不可抵賴性問題：為何AI智能體不能否認自身行為

當一名專業人員做出重要決定時——醫生開具醫囑、金融分析師授權轉帳、安全工程師批准配置變更——該決定的記錄通常通過簽名、登錄憑證或見證行為與當事人綁定。這種綁定並不完美，但它有明確的方向：舉證責任落在當事人一方，需要解釋記錄與其陳述之間的任何差異，而不是由記錄來證明自身的真實性。

AI智能體在預設情況下沒有等效的綁定機制。一條記錄智能體執行了某操作的日誌條目，只是證明該操作被記錄了——而非證明智能體確實執行了該操作、日誌未被竄改，或者記錄的操作與智能體實際做出的決策相符。當利害關係較低時，記錄與不可抵賴性之間的差距尚不明顯。當智能體在結果存在爭議的領域運行時——照護決策受到質疑、金融授權遭到挑戰、安全事件進入訴訟程序——這一差距就演變為問責記錄中的結構性漏洞。

不可抵賴性的要求

不可抵賴性是一種屬性，能夠在事後證明特定當事方生成了特定消息或採取了特定行動，且該當事方無法可信地予以否認。在人類系統中，這通過程序控制與密碼學機制的結合來實現——簽名、審計軌跡、由獨立方維護的帶時間戳記錄。

對AI智能體而言，不可抵賴性要求智能體在決策時使用綁定其身份且受防竄改保護的密鑰，對自身輸出進行簽名。簽名的內容不僅僅是所採取的行動——還包括智能體據以行動的輸入、其運行所處的範圍，以及將任務委託給它的授權鏈。簽名證明：特定智能體在特定授權賦予下，從特定輸入中產生了特定輸出。若缺少這四個要素中的任何一個，記錄都可能在該要素上受到質疑。

由此產生的實踐後果是：不可抵賴性無法事後加裝到日誌中。它必須內置於智能體的行動管道中。記錄智能體行為的日誌，只有在滿足以下條件時才構成不可抵賴性記錄：日誌條目由智能體在行動時簽名；簽名密鑰的管理方式能夠防止不可察覺的替換；且該密鑰本身通過獨立於智能體及其運營方可審計的證書鏈，綁定至智能體經過驗證的身份。

量子安全節點

不可抵賴性的持久性完全取決於底層簽名的持久性。今天部署的、使用傳統橢圓曲線方案對行動簽名的智能體，在當前威脅條件下產生的記錄具有不可抵賴性。然而，若對手可使用足夠強大的量子處理器——其實現時間線存在爭議，但並非遙不可及——這些記錄將面臨追溯可抵賴的風險。具備量子能力的對手，可以在智能體的歷史公鑰下生成有效簽名，將其插入行動日誌的替代版本中，從而提交一份貌似可信的偽造記錄。

這是「現收現破」（harvest-now-decrypt-later）問題在問責層而非機密性層的對應形式。今天使用量子脆弱方案簽名的記錄，將在簽名算法被破解很久之後，繼續在法律、監管和證據領域被使用。那些決策具有長尾法律敞口的智能體——在照護、金融授權或經認證的安全系統領域——正在簽署今天看似可靠、十年後可能無法辯護的記錄。

向後量子簽名方案的遷移，是問責層面與加密層面遷移的對應形式。在操作上難度更大，因為簽名嵌入於協議握手、證書鏈、韌體驗證管道和監管證據格式中——每個環節都有其自己的升級週期。但不遷移的後果不是機密性損失，而是對手追溯性偽造智能體歷史決策記錄的能力。

硬件節點

智能體不可抵賴性鏈條中最薄弱的環節，通常是簽名密鑰。存儲在軟件中、與智能體運行於同一系統上的密鑰，可能被擁有足夠權限的攻擊者提取——或者被智能體的運營方提取，這在任何涉及智能體行為的爭議中都會產生利益衝突。如果運營方控制簽名密鑰，運營方就有能力生成替代的簽名記錄，這對運營方之外的任何一方而言都會破壞不可抵賴性保證。

硬件安全模組和可信執行環境通過將簽名密鑰綁定至無法導出的物理信任根來解決這一問題。密鑰在硬件邊界內生成，從不離開該邊界，且僅對硬件證明策略所允許的內容進行簽名。這意味著智能體生成的簽名，不僅證明了簽名的內容，還證明簽名發生在經過驗證的防竄改環境中——無論是運營方還是外部攻擊者，都無法對其進行事後修改。

對於部署在安全關鍵硬件中的智能體——工業系統、醫療設備、基礎設施監控——硬件根簽名是「運營方理論上可以偽造的日誌」與「審計方可以獨立於運營方配合而信任的記錄」之間的分界線。這些領域的認證框架已開始要求這一能力。未進行此類設計的智能體，正在其問責架構中留下一扇供偽造者進入的門。

照護節點

在照護場景中，不可抵賴性問題有其特定形態。當AI智能體協助做出照護決策，且結果事後受到質疑時——漏診了禁忌證、劑量閾值判斷有誤、影響了出院計劃的風險評估——會產生兩個問題。第一，智能體推薦了什麼？第二，被執行的，是否就是智能體實際做出的推薦？

第一個問題是取證問題——推理記錄問題。第二個問題是不可抵賴性問題：證明智能體在特定範圍內、依據特定輸入，產生了歸因於它的那份推薦。在沒有智能體端簽名的系統中，照護提供者依賴平台運營方的日誌，而這些日誌可由運營方修改，任何獨立方無法核查。對於人類臨床醫生的文檔標準是簽名且經見證的記錄這一領域而言，這是不夠的。

照護領域中具有不可抵賴性的智能體記錄，還以雙向影響責任鏈。能夠提交智能體推薦內容簽名記錄——包括推薦所處範圍、所依據的患者資料——的照護提供者，在證明人類照護者對該推薦進行了適當判斷方面處於更有利的地位。簽名記錄並不消除人類的問責，而是釐清了它——而這正是任何形式問責得以存在的前提。

簽名是必要條件，但不是充分條件

不可抵賴性無法解決取證差距——簽名輸出仍然是輸出，而非推理軌跡。它無法解決範圍問題——簽名證明簽署了什麼，而非智能體是否在授權範圍內運行。也無法保證行為正確——對錯誤答案的格式完整簽名，仍然是錯誤答案。

簽名的作用在於錨定記錄。它使「智能體是否做了這件事」這一問題，可以通過證據而非斷言來回答。其他所有問責主張——關於範圍、推理、監督——都建立在包含這一答案的基礎之上。沒有它，關於AI智能體決策的爭議，就只是相互競爭敘述之間的較量，而非可核查記錄的對比。

對於在後果重要的領域中運行的智能體，「誰簽署記錄」不是可以推遲到後續架構評審中處理的細節，而是整個問責結構的承重問題。從信任根開始構建，在智能體做出第一個重要決策之前——並選擇一個在密碼學格局轉變時仍能成立的信任根。