監護人授權智能體向臨床工作人員發送非緊急提醒，該授權不延伸至任何其他住客的數據或提醒情境。這似乎不言自明，但多租戶權限架構實際上難以正確構建。基於靜態角色的訪問控制——將權限授予智能體角色而非委託人範圍的會話——系統性地違反了這一原則。正確的架構是將權限綁定於會話範圍的憑證，而非綁定於智能體實例。智能體本身不持有權限；會話才持有權限。

第三是認證隔離。在硬件認證部署中，認證報告覆蓋的是智能體二進制文件與執行環境，並不自動涵蓋被處理的是哪位委託人的數據。若要使簽名回執在多租戶部署中具有實質意義，它必須將操作綁定至具體委託人的會話識別符、智能體身份與所執行的動作，三者缺一不可。缺乏這種綁定，回執僅能證明智能體在可信環境中運行——無法證明它代表正確的委託人、基於正確的數據運行。

失效模式如何呈現

上下文洩漏很少以災難性的信息披露形式出現，而是表現為細微的誤校準：智能體在處理了來自不同委託人的一系列強勢覆寫後，對拒絕略微更為順從；智能體的風險升級閾值發生漂移，因為其最近處理的十個案例全部屬於高危級別；智能體的語言風格在與某個社群進行長時間會話後向該社群的習語靠攏，隨後卻以不當方式與另一群體溝通。這些失效能通過大多數測試套件，因為輸出看起來合理。它們只有在輸出對這個人、在這個時刻而言是錯誤的時候才會顯現——而届時，後果可能已經發生。

權限洩漏往往表現為能力蔓延。一個為某位委託人的緊急操作獲得了提升權限的智能體，在處理下一個請求時仍攜帶著提升後的會話憑證，因為會話從未被正確終止和範圍化。在護理場景中，這可能意味著智能體訪問了從未獲得授權讀取的數據，因為上一次交互的訪問視窗未被關閉。

認證洩漏在規模層面危害最大。一份未編碼委託人身份的簽名回執，實際上成為了批量認證：它斷言智能體總體上正確運行，但無法回答任何監管機構最終都會提出的問題——這項影響這個特定人員的具體操作，是否發生在經過正確界定和授權的執行情境中？

為何護理交叉點是最難的情形

三個交叉點各自在不同維度上提升了隔離要求。後量子交叉點使其成為密碼學要求：基於格的密鑰必須是委託人專屬的，以防止未來的對手從另一租戶的密碼學足跡中恢復某一租戶的密鑰材料。在後量子部署中混用跨委託人的密鑰情境，不僅是當前的隱私失敗——更是一種隨量子能力提升而日益危險的延遲密碼學負債。

硬件交叉點使隔離成為認證工程問題。跨越多個租戶的安全飛地，必須在架構上產生會話範圍的認證報告，而非僅僅是設備級報告。TPM 認證的是啟動時運行的內容；部署必須將該鏈條延伸至認證每次後果性操作時、代表誰運行的內容。

但實體世界護理交叉點使多租戶隔離成為一項沒有技術變通方案的知情同意與安全要求。護理智能體不僅是在處理數據——它在調解實際的護理決策。一次將一位住客的行動限制誤歸因於另一位住客的上下文洩漏，產生的不是軟件錯誤，而是護理失誤。在高危場景中，護理失誤對人的健康與福祉有直接後果。護理AI的隔離要求不是工程上的細枝末節，而是知情同意保持有效、護理計劃保持個體化、智能體能為每項具體決策承擔責任的基礎條件。

正確的隔離架構是什麼樣的

後果性智能體部署的多租戶隔離，要求每位委託人在每次交互開始時映射到密碼學範圍的會話憑證，會話結束即銷毀。智能體的檢索與記憶系統以該憑證為訪問閘控，而非以智能體實例為閘控。權限授權綁定於會話憑證，而非智能體角色。每份認證動作回執均綁定委託人的會話識別符、智能體身份與所執行的動作。後量子密鑰材料按會話生成，絕不跨租戶邊界共享。

由此產生的是一個問責日誌可分解的智能體：每項操作都可追溯至具體委託人、具體同意授權、具體時刻，以及經硬件認證的執行情境。來自一個租戶會話的上下文或權限，無法污染另一個租戶的會話。智能體服務多位委託人，並對每位委託人單獨負責——不是作為統計匯總，而是對特定操作的具體問題給出具體回答。

這是應達到的標準。它高於當前大多數多租戶部署所能滿足的水平。在實體世界的護理場景中，這一標準沒有商量餘地。