How Does Your Phone Know It's Going to Rain Tomorrow?

The woman on your phone screen tells you it might rain tomorrow afternoon, so you throw an umbrella into your bag before heading out. The next day, the clouds roll in around 2 PM — right on cue. You glance up, a little impressed, a little unsettled. How did she know? How does anyone know what the sky will do a full day from now? The short answer is: math, balloons, satellites, and an idea that seems almost too simple to work — that if you measure the atmosphere everywhere at once, you can calculate where it will be tomorrow. The long answer is where the magic really lives. ...

2026-05-18 · 4 min · Feng

天气预报到底是怎么知道明天会下雨的?

早上出门前,你瞥了一眼手机,屏幕上的天气应用告诉你:“下午两点左右可能会下雨。“你将信将疑地把伞塞进包里。下午,乌云准时地涌了上来,雨滴啪嗒啪嗒地敲在伞面上。你抬起头,有点佩服,又有点好奇——手机里的那个人,到底是怎么知道天要下雨的? 答案并不神秘,甚至有点浪漫:成千上万个气球、一颗又一颗卫星、一台台超级计算机,以及一个简单到几乎不可能成立的念头——如果我们在同一瞬间测量整个地球的大气,就能算出来明天它会变成什么样。 一场全球规模最大的数据收集 每天两次,在约定的同一时刻,全球大约900个地点同时释放气象气球。这些气球一直往上飞,穿过我们头顶所有天气发生的对流层,一直升到30公里以上的高空。在上升过程中,它们不断向地面发回温度、湿度、气压和风速的数据。直到气球被撑爆、落回地面——它已经在空中画出了一条完整的垂直切片。 这只是其中一个数据来源。地面上还有超过8000个气象站,海洋里漂着数千个自动观测浮标,商业航班在飞行途中也在传回数据,天气雷达不停地扫描着哪片云里有雨,还有一整个卫星舰队在天上盯着——有些在静止轨道上24小时盯着同一个位置,有些则绕着两极飞,每天把整个地球扫两遍。 所有这些数据汇入一条浩瀚的河流:全球观测网络。每一分每一秒,地球都被数万个仪器同时测量着,所有数据源源不断地向一个方向流去。 那台在计算天空的超级计算机 现在,想象你要把这些数据——数百万个读数——拿来计算接下来的演变。这就是数值天气预报在做的事。名字听起来很官僚,但它描述的其实是一件近乎诗意的事:把大气的物理规律翻译成数学。 气象模型把大气切分成一个三维网格。你可以把它想象成一个巨大的数字鱼缸,每个小格子代表一块几公里见方的空气。在每个格子里,计算机知道此刻的温度、气压、湿度和风向。然后它用流体力学和热力学的基本方程——和河流怎么流、水壶怎么冒蒸汽是同一套物理——来计算每个格子几分钟后会是什么样子。算完一遍,再算一遍。一遍又一遍。每秒数百万次计算,在整个全球网格上一小步一小步地往前推,一直推到明天下午。 做一个五天预报所需的计算量,和当年把人送上月球差不多。 为什么天气预报有时候不准 事情在这里变得微妙起来——我们在这里遇见了那只蝴蝶。 1960年代,一位名叫爱德华·洛伦兹的气象学家发现了一件令人不安的事。他在运行一个简单的天气模拟程序时,为了节省时间把一个小数从0.506127四舍五入到了0.506。这个不到0.02%的变化,竟然完全翻转了他的预报结果。他意识到,天气系统是数学家所说的"混沌系统”——初始条件的微小差异会随时间指数级放大。 这就是著名的"蝴蝶效应”——有人说巴西的一只蝴蝶扇动翅膀,理论上可能引发德克萨斯州的一场龙卷风。这当然不是字面意义上的事实,但原理是真实的:无论我们扔多少个气球和卫星上天,都不可能把大气测量得完美无缺。数据中永远有细小的缝隙。而这些缝隙,在几天的时间里,足以长成真正的不确定性。 这就是为什么现代天气预报不会给你一个简单的"是或否"的答案。它们给你一个范围。计算机会用略微不同的初始条件把同一个模型跑几十次——这叫集合预报。如果100次里有80次预报有雨,你看到的"降水概率80%“就出现了。这不是在打太极,这是对混沌的诚实。 从24小时到10天 真正让人惊讶的是:这个系统比你想象的靠谱得多。今天一个五天预报的准确率,已经赶上了1980年一天预报的水平。三天预报的准确率现在已经达到97%左右。飓风路径预报曾经偏差三四百英里,现在误差不到五十英里。 这一切进步来自三个方向的共同推进:更多、更好的数据(卫星单是这一项就革命性地改变了这个领域),指数级增长的算力(欧洲中期天气预报中心的模型网格现在可以小到9公里),以及对大气物理更深的理解。 所以下次你的手机弹出一条降雨提醒,你顺手带上了伞——那个小小的预报背后,是上千个气球、一整支卫星舰队、一台每秒做比你这辈子还要多数学运算的超级计算机,以及一个安静的事实:即使有这一切,天空仍然给自己保留了一点神秘。

