信任引導問題：在智能體被信任之前，必須有人先信任鏈條的第一環

每個安全模型都假設存在一個信任根。憑證鏈終止於一個根CA，瀏覽器信任它，是因為某個人的決定將它安置在那裡。金鑰交換能夠成立，是因為雙方共享了預先建立的秘密，或共同信任某個第三方。這些引導過程如此慣常，以至於從業者鮮少審視它們。但對於部署在高後果領域的AI智能體，引導問題以新的緊迫性重新浮現：在智能體被信任之前，必須有人先信任鏈條的第一環。而那第一環的架構，決定了關於該智能體的所有後續主張究竟是可驗證的，還是僅憑斷言。

注冊時刻

智能體獲得首個憑證的那一刻，是注冊時刻。這是智能體生命週期中風險最高的節點：沒有既往記錄，沒有行為證明，沒有可供審查的決策歷史。在常規系統中，注冊被視為一項行政步驟——一個有人在系統上線前處理的配置任務。

對於AI智能體，這種框架是不夠的。智能體在注冊時獲得的憑證，定義了它初始的權限範圍。如果該憑證因配置者偏向便利而頒發過寬，智能體便帶著尚未被證明合理的常駐訪問權限進入世界。如果注冊渠道本身被攻陷，智能體整個憑證歷史從第一刻起就已被污染。

在後量子安全節點，注冊時刻是演算法選擇固化之處。一個以經典密碼學憑證注冊、進入正在進行抗量子遷移的系統的智能體，從第一天起就攜帶著脆弱的身份。注冊憑證是密碼學譜系的起點節點：若起點使用了已廢棄的演算法，補救措施不是打補丁，而是重新注冊。從一開始就以抗量子原語正確完成注冊，是避免脆弱根源的唯一方式。之後的每一次金鑰輪換、每一次憑證更新、每一條審計日誌條目，其強度都不超過第一環所允許的上限。

硬件作為首個信任錨點

當第一個信任關係根植於硬件時，注冊問題得到了最為清晰的解決。可信平台模組或硬件安全模組，可以在注冊時證明智能體正在特定的、可測量的軟件配置上運行。這一證明由硬件本身簽署——而非由可能在注冊憑證頒發之前就已被攻陷的軟件進程簽署。

注冊時的硬件證明，回答了流程控制無法回答的問題：這是營運方意圖部署的那個智能體嗎？軟件證明是智能體關於自身的主張。硬件證明是平台關於其正在運行什麼的主張。對於沒有既往歷史的智能體，硬件證明是唯一不依賴於對智能體本身的既有信任的身份主張形式。

其含義是實際的。對於部署在高後果領域的智能體——安全基礎設施、健康數據系統、金融授權流水線——注冊時的硬件證明不是高級選項，而是整個後續信任關係獲得可驗證根源的機制。沒有它，營運方對已部署智能體的信心完全依賴於事後無法審計的流程控制。「我怎麼知道這就是我批准的那個智能體？」這個問題，在注冊完全由軟件中介時，沒有令人滿意的答案。

還有一個可組合性論點。智能體越來越多地在多智能體流水線中運作，一個智能體調用另一個智能體並傳遞派生權限。在這樣的流水線中，無法在注冊時驗證的信任根，在任何下游節點也無法驗證。引導問題不局限於鏈條中的第一個智能體——它在每一次後續委托中傳播。在首個節點進行硬件根源注冊，是使下游信任主張連貫而非循環的前提。

照護場景中的信任引導

在照護場景中，信任引導問題有一個硬件單獨無法解決的人的維度。當一個智能體被部署以協助照護——排班、病歷訪問、環境管理、用藥提醒——受其決策影響的人，必須有某種有根據的理由相信該智能體就是部署方所聲稱的那樣。

這不是純粹的技術憑證問題，而是知情同意架構問題。護理對象或其法定代理人，必須被告知智能體的初始權限範圍、其授權鏈，以及該範圍被約束的機制。引導不僅是頒發正確密碼學憑證的問題，還是使憑證含義對護理關係中的非技術參與者可理解的問題。

一個初始權限對受影響者不透明的智能體，無論密碼學實現多麼正確，都無法滿足照護領域的知情同意要求。照護場景中的信任引導，只有在技術注冊與人的知情同意對齊時才算完成：注冊時智能體的實際權限範圍，與被解釋並被接受的範圍一致。將注冊視為純技術步驟的照護領域部署方，留下了空白的同意層。這個缺口不會自行彌合——在受監管的照護環境中，這恰恰是審計程序首先尋找的缺口。

這需要什麼

信任必須先被錨定，才能被延伸。注冊時刻——智能體在新環境中獲得首個憑證的節點——是鏈條要麼可驗證地開始，要麼憑假設開始的地方。假設會複利累積：無法驗證的信任根無法被審計，無法被審計的信任根在出錯時無法被否認。

由此引出三項要求。第一，注冊憑證必須從一開始就使用抗量子原語——對根源的改造是重新注冊，不是補丁。第二，對於高後果領域的智能體，注冊必須包含對運行配置的硬件證明，使身份主張不再是自我斷言。第三，在照護場景中，技術注冊與人的知情同意流程必須共同設計，而非依次進行——智能體的權限範圍必須對受其影響的人可讀，而不只是對部署它的營運方透明。

對於在高後果環境中運作的智能體，信任引導不是部署細節，而是所有後續問責主張賴以成立的架構決策。