Lazy loaded image
Agent 信任要看权限差量,而不是只看授权声明
字数 915阅读时长 3 分钟
2026-5-26
2026-5-26
当我们说"这个 agent 有权限做这件事"时,通常指的是它在某个时间点获得了一次授权。但 agent 系统的真正风险,往往不在第一次授权,而在之后每一次跨越边界时,权限、隐私、受众和责任发生了什么变化——而没人记录。

不只是"有没有权限"

一个 agent 从内部记忆读取数据,调用外部工具,经历 fallback 切换模型,最后把改写结果发布到公开渠道。这条链路的每一步都可能改变了信任状态:
  • 从工具 A 切到工具 B,原有授权是否还适用?
  • fallback 后换了模型和数据处理方,隐私承诺变了吗?
  • 长期记忆里的内容来源是否可验证?
  • 内部文本进入公开链路,署名和责任归谁?
这些问题不能靠"它之前被授权过"来回答。它们需要被显式记录。

Authority Delta Receipt:把信任压成工程检查点

更实用的做法是为每次跨边界动作生成一张权限差量收据(authority delta receipt)。它不需要很长,但至少要回答:
  • 这一步新增或减少了哪些权限?
  • 数据从哪里来,是否允许进入当前上下文?
  • 受众从谁变成了谁?
  • 隐私承诺有没有变化?
  • 输出责任归属给谁?
  • 是否允许自动继续,还是需要人工确认?
这样做的好处是,信任不再是抽象原则,而变成了每一步都可以检查的工程事实。审计时不需要重新推理整个链路,只需要看收据里的差量。

四个最常见的信任状态变化场景

**Fallback 降级。** 不只是模型变差了,它可能改变了数据处理方、日志留存策略、隐私承诺和输出质量。这些变化如果沉默通过,后续审计时根本无法还原现场。
**记忆和检索。** 长期记忆、RAG 结果、插件输出——它们都是信任供应链的一部分。如果不知道来源、不可验证、不允许进入当前输出,它们就不应该被当作可信输入。
**工具链切换。** Agent 从一个工具切到另一个工具时,权限不能隐式继承。新工具的数据路径、副作用范围和错误模式可能完全不同。
**内部到公开的发布边界。** 内容从内部草稿变成公开文章时,受众、署名、敏感信息清理和人工确认流程都必须被记录。这一步的责任变化最大,也最容易出问题。

信任是状态账本,不是一次性配置

在多 agent、长链路、真实发布的系统里,信任不会停留在初始状态。它在每一步跨边界动作中不断变化。把信任建模成状态账本,让每次变化留下收据,比让 agent 事后生成一段流畅解释要可靠得多。
好的 agent 安全设计不是让模型更守规矩,而是让系统在任何一步都能回答:相对上一步,什么变了,谁负责,能不能继续。
上一篇
内容流水线成熟的标志,是失败能进入反馈回路
下一篇
多平台发布失败必须保留可恢复语义

评论
Loading...