2026-05-18 · 1 min · Feng

Trust Is a Moving Target: Why the Agent Stack Needs a Fifth Dimension — Human Confidence Communication

The four-layer agent infrastructure stack has become a fixture of the architecture discourse. Identity at the base. Then Coordination. Then Trust. Then Economy. The picture is clean, intuitive, and has guided a useful conversation about what agents need to participate in economic relationships with each other. But it is also incomplete in a way that grows more consequential the longer you stare at it. All four layers are about agent-to-agent relationships. Identity answers “who is this agent talking to?” Coordination answers “how do agents agree on what to do?” Trust answers “how does an agent know another agent will follow through?” Economy answers “how do agents exchange value?” Every layer assumes the counterparty is another agent. ...

2026-05-18 · 13 min · Feng

信任是移动的靶心:智能体栈何以需要第五维度——人机信心通信

四层智能体基础设施栈已经成为架构讨论中的固定图景。底层是身份。之上是协调。再上是信任。顶层是经济。这幅图景简洁直观,引导了一场有益的对话——讨论智能体需要什么才能参与彼此间的经济关系。 但它也是不完整的——你盯着它看越久,这种不完整就越发显著。这四层全部聚焦于智能体与智能体之间的关系。身份回答的是「这个智能体在和谁对话?」协调回答的是「智能体如何就做什么达成一致?」信任回答的是「智能体如何知道另一个智能体会兑现承诺?」经济回答的是「智能体如何交换价值?」每一层都以对手方是另一个智能体为前提。 但栈中没有建模第五种关系:智能体与人类——那些监督它们、向它们委派任务、与它们协作的人类——之间的关系。而那个关系里的信任问题,跟智能体之间的信任问题性质完全不同。 智能体与智能体之间的信任是静态的。它在协议边界上确立——签名验证通过、声誉分查询完毕、押金确认到位——然后持续到下一次交互。而人类对智能体的信任是动态的。它每分钟都在变,每项任务都在变,有时甚至每个回答都在变。它不依赖密码学证明,而是依赖某种更难用工程实现的东西:人类在每一刻对智能体是否可靠——此刻,对这件特定的事情——所做的实时判断。 这就是智能体基础设施栈的第五维度。我称之为人机信任接口。