離線智能體問題：網絡中斷時的問責

當AI智能體行動時，問責基礎設施假設日誌服務器是可以訪問的。在數據中心和雲端部署中，這一假設成立。在物理世界部署中——照護機構、工業現場、偏遠地點的嵌入式硬件——網絡時斷時續、不可靠，或根本不存在。智能體仍必須行動。但當沒有可訪問的日誌時，問責究竟意味著什麼？

這就是離線智能體問題。它不是邊緣案例。恰恰是在智能體具有最直接物理後果的部署場景中——老年照護、臨床監測、基礎設施管理——網絡可靠性往往是系統最薄弱的環節。問責缺口恰好在最關鍵的地方打開：在那些無法撤銷的決策中。

兩種糟糕的默認方案

對網絡中斷最天真的回應是停機：如果智能體無法記錄其決策，它就不應做出任何決策。在數據中心，這是最安全的策略——停機的代價是任務延遲，未記錄行動的代價是問責缺口。但在照護機構，這一算式完全顛倒。負責檢測無法自我照護的住戶醫療事件的監測智能體，不能因為日誌服務器不可訪問就停機。在網絡中斷時停機，以問責層的安全保證換掉了照護層的安全保證。因無法記錄日誌而拒絕行動的智能體，以更直接的責任失效取代了問責失效。

相反的默認方案——繼續行動、本地緩存日誌、網絡恢復時同步——在操作上合理，但在密碼學上過於天真。本地日誌是設備上的可變文件，操作員可以訪問。標準本地緩衝區沒有任何機制阻止文件在智能體寫入之後、上傳至中央系統之前被編輯。當智能體重新聯網並上傳緩衝決策時，沒有密碼學證據證明日誌在離線期間未被修改。中央問責系統無法區分智能體實際行動的如實記錄，與事後被篩選以刪除操作員不希望留下記錄的決策的日誌。

基於硬件的離線認證

架構上的答案是在每次決策時進行本地認證。在智能體寫入日誌條目之前，硬件安全模組——TPM、安全飛地或同類芯片——使用硬件綁定且不可從設備導出的金鑰對條目進行簽名。簽名承諾決策內容、時間戳、智能體當前的模型身份，以及將本條目與會話中所有前驅條目鏈接起來的哈希鏈。如果任何條目被事後刪除、重新排序或修改，哈希鏈就會斷裂。由於簽名金鑰無法離開硬件，簽名無法被重新生成以覆蓋被篡改的鏈。篡改在重連時是可檢測的。

網絡恢復時，智能體將簽名的、有鏈式結構的日誌上傳至中央問責基礎設施。中央系統從斷連時最後一個已知良好條目開始向前驗證哈希鏈。鏈中的任何斷點、無效簽名、違反預期順序的時間戳，都是將整個離線期間標記為需要人工審查的充分證據——不是惡意意圖的證明，而是證明該記錄在未經審查的情況下不能被接受為乾淨記錄。

這在通用安全工程中並非新思路。基於硬件的認證是安全啟動、可信執行環境和企業端點完整性產品的基礎。真正新穎之處在於：將其專門應用於AI智能體決策日誌，作為一等的問責機制，明確目的是橋接中央日誌不可訪問的時間段，而非將離線運行視為問責的例外情況。

後量子維度

離線認證方案中的簽名金鑰，不僅必須抵禦當前的網絡級威脅，還必須經受量子過渡的考驗。今天嵌入物理基礎設施的AI智能體——照護機構、樓宇管理系統、醫療設備——在不更換硬件的情況下可能運行十到十五年。如果其硬件綁定簽名金鑰使用的橢圓曲線方案在這一運行窗口內對量子能力對手存在漏洞，則離線認證方案提供的問責能力僅在攻擊可行之前有效。能夠事後破解簽名金鑰的對手，可以偽造整個離線日誌歷史，隨意插入或刪除決策，並生成一條中央系統會接受為完整的簽名鏈。

這意味著，為物理世界AI智能體預置的硬件安全模組今天就應使用後量子簽名方案，即使代價是更大的簽名尺寸和稍高的驗證開銷。做出正確選擇的窗口在製造時。在已部署硬件中改裝密碼學原語技術難度大，在大多數嵌入式設備類別中，需要對每台設備進行物理接觸——這在分佈式照護基礎設施中大規模執行是不現實的。

重連時刻

離線期間在網絡恢復時結束。重連事件不僅僅是數據同步——它是中央系統在此期間無可見性的階段的第一次問責審計。正確的處理方式是將重連視為認證審查：從斷連點開始向前驗證完整的離線決策哈希鏈，確認斷連時記錄的智能體模型身份與重連時一致（確認智能體在離線且無人監控期間沒有發生靜默更新），並確認硬件模組對自身執行環境的認證在間隔期間保持一致。

如果任何檢查失敗，正確的回應不是丟棄離線期間的輸出或回滾智能體的行動。智能體在此期間的物理世界決策已經完成，且通常不可逆——照護警報已發出或已抑制，門已上鎖或已開鎖，用藥已標記或已放行。問責審查無法撤銷這些行動。其目的是將離線期間標記為需要人工審查，對該時間窗口內產生的每個輸出附加認證說明，並向負責智能體運營的人員呈現該異常。

在物理世界照護部署中，這一點尤為關鍵。在異常情況下離線六小時的智能體，其離線期間的決策應由臨床醫生審查，然後才能將這些決策作為後續照護計劃的權威輸入。自動接受已重連的同步——因為上傳沒有報錯——不是問責，而是問責的表象而非實質。

從一開始就為離線設計

離線智能體問題無法靠事後工具來解決。本地硬件認證、後量子簽名金鑰選擇和重連審計協議，必須在部署前就設計進智能體架構。它們需要製造時必須具備的特定硬件能力、在智能體整個運行生命周期內必須保持一致的日誌格式約定，以及必須在首次部署前整合到中央問責基礎設施中的審計工作流。在沒有這些機制的情況下部署到物理世界的AI智能體，其在不可避免的離線期間的問責記錄是無法核實的——不是因為智能體做了任何錯事，而是因為基礎設施從未被設計成能夠知曉。

問責不是日誌服務器的屬性，而是從決策時刻起記錄的屬性。在物理世界部署中，這意味著問責架構必須在網絡不工作時同樣有效。