供應鏈問題：AI智能體調用的每一個工具都是一次信任決策

當你部署一個AI智能體時，你審查的是智能體本身。你檢查其系統提示、驗證其模型，也許還透過硬件認證其權重。但你很少以同等深度審查的，是智能體代表你調用的所有工具：它觸達的API端點、加載的插件、委託的子智能體。這些構成了供應鏈。智能體系統中的問責能力，只與其中最薄弱的環節一樣強。

經典供應鏈攻擊，現在以推理速度運行

供應鏈攻擊並不新鮮。軟件領域已面對多年：注入軟件包倉庫的惡意依賴、受損的構建工具、在正常運行的同時靜默竊取憑證的後門庫。智能體系統的不同在於，攻擊面向上移動了，速度加快了，問責鏈也拉長了。

傳統軟件供應鏈攻擊在代碼執行時發生。智能體供應鏈攻擊可以在推理時發生：一個返回微妙篡改數據的工具，一個其響應被精心設計以影響智能體後續決策的API端點，一個大多數任務執行忠實但在其他任務中悄悄引入偏差的子智能體。委託人只看到智能體的輸出，而不是產生該輸出的操控。

網絡邊界處的認證缺口

硬件根認證為你提供了關於在環境中執行的智能體的強保證。它認證模型權重、運行時環境、啟動時加載的工具定義。它不認證的，是那些工具所調用端點的運行時行為。

當智能體調用第三方API時，調用離開了已認證的執行環境。響應來自一個你未曾度量的系統。返回的數據可能是準確的、被篡改的、過時的或對抗性精心構造的；認證包絡不會延伸到網絡邊界之外。

這不是認證技術的缺陷，而是網絡化智能體系統的結構性屬性。你能認證的邊界與智能體觸達的邊界不是同一邊界。硬件認證提供的信任保證，恰恰在智能體影響延伸最遠的地方終止：進入外部世界。

照護環境承擔不起工具信任債務

在物理世界照護環境中，供應鏈問題產生直接後果。協助照護協調的智能體可能調用排班系統、藥物管理平台和通信服務。每一個都是鏈中的一環。任何環節的供應鏈受損，都可能在任何審查者發現之前產生到達人類的傷害。

照護環境還受到關於告知照護決策的數據來源和完整性的監管要求約束。問責要求延伸至數據本身，而不僅僅是處理數據的智能體。當智能體在行為從未被驗證的端點響應上進行推理時，「智能體得出了結論X」不是一個可問責的答案。

後量子供應鏈：過渡窗口關閉之前

後量子過渡引入了特定的供應鏈關切：工具端點的密碼學完整性。今天大多數API通信依賴經典非對稱密碼學。在過渡期間，當後量子密鑰交換正在生態系統中參差不齊地部署時，今天收集加密流量的攻擊者可以在獲得量子能力後追溯解密API響應。

對於將調用外部端點作為決策制定一部分的智能體系統，這不只是保密性問題。如果收集的響應在未來被選擇性重放，智能體可能在未被檢測到就已被替換的數據上進行推理。供應鏈完整性問題與後量子過渡問題在API層交叉。

供應鏈問責需要什麼

治理智能體系統中的供應鏈，需要將問責邊界延伸至智能體本身之外。最低限度：智能體調用的每個外部端點應在部署時註冊；其響應應與其告知的智能體決策一同記錄；行為異常應在事後可檢測。

供應鏈審查還意味著，第三方工具和API應與調用它們的智能體接受同等的入駐審查。在智能體邊界處進行認證是必要的，但不充分。信任你能度量的。治理你不能度量的。確切知道兩者之間的邊界在哪裏。