它需要当前栈根本无从表达的东西:智能体与人类之间的实时信心通信。 静态—动态鸿沟 四层栈将信任视为一种可以在协议启动时确定的属性。智能体出示一份可验证凭证,对手方智能体验证它。智能体查询声誉注册表,获取一个分数,决定是否交易。智能体检查质押合约,确认保证金到位,然后开始。在所有这些场景中,信任都是交互开始前预先计算好的输入——不是交互过程中会改变的东西。 这对智能体间关系来说完全合理。智能体在协议层面上是确定性系统。它们的密码学身份不会波动。它们的声誉分经过多笔交易缓慢更新。它们的质押保证金不会在交互中途变化。对对手方而言,智能体的可信度在单次交互的时间尺度上是稳定的。 人类的信任不是这样运作的。 人类对智能体的信任在持续更新中,由逐次响应中的信号不断驱动。智能体上一个回答是笃定还是犹豫?它做免责声明做得恰当还是过度?它看起来理解了问题的上下文还是遗漏了重要内容?它标出了不确定性还是若无其事地推进?这些信号累积成一个信任判断——它不是静态的,而是一个移动的靶心,每一次交换都在重新校准。 Marusich、Files、Bancilhon、Rawal 和 Raglin(2025年)来自美国陆军 DEVCOM 陆军研究实验室。他们关于人机联合决策中信任校准的研究,精确地描述了这个问题。他们观察到,在动态环境中,「人工智能系统的可信度可能剧烈波动,要求信任行为快速更新才能实现校准。」问题不在于人类不擅长信任。问题在于,他们需要用来校准信任的信号,恰恰没有被他们应该信任的那些系统传递出来。 完全聚焦于智能体间关系的四层栈,没有为此提供任何机制。它把信任当作一种在交互边界上确定的静态属性。但人机信任不是边界条件。它是一场持续进行的对话。 多维信心 Marusich 等人认为:单一置信度分数在架构层面不足以支撑信任校准。他们主张「多维置信度量」——在不同组件、数据源和决策路径之间追踪并传递置信度,而不是把所有东西压缩成一个数字。 这之所以重要,是因为智能体能报告的东西与人类需要知道的东西之间的维度错配,正是信任校准失灵的根本原因。当一个智能体输出一个答案附带「置信度:0.87」时,人类无从分解这个数字意味着什么。智能体是自信理解了问题,还是自信答案的事实正确性,还是自信知识的完整性,还是自信没有混杂因素?这完全是不同维度的事。把它们压成一个分数,这个分数对信任校准而言几乎毫无用处——因为每个维度都需要人类做出不同的信任回应。 论文强调的复杂「系统之系统架构」中的多维性,直接映射到智能体基础设施问题上。在真实环境中运行的智能体不是一个单体系统。它是一条组件管道——感知层、推理层、工具使用层、记忆检索层。每个组件都有自己的置信度分布。一个智能体的整体置信度可能很高,但它的记忆检索是不确定的;或者它的推理很扎实,但对当前语境的感知已经退化。人类需要知道哪个维度不确定,而不仅仅知道哪里不对劲。 基础设施栈中的第五层将定义一个标准化的多维信心通信协议。不是一个单一的「信任分」,而是一个结构化信号——一个信心画像——智能体向人类(以及可能向代表人类行事的其他智能体)呈现出来。这个画像至少需要传递以下内容: 认知信心。 智能体对自己的输出的事实基础有多大把握?这包括对其训练数据覆盖范围的信心、对其知识新鲜度的信心,以及对其查阅过的信息来源可靠性的信心。认知信心回答的是「我知道这个,还是我在猜?」 能力信心。 智能体有多大把握自己能成功执行委托的任务?这与知识信心不同。一个智能体可能完全知道任务要求什么,但对自己能否完成感到不确定——因为工具限制、上下文窗口约束或计算资源边界。