多實例問題：當一個AI智能體以大量並發實例運行時，問責何處安放

授權是發給這個智能體的。而現在這個智能體是五十個並發實例。哪個實例的操作在授權範圍之內？這個問題在AI智能體問責框架中幾乎從未被提出——因為這些框架誕生於一個「智能體」概念仍是單數的時代：一個實例、一次會話、一條操作流。在生產環境中，這種單數心智模型無法經受基礎設施的檢驗。真實的智能體會水平擴展。一旦擴展，問責的基本要素——身份、授權、歸因、審計——都需要重新思考。

多實例如何破壞歸因

歸因是這樣一種主張：特定實體在特定時刻、憑藉特定授權、產生了特定效果。在單實例智能體中，歸因鏈是緊密的：智能體有唯一身份、唯一憑證集和唯一操作日誌。審計員可以完整重建歸因鏈。而當同一智能體規格以並發實例組的形式運行時，這條鏈就開始分叉。每個實例可能接收不同輸入、遇到不同狀態、做出不同決策——同時向外部系統呈現相同身份。操作日誌是五十個實例日誌的並集。當某個後果性操作需要歸因時，你要指向哪一條日誌？在大多數當前部署中，答案是：第一個完成的實例所屬的日誌——以會話ID標識，如果會話ID被記錄的話。

更深層的問題在於，授權並非發給某個實例，而是發給了智能體類型、或智能體配置、或部署版本。這些稱謂中沒有任何一個能確定：具體是哪個實例被授權執行了正在受審查的特定後果性操作。類型級授權與實例級操作的結合，產生了一個隨實例數量線性擴大的歸因空白。

多實例如何放大範圍漂移

單個智能體在授權範圍外運行，是一次範圍違規。五十個智能體各自輕微越界，則產生五十個同步發生的範圍違規——每一個都微小，每一個都容易淹沒在龐大操作日誌的噪聲中；而合在一起，構成一種系統性的授權偏離，任何單實例級別的審查都無法察覺。多實例艦隊中的範圍漂移是一種聚合屬性，需要聚合度量：不是單一實例的操作分佈，而是給定運行窗口內整個實例群的操作分佈。大多數部署不具備支持這種視角的審計基礎設施，只有會話級日誌——而會話級日誌不足以支撐多實例問責。

最小足跡問題進一步加劇了這一困境。最小足跡原則要求智能體只申請當前任務所需的權限。當大量實例並發運行、每個實例各自為當前任務申請權限時，聚合後的權限面遠超任何單項任務所能合理化的範圍。整個實例組集體持有的權力遠超任何單個授權所預想的邊界。這種集體權力面才是需要被治理的對象，也是大多數授權框架所忽視的對象。

三個交叉點如何暴露這一問題

在後量子安全交叉點，多實例問題體現為金鑰使用模式的違規。為某個授權範圍頒發給某個智能體的簽名金鑰，其設計前提是一個簽名實體。當大量實例並發使用同一憑證簽名時，密碼審計軌跡匯聚了整個實例組的簽名，而非單一智能體的簽名。授權範圍與特定簽名操作之間的綁定關係因此弱化：你知道該憑證授權了這一操作，但該憑證從未被設計成要在規模化並發場景下授權操作。向後量子密碼學的過渡，是一個機會：將金鑰發放的粒度從部署級改為實例級——頒發短期有效的實例級金鑰，將每個簽名綁定到產生它的特定實例與時刻。

在硬件交叉點，認證問題與金鑰問題如出一轍。硬件認證通常針對部署而非實例發放。當五十個實例並發運行——可能在不同硬件、不同韌體、不同認證狀態的執行環境中——部署級認證並不能說明實例級的執行環境。某個在認證硬件邊界之外運行的實例所產生的操作，會被當作已受認證覆蓋來處理，因為授權系統沒有可供核查的實例級認證。結果是一支實例組，每個實例都出示有效的部署認證，而該認證所應支撐的問責主張，對任何具體實例而言都可能並不成立。

在物理世界照護交叉點，多實例問題在倫理層面最為緊迫。被授權與某位住戶互動的照護智能體，是在一份為單一關係設計的照護計劃框架下運作的。當同一類型的智能體以大量並發實例運行——每個實例與不同住戶互動，或與同一住戶在不同照護時刻互動——照護計劃關於情境連續性、先前狀態識別和適當升級閾值的假設，可能以任何單一實例日誌都無法揭示的方式被違反。照護智能體組的聚合問責，需要將實例級操作關聯回具體的照護關係——而這種粒度，是大多數照護部署日誌所不支持的。

架構必須做什麼

解決方案不是減少實例數量——規模化擴展是操作上的必要條件。解決方案是從一開始就為規模化設計的問責體系。實例級身份意味著每個被創建的實例在生成時獲得唯一的、短期有效的標識符，與其授權範圍、硬件認證狀態和操作上下文綁定。實例級操作歸因意味著每個後果性操作都攜帶該實例標識符，使日誌不再是會話條目的平鋪並集，而是一棵結構化的樹：部署→實例→操作。聚合範圍監控意味著治理層不僅追蹤每實例的操作分佈，還追蹤整個實例組的分佈，並在聚合結果偏離預期範圍時發出警報——即便沒有任何單個實例在可見層面超出其授權。

授權是發給這個智能體的。但實際採取行動的，永遠是特定實例——在特定時刻、在特定執行上下文中。規模化場景下的問責，要求在身份、授權和審計層面承認這一區分——在某個從未被單獨問責的實例做出後果性決策之前。