物理訊號問題：信任鏈起始於物理世界時的問責機制

當我們為AI智能體設計問責機制時，通常從軟件層開始。我們審計API調用，簽署憑證，追蹤決策產生時運行的是哪個模型版本，並應用後量子密碼學來保護智能體與其依賴系統之間數字通訊的完整性。這些措施是必要的。但在物理世界部署中，信任鏈並非始於軟件層，而是始於物理訊號：心率讀數、動作偵測事件、環境感測器測量值、生物特徵掃描。而物理世界無法對其自身的輸出進行簽名。

這就是物理訊號問題。

證明無法彌合的差距

安全硬件飛地、TPM晶片和硬件證明根可以驗證感測器的數字輸出在離開裝置後未被竄改。它們可以證明從感測器到推理引擎的資料路徑是完整的。後量子密碼方案可以確保即使面對未來的密碼分析進展，這些證明仍然有效。

但這些都無法回答一個更根本的問題：物理世界是否確實產生了那個讀數？一個來自心率監測儀、經過完美證明、密碼學完整的40bpm讀數，可能反映的是患者摘掉了裝置、電極脫落，或感測器發生了漂移。硬件證明證明了鏈路在傳輸過程中未被破壞，卻無法證明鏈路在源頭連接到了現實。證明邊界止於感測器外殼，不延伸至感測器所處的物理環境。

三種失效模式

物理訊號問題以三種不同方式顯現，各具不同的問責含義。

第一種是感測器故障——硬件退化、校準漂移或物理損壞，導致感測器在數字鏈路無任何異常的情況下錯誤報告物理世界。在軟件系統中，失效的API返回錯誤碼；失效的感測器往往返回一個數字。被訓練為依據該數字行動的智能體，將基於對物理世界的錯誤認知正確地行動。

第二種是環境操縱——在訊號到達感測器之前對物理訊號的蓄意干擾。放置在霍爾效應感測器旁的磁鐵，對準接近偵測器的紅外線光，對麥克風的聲學操縱。與軟件輸入的對抗性攻擊不同，物理操縱不留下任何軟件痕跡。稽核日誌記錄了智能體收到的內容，卻無法記錄在測量前那些瞬間環境中發生了什麼。

第三種是語境崩潰——物理訊號是準確的，但賦予其意義的語境已經改變。95%的血氧飽和度讀數對一個活躍的30歲健康人和一個患有慢性呼吸系統疾病、行動不便的80歲老人意義截然不同。感測器如實報告，智能體在其訓練分佈內正確推斷，但部署語境已偏離了智能體決策閾值被校準時所基於的分佈。錯誤不在於測量或推斷，而在於智能體被設計用於的世界與其實際運行的世界之間的偏差。

為何在各交叉點上都至關重要

在後量子安全交叉點，物理訊號問題定義了密碼學所能保護的外部邊界。量子抗性簽名可以保護從感測器到推理引擎再到執行器的每一個位元組。但它們無法追溯性地證明感測器在讀取時確實正確連接到了物理環境。物理世界智能體部署的問責義務必須包括對物理連接性的驗證——而不僅僅是數字鏈路的密碼學完整性。

在硬件交叉點，物理訊號問題闡明了硬件證明實際上在證明什麼。硬件信任根確立計算在可信環境中運行，卻不證明觸發該計算的環境輸入。為物理世界智能體部署設計硬件棧，需要為物理訊號驗證建立獨立機制：冗餘感測路徑、跨模態一致性檢查、感測器外殼本身的物理防篡改偵測。這些不是對證明的增強，而是在證明無法觸及的物理層中運行的互補系統。

在物理世界護理交叉點，風險最高。支持護理決策的AI智能體依賴患者當前狀態的模型行事，而該模型建立在物理訊號之上。如果訊號系統性地錯誤，模型就是錯誤的，護理行動可能造成傷害。與軟件領域中的錯誤建議不同，錯誤的護理行動可能是不可逆的。問責義務沿著訊號鏈向後延伸至物理測量時刻，向前延伸至傷害發生點——橫跨兩者。

問責的物理世界部署需要什麼

應對物理訊號問題需要綜合硬件、運營和治理措施。硬件層應包括冗餘感測路徑，感測器間的差異應觸發明確的不確定性標誌，而非靜默仲裁。運營層應包括定期物理校準週期，產生各自可證明的記錄——在密碼學鏈路與其旨在代表的物理環境之間形成閉環。治理層應將感測器驗證和環境完整性視為部署審查的一等組件，而非事後關切。

物理訊號無法由任何有限的測量鏈完全驗證。物理世界不對其輸出進行簽名。健全的問責架構所做的，是使這一差距可見、可稽核、有界——並確保在物理環境中部署智能體的各方將這一差距視為已知約束，而非殘餘假設。