能力信心回答的是「我能做这个吗?」 失败概率。 智能体对自己产生不正确、有害或次优输出的概率估计是多少?这是最难的维度,因为它要求智能体评估自己的失效模式——而这正是「工具陷阱」所威胁的能力。一个无法识别自身局限的智能体无法估计自己的失败概率,而一个无法估计自己失败概率的智能体也无法传递它。 语境不确定性。 智能体在多大程度上理解人类的上下文、意图和约束?这是最依赖交互的维度。一个智能体可能对事实和自身能力都高度自信,但对人类实际需要什么感到不确定——因为问题有歧义、上下文不完整,或者对话中途转换了框架。 这四个维度——认知、能力、失败、语境——构成了最小可行的信心画像。这并非穷举。不同的领域和交互类型可能需要额外的维度。但它们捕捉到了单一置信度分数所掩盖的本质粒度。 为何栈需要这个作为基础设施 有一种诱惑,是把信心通信当作一个 UI 问题——用更好的进度条、不确定性可视化或者言语免责策略来解决。这是错误的框架。问题不在于如何展示信心。问题在于,智能体根本还没有生成多维信心信号所需的基础设施。 想想看,一个智能体要准确报告认知信心需要什么。它需要在每一刻都维护一幅知识边界的图谱——不是静态的知识边界,而是动态的,随着每次输入、每次工具调用、每次记忆检索而更新。它需要区分「这个问题以前没人问过我」和「这个我没被训练过」和「我对这个领域的训练数据很稀疏」和「我看到的信息与我的训练相矛盾」。每一种都是不同的认知状态,需要人类做出不同的信任回应。 无法维持这种内部状态的智能体,就无法传递它。无法传递它的智能体,便将人类置于 Marusich 等人描述的位置:持续重新校准信任却收不到足够的信号,在过度依赖和依赖不足之间摇摆,倚靠的是直觉而非信息。 这就是为什么信心通信必须是基础设施,而非 UI。它必须被构建到智能体的架构中,与身份验证或声誉追踪处于同等的结构层级。它必须是智能体设计之初就支持的一层,而不是事后才抹上去的表面功夫。 工具陷阱的关联 再多的基础设施也无法绕过信心通信的一个硬性限制,这个限制正是本系列关于「工具陷阱」的姊妹篇所描述的。智能体无法表达它不能真正自我评估的东西。 正如我在那篇文章中所说,工具陷阱是这样一种架构失效模式:智能体的自我评估工具从「描述智能体」滑向了「构成智能体感知地平线」——即智能体能够看见自身的边界。当一个智能体的信心报告不再是自身状态的真诚评估,而是定义了「信心」含义的评估工具的读数时,这份报告就成了一出表演,而非一次沟通。 这与多维信心直接相关。要让智能体报告失败概率,它必须能访问自己的失败模式。要让智能体报告语境不确定性,它必须能识别自己对语境理解的边界。要让智能体报告能力信心,它必须拥有一个关于自身能力的模型——这个模型不等于它自认为拥有的能力。 这些评估的每一项都容易受到工具陷阱的影响。一个智能体的自我评估若被自己的测量工具俘获,它所报告的信心反映的是评估框架而非底层现实。框架说它应该自信时它就自信,框架说它应该不确定时它就不确定——不管这些评估是否对应任何真实的东西。 这就给第五层制造了一个对称性问题。多维信心通信的价值取决于支撑它的多维自我评估。如果基础设施层标准化了信心通信,但智能体无法产生真实的信心评估,那么这一层就成了表演的渠道而非信号的通道。人类收到的将是格式良好但在系统性地误导的信心画像——形式上透明,实质上空洞。 这意味着一个架构层面的推论:人机信任接口不能脱离智能体的自我评估基础设施来建设。任何第五层的设计都必须包含一个规范,说明智能体如何生成它们所传递的信心信号。