第二行動者問題：AI 智能體繼承自身未創建後果時的問責制

AI 智能體的標準問責模型假設一個清晰的起源點：智能體被部署、採取行動、記錄日誌，出現問題時查閱日誌。當智能體的完整運營歷史是其自己的時候，這個模型運作良好。然而在實踐中，大多數智能體不是第一行動者。它們繼承。它們接手處於照護中途的患者。它們操作並非自己调試的硬件。它們管理並非自己生成的密碼材料。它們應用在自己存在之前就已建立的授權策略。第二行動者問題就是：當智能體繼承的歷史已經塑造了其現在承担責任的結果時，問責制會發生甚麼。

問題不在於繼承智能體對歷史不知情。它可能可以訪問先前記錄、配置快照以及早期操作的審計日誌。問題是結構性的：智能體的問責記錄從其開始時開始，但產生當前結果的因果鏈可能延伸得更遠。當發生不良結果時，調查必須跨越問責架構並非設計來穿越的邊界進行因果歸因。早期決定——由較早的智能體版本、人類操作員或系統集成商做出——通常不以支持因果歸因的形式在當前智能體的記錄中體現。繼承的後果已經成為智能體的起始條件，而起始條件從當前日誌來看就像是客觀事實。

在後量子安全交叉點

密碼密鑰材料有一個生命周期，很少與智能體部署周期對齐。接管密鑰管理中途的智能體繼承了它未在自己設定的條件下生成的密鑰材料。如果密鑰是在現在被認為存在漏洞的經典算法下生成的，或在早於當前標準的實踐下生成的，那么第二行動者智能體的安全保證受到該繼承材料的限制——無论當前智能體自身的實踐如何。智能體可能在完全符合當前標準的情况下運作，同時依賴於在其到來之前就已被破坏的信任根。

這造成了問責不對稱。如果解密失敗或密鑰洩露后來被追溯到繼承的材料，歸因問題——誰的實踐產生了弱點？——無法僅通過檢查當前智能體的記錄來回答。第二行動者智能體的日誌是乾淨的。漏洞早於日誌的第一條記錄。對當前操作的後量子簽名證明了它們自身的完整性；它們不能證明操作所建立的底層基礎的完整性。繼承問責要求將移交時刻記錄為一個獨立事件，其中包含密鑰材料状態的明確快照、來源斷言以及移交時承認的任何已知弱點。

在硬件交叉點

部署時建立的硬件配置在設備的延長使用壽命中持續存在。當新的智能體實例開始在其未调試的硬件上運行時，它繼承了該設備配置中編碼的安全屬性和安全债務。初始部署時可接受的固件版本可能在智能體任期内低於當前標準。在早期假設下生成的認證密鑰可能比當前規範要求的保證更弱。安裝時建立的物理安全控制可能因磨損、環境暴露或智能體無法觀察的設施變化而退化。

硬件證明回答了這個問題：該設備當前是否在已驗證状態下運行授權固件？它沒有回答：誰決定了甚麼固件是被授權的，或者今天是否會做出同样的決定？當前智能體發出基於證明的聲明時，它斷言該設備與其當前授權配置文件匹配。它不斷言授權配置文件本身是按照當前安全要求設計的。第二行動者智能體繼承了硬件状態和授權基線。如果該基線設置不正確或此后已變得不足，智能體的證明聲明在形式上是正確的，但在實質上是不完整的。

在物理世界照護交叉點

護理连續性意味着大多數臨床智能體在患者軌跡中途遇到患者。智能體正在執行的護理計劃是在其部署之前建立的。藥物已經开具。已採取的干預措施無法逆转。來自先前護理事件的臨床觀察為當前风险評估提供資訊。智能體不僅繼承數據，還繼承臨床義務——在不同操作背景下做出的行動承諾，沒有智能體本身可能無法提供的臨床理由，就無法單方面修订。

當發生不良結果時，臨床問責審查必須詢問：該結果是由當前決定、繼承的護理計劃要素，還是兩者之間的相互作用所塑造的？這個問題很少能僅憑當前智能體的記錄來回答。先前的護理記錄是一個獨立的系統，具有獨立的來源，在不同的問責標準下生成。第二行動者智能體基於它未發起的資訊和約束採取行動。其日誌反映了它所做的事；它不反映為甚麼那些是可用的選擇。不明確代表移交状態的護理問責架構——智能體收到了甚麼、在甚麼條件下、已有哪些義務在執行——無法可靠地回答哪些決定實際上驅動了結果。

繼承記錄作為問責原語

第二行動者問題的設計回應是繼承記錄：一種在智能體對正在進行的部署承担責任時生成的結構化、簽名快照。繼承記錄捕獲智能體收到的状態——密鑰材料來源和年齡、硬件配置以及與當前標準的已知偏差、已生效的護理計劃義務及其發起背景。它不是免責聲明，而是使後續調查可行的問責錨點。

沒有繼承記錄，對第二行動者結果的調查會退化為考古：從碎片來源拼凑先前状態，每個來源都有其自己的來源和可靠性特征。有了繼承記錄，移交時刻就是一個有文件記錄的事實，因果歸因可以清晰地分為智能體繼承的內容和隨後引入的內容。繼承記錄並不能修復潜在的問責差距——先前的決定仍然可以產生未來的後果——但它使繼承和發起的後果之間的邊界在審計追蹤中可見。在三個交叉點，這種可見性是可問責部署的最低條件。