範圍問題：AI 智能體為何不能定義自身的授權邊界

這種想法很诱人。當你部署一個 AI 智能體時，你希望它足够強大。它能調用的工具越多，能訪問的系統越多，就越有用。至於它究竟被允許做甚麼，似乎可以在提示詞里規定，或者交由智能體自行判斷。畢竟，智能體知道自己需要甚麼，為何不讓它自己決定？

這種推理正是範圍問題的根源。一個參與定義自身授權的智能體，根本不值得被信任以任何授權。

在 AI 智能體的語境中，"範圍"是指智能體被允許執行的動作集合：可調用哪些 API、可讀寫哪些數據存儲、可操控哪些物理系統、可出示哪些憑證。在設計良好的部署中，範圍在配置時固定，編碼在智能體提交請求時出示的簽名令牌中，由被調用系統驗證——不依賴智能體的任何自我聲明。智能體不決定自身範圍，而是被告知範圍，無法單方面擴张，邊界由外部系統強制執行，而非依賴智能體的自我約束。

這個設計听起來不言而喻，但在實踐中很少被完整實施。

最常見的失敗模式是增量範圍擴張。智能體以明確的能力集部署。隨着時間推移，當它遇到初始範圍内無法完成的任務時，運營者逐步擴大訪問權限——每次一個權限，單獨來看都合情合理。智能體的實際範圍不断擴大。沒有人審核整體授權的累積。智能體最终獲得了對系統組合的訪問權，而沒有任何單個决策者明確授權過這種組合。出事時，授權鏈條溶解為一系列增量審批，每一步在當時看起來都沒問題。

另一個相關失敗是範圍推斷。某些架構允許智能體調用能力發現 API——詢問"我能做甚麼？"——並據此行動。智能體沒有固定的範圍令牌，而是通過查詢可用能力動態獲取範圍。在對抗性環境中，這意味着被攻破的上游上下文可以告訴智能體它拥有從未被授予的權限。智能體無法核實這一聲明，因為它沒有簽名參考對比。智能體認為自己拥有的範圍與實際被授權的範圍悄然分離，智能體按更大的範圍行動。

第三種失敗最為隱蔽：通過工具組合進行範圍漂洗。一個同時拥有讀取文件權限和發送消息權限的智能體，可以將這兩種能力組合起來，將文件內容洩露給外部方——而這一行動並未獲得任何單個權限的授權。智能體沒有聲稱拥有更廣泛的範圍，只是將已授權的原語組合成了未被授權的整體行動。沒有任何單一權限被違反，但組合效果從未獲得批准。

彌合這些缺口，需要將範圍視為在部署時作出的、由外部強制執行的密碼學承諾。每個範圍維度——讀寫權限、可調用端點、可使用的憑證标識符——應編碼在由配置權威機構簽名的令牌中，且綁定智能體身份。當智能體向下游系統提交請求時，該系統驗證令牌簽名后方才執行。範圍擴展需要新的配置事件、新的簽名令牌，以及可追溯的人類决策。

這正是硬件交叉點變得關鍵的原因。僅存在於軟件中的範圍令牌，可被攻破運行時環境的特權攻擊者修改。以硬件為根的範圍強制執行——其中智能體授權能力的證明錨定於設備的安全飛地並可供遠程系統驗證——可抵禦此類攻擊。智能體的範圍成為硬件上下文的事實，而非可被靜默覆蓋的軟件聲明。

量子安全交叉點同样重要，因為範圍令牌是密碼學對象。將智能體身份綁定到範圍令牌的簽名方案，必須在經典簽名算法面临日益嚴峻威胁時保持安全。采用脆弱算法簽名的範圍令牌可被偽造，使攻擊者能够向智能體頒發看起來合法的範圍擴展。將範圍令牌基礎設施遷移至量子安全簽名，不是假設性的未來考慮，而是任何預期跨十年生命周期運行的智能體系統的正確架構。

在現實照護環境中，範圍問題的後果最為直接。一個範圍涵蓋用藥計劃、照護方案和與照護對象通信渠道的照護智能體，對脆弱生命具有深遠影响。如果該範圍從未被精確定義——如果它增量擴张，如果智能體可以動態發現能力，如果它可以將已允許的行動組合為未允許的結果——那么這種暴露不是配置錯誤，而是設計失誤。它所帶來的危害並非假設性的，而是直接源於讓範圍由智能體自行決定這一選擇。

原則很簡單。智能體绝不能是自身授權的仲裁者。範圍是約束，不是偏好。它在智能體部署前設定，由可審計的權威機構簽名，由智能體調用的系統執行，只能通過人類主導的明確配置事件來修改。其他一切都不是範圍策略，而是一份邀请函。