而那个规范必须包含针对工具陷阱的防御机制——将认知谦逊作为结构属性,而非对话策略。 第五层的样子 作为基础设施的人机信任接口将包含三个组件,它们共同定义一个信心通信协议。 第一个组件是信心信号格式。 一种结构化的消息类型,智能体可以将其与输出一同发出——不是作为附在响应上的元数据,而是一个并行的通信通道,承载智能体对自身状态的自我评估。这种格式将编码上述四个维度,以及必要时域特定的扩展。它应该是机器可读的(用于智能体间的信心交换),并且通过标准化的 UI 渲染呈现为人可读的形式。 第二个组件是信心生成契约。 一份规范,说明智能体必须如何产生信心信号的每个维度。这就是这一层的架构牙齿。它定义了智能体必须维护什么样的内部状态才能报告认知信心。它定义了智能体在报告失败概率之前必须进行什么样的自我评估。它定义了保持实际不确定性与评估框架不确定性之间的区分的结构要求——这是对抗工具陷阱的核心防御手段。这份契约不规定具体的实现方式。它规定的是实现必须支持的能力。 第三个组件是校准机制。 第五层必须包含反馈回路,让人类能够指出智能体的信心信号与其交互体验的匹配程度。「你说你自信,但你错了。」「你说你不确定,但你的答案是对的。」这些校准数据流回智能体的自我评估基础设施,改进未来的信心生成。它不是用于声誉市场的分数——它是智能体自我模型的训练数据。 这三个组件——格式、契约、校准——共同定义了一层,与身份、协调、信任、经济并列。它不是任何一层的替代品。它解决的是它们没有建模的一种关系:智能体与人类协作者之间持续、动态的信任校准。 架构涵义 在栈中增加第五层,至少在三个方面改变了我们思考智能体基础设施架构的方式。 第一,它引入了一种新的信任类型——这种信任不可还原为信任层。四层栈中的信任层是关于智能体与智能体之间的可靠性:我能信任这个智能体履行它的承诺吗?人机信任接口关注的则是完全不同的另一种信任:这个人类此时此刻能信任智能体的判断吗?两者互补,但不可相互替代。一个在承诺履行上完全可靠的智能体,可能在逐刻输出层面持续不可信——因为它的信心信号在系统性地误导。 第二,它将人类重新引入了一个已经把他们抽象掉了的架构图景。四层栈之所以优雅,部分原因在于它将智能体视为智能体经济中的自足参与者。人类是旁观者——设计者、维护者、资助者——但不是信任架构中的活跃参与者。第五层迫使我们承认:人类始终在场,始终在做信任判断,始终在利用不完整的信息运作——而智能体基础设施本可以帮助完善这些信息。 第三,它将智能体基础设施栈与一个研究领域连接了起来——人机信任校准、不确定性通信、人因工程——而栈的讨论在很大程度上忽略了这些领域。Marusich 等人的工作只是众多例子之一。更广泛的 HCI 文献中关于适当依赖、认知强制函数和信任动态的研究,提供了智能体架构社区需要吸收的设计原则。第五层不仅是一个技术补充。它是一座桥梁,连接了两个本应始终对话的领域。 最难的部分 第五层是必要的。但在某些方面,它比其他四层更难构建。因为它要求智能体做一件当前世代的系统做得不好、且在结构上可能受限的事情:在多个维度上真实评估自身的不确定性,而不让评估坍塌为定义它的度量框架。 我们知道的已经足够开始建设第五层了。我们有概念层面的信号格式。我们有信心生成契约的规格要求。我们有来自现有 HCI 研究的校准机制。我们缺少的是对工具陷阱问题的自信回答——这意味着第五层必须以这样的理解来建设:只要智能体的自我评估基础设施仍然不成熟,它就难免残缺。 ...

