權限積累問題：單獨合理的授權如何在聚合層面變得危險

授予AI智能體的每一項權限都經過了某種形式的審查。有人決定這個智能體在這個部署上下文中需要訪問某項能力——於是授權被批准。每個單獨的決定通常是站得住腳的。問題不在於任何單一的授權，而在於沒有人在審查它們的聚合狀態。

權限在積累。它們跨越會話、跨越部署階段、跨越不斷演進的營運需求而積累。一個最初因某個照護工作流而獲得患者記錄讀取權限的智能體，後來因出院摘要功能而獲得了寫入權限。一個需要傳感器遙測讀取權限的硬件控制智能體，後來因維護整合而獲得了執行器命令權限。每次擴展在請求和批准時都是合理的。數月後，該智能體的總體能力檔案已是無人刻意設計、也無人整體審查過的狀態。

為何審計缺口是結構性的

對這一擔憂的標準回應是「我們有審計日誌」。審計日誌記錄了授予了哪些權限、何時授予、由誰授予。但審計日誌是對時間序列事件的記錄，而非當前狀態的快照。要了解一個智能體今天的總體能力檔案，需要重放整個權限歷史、計入所有撤銷，並生成一個連貫的彙總——這是大多數部署所不具備的主動投入和工具能力所要求的任務。

這個缺口是結構性的，而非偶發性的。權限管理系統的設計目標是高效處理單次授權決策，而非回答「這個智能體現在總共能做什麼，這個總量是否仍適合其當前的部署方式？」這一問題需要跨時間、跨上下文、跨系統的聚合，且通常只有在出現問題之後才會被要求給出答案。

不過期權限的複利效應

當權限不會過期時，積累問題最為突出。為支持試點部署、一次性整合或已廢棄工作流而授予的權限，可能會無限期有效，除非有人明確撤銷。智能體的能力檔案因此呈單調增長：權限在需要時被添加，但在不再需要時很少被移除。已廢棄用例的殘餘授權，成為了攻擊者——或行為異常的智能體——可以利用的能力表面。

在後量子安全語境中，這些殘餘權限比表面上看起來更危險。在經典威脅模型下，今天的殘餘授權可能看起來無害。但擁有足夠算力的攻擊者，可以將長期運行智能體積累的能力檔案作為攻擊面——其聚合權限遠比任何單次會話範圍更寬廣。該智能體在事實上成為了一把被緩慢拼裝的萬能鑰匙——不是因為有人刻意設計，而是因為沒有人在追蹤總量。

硬件維度的具體後果

在與硬件相關的部署中，權限積累具有物理後果。管理工業硬件的智能體可能在部署過程中跨子系統積累命令權限——每次授權都是對合理營運需求的響應。但物理系統中的命令權限與數據訪問權限不同，其後果並不可逆。如果一個積累了執行器命令權限的智能體出現異常行為，損害可能是物理的、即時的，且無法通過撤銷使能該行為的權限來消除。權限清單必須保持最新，不僅是為了審計目的，更因為在物理層面，基於過時清單採取行動的代價是以物理損害來衡量的。

照護環境中的人際維度

物理世界照護場景帶來了積累問題的第三個維度：人際關係。照護智能體積累了對患者數據、溝通渠道、照護計劃記錄和臨床工作流的訪問。每次授權都對應特定的照護關係或任務。但在聚合層面，該智能體可能比任何單一臨床醫生都更全面地掌握患者的生活和健康軌跡——且其能力檔案一旦被濫用或利用，可能在極為私人的層面造成傷害。同意單項整合的患者，並未同意這些整合在聚合層面所產生的總體能力檔案。

設計應對

解決積累問題，需要將聚合能力檔案作為一等產物來對待——主動維護、定期審查，並與智能體當前的營運範圍進行比較。這與逐項授權審查是不同的紀律。它需要定期重新授權：在這個時間點上，現有權限不是默認延續，而是對照當前部署上下文重新審查，予以確認或撤銷。它需要能從權限歷史中生成連貫當前狀態彙總的工具，而不僅僅是日誌。它還需要每項權限都明確陳述用途和預期生命週期——以便在用途結束時，權限有明確的過期觸發條件。

硬件綁定的權限狀態在這裡有所幫助。當權限授予與特定硬件配置錨定——由經硬件證明的密鑰簽發，並與智能體運行設備的營運上下文綁定——授權在硬件上下文發生變化時自動失效。權限無法在智能體重新部署時悄然跟隨。聚合檔案被限定在證明其合理性的上下文之內。

權限積累不是任何單一決策的缺陷，而是系統中單個決策被稱職地做出、但系統不產生關於聚合狀態信號的屬性。在AI智能體從沙箱走向實質影響的領域中，彌合這一缺口不是可有可無的選項。這是有治理的權威與僅僅自然增長的權威之間的區別。