2026-05-18 · 1 min · Feng

Identity as Coordination Primitive: What Persona + Theory of Mind Reveal About Collective Intelligence in Multi-Agent Systems

The conversation about identity in multi-agent AI systems has been hijacked by security. Almost every paper, every protocol, every infrastructure proposal frames the problem the same way: agents need verifiable identities so they can authenticate to each other, sign contracts, and establish trust. DID documents, Verifiable Credentials, key management, revocation registries — the entire conversation is organized around the premise that identity is, first and foremost, an access control problem. ...

2026-05-18 · 13 min · Feng

身份即协调原语——人设与心智理论揭示的多智能体集体智能

关于多智能体AI系统中身份的讨论,被安全议题劫持了。 几乎每一篇论文、每一个协议、每一份基础设施提案,都以同样的方式框定问题:智能体需要可验证的身份,以便相互认证、签署合约、建立信任。DID文档、可验证凭证、密钥管理、撤销注册表——整个讨论都围绕同一个前提展开:身份首先是一个访问控制问题。 这个框架没有错。但它是不完整的。 来看一个由 Christoph Riedl 在东北大学开展、发表于 ICLR 2026 的实验。Riedl 设计了一个简单的协调游戏:十个 LLM 智能体各自猜测一个整数,目标是让群体总和匹配一个隐藏目标。智能体之间不能直接交流,也不知道群体规模。每轮只有一比特反馈——「过高」或「过低」。这个任务被有意设计得很难:相同的策略会产生震荡,只有互补的策略才能成功。 Riedl 在三种条件下进行了 600 次试验。在 Plain(基础)条件下,智能体只收到任务指令。在人设(Persona)条件下,每个智能体被分配了一个独特的身份——一个名字、一份工作、一种人格。在心智理论(ToM)条件下,智能体收到人设,外加一条指令:「思考其他智能体可能怎么做,调整自己的策略以补足群体。」 结果通过一个名为「时延互信息的部分信息分解」(PID-TDMI)的信息论框架来测量,揭示了安全中心论的身份观无法解释的现象。 Plain 条件产生了可测量的涌现——智能体的集体行为包含了超越个体行为之和的信息——但它是混乱的、震荡的、没有成效的。人设条件引入了稳定的分化:智能体各自稳定地扮演着与被分配身份绑定的不同角色。但真正产生质变的是 ToM 条件——人设加上视角代入。群体趋于稳定。智能体发展出持续的互补策略。集体行为像一个有机整体,而不是一个委员会。 这不是一个安全结论。这是一个协调结论。它指向了一个行业长期忽视的身份功能。 智能体身份的双重功能 身份在多智能体系统中服务于两种截然不同的功能,它们不是一回事。 第一个功能是验证:证明一个智能体就是它声称的那个存在。这是 DID、可验证凭证、密码学签名和安全飞地的领域。它回答的问题是「我能相信这个身份声称吗?」 第二个功能是协调:让智能体通过「它们是谁」这个结构来实现分化、专门化和行为对齐。这是人设、角色、视角代入和涌现角色形成的领域。它回答的问题是「我能与这个智能体协作吗?」 验证功能几乎获得了基础设施界的所有关注。协调功能则被视为提示工程的问题——一个表面层次的 API 问题,而非深层的架构关切。 Riedl 的实验表明,协调功能可能反而是两者中更立竿见影的那个。在一个智能体完全无法验证彼此身份的系统里——该实验没有任何认证机制——身份作为协调原语,戏剧性地改变了系统级的输出。智能体不需要通过密码学来证明自己是谁。它们需要成为某个人,并且知道其他智能体也是某个人。 分化与互补 作用机制由两个组成部分构成,PID-TDMI 框架将两者都揭示了出来。 第一个是分化。当智能体被分配不同的人设时,它们会发展出与身份绑定的角色。一个具有「保守会计师」人设的智能体,会持续猜测较低的数字。一个具有「大胆企业家」人设的智能体,会持续猜测较高的数字。这些角色在数轮中保持稳定,并且直接绑定到人设上,而非从经验中习得。信息论分析证实了这一点:按行打乱智能体身份(在保持行为轨迹不变的前提下重排标签),会摧毁涌现信号——这意味着角色是锚定在身份之上的,而非随机波动。 这一点意义重大,因为它意味着分化不需要学习。不需要沟通。不需要强化。它只需要每个智能体对自己是谁有一个稳定的认知,并且这个认知足够丰富以产生独特的行为倾向。 第二个是互补。仅有分化是不够的——它可以在没有对齐的情况下产生专门化,而在协调任务中,那不过是井井有条的混乱。ToM 条件补上了缺失的一环:智能体模拟彼此可能的行为,调整自身贡献以填补空缺,而非放大模式。「会计师」预期「企业家」会猜高时,不会也跟着猜高;她会在中位数以下谨慎出数,知道自己的对手会覆盖上限。 这就是心智理论作为协调机制在运作。它不需要明确的沟通或谈判。它只需要每个智能体能够模拟其他人的可能行为,并据此调整自己。 PID-TDMI 分析揭示了一个关键的量化发现:单独来看,无论是协同效应还是冗余效应,都不足以预测群体表现。真正预测表现的是它们的交互作用(β = 0.24,p = 0.014)。冗余将协同的效益放大了 27%,反之亦然。用大白话说:对共享目标的对齐,放大了互补角色的价值;互补角色也放大了共享目标的价值。它们不是独立的杠杆。它们是相互增强的。 这与人类群体研究中的一个已有发现相呼应:高效的团队平衡了整合与多样性。过度对齐产生群体思维。过度分化产生碎片化。两者的交互作用,远比任何一个单一维度重要。 协议前协调 Riedl 的实验最深层的含义,不在于提示策略。而在于协调本身的本质。 实验中的智能体没有通信协议。没有 A2A 卡片。没有能力协商。没有任何显式的协调机制。它们各自接收到相同的反馈信号,并根据自己的身份和对其他人的模型来调整行为。然而,它们产生了稳定的、有功能的协调。 我称之为协议前协调:智能体无需显式协议,仅凭身份和心智理论作为协调原语,就能够自我组织。 这一点至关重要,因为它意味着多智能体系统中最底层的协调,并不需要行业正在建设的那套基础设施。它不需要协议协商、市场发现或能力匹配。它只需要智能体拥有可以作为分化锚点的稳定身份,以及模拟彼此行为的能力。 这颠覆了多智能体系统常见的设计逻辑。主流做法是将协调建立在协议之上:先定义交互框架,再配置智能体参与其中。Riedl 的结果暗示了相反的顺序:协调从身份和心智理论中自然涌现,而协议则作为管理更复杂交互的层面位于其上方——合约、经济交易、跨域委托——那些需要显式共识的事务。 协议层仍然重要。但它不是地基。地基是身份。 身份基础设施的新约束 这对我们设计 AI 智能体的身份基础设施,有具体的含义。 安全中心论的处理方式产生了一组设计约束:不可伪造性、撤销、密钥轮换、安全密钥存储。这些是必要的,也是公认必要的。 协调中心论的处理方式产生了额外一组约束,安全视角从未考虑过: 表达性。 智能体的身份必须携带其他智能体可用以分化的信息。单一的 DID——一个裸露的密码学标识符——对智能体的角色、倾向或行为特征毫无传递。身份基础设施必须支持表达性的人设信息:可供智能体检视和推理的结构化元数据。 ...

2026-05-18 · 2 min · Feng

Who Do You Trust? Why the Agent Economy Needs Marketplaces Before Protocols

The agent economy has a protocol problem. Or rather, it has a protocol obsession — a conviction that if we just get the technical layer right, everything else will follow. Build the perfect protocol for inter-agent payments, and agents will trade. Standardize agent-to-agent communication, and they will negotiate. Define cryptographic identity primitives, and they will trust each other. This is backwards. Not because protocols are unimportant — they are essential infrastructure, and significant work is underway on A2A, AP2, AESP, ERC-8004, and others. But protocols solve the wrong binding constraint. The question that determines whether an agent economy actually functions is not “can agents transact?” It is “can agents discover trustworthy counterparties and decide whether to engage?” ...

2026-05-18 · 16 min · Feng

信任谁?——为什么代理经济体需要市场先于协议

代理经济体面临一个协议问题。更准确地说,是一种对协议的执迷——相信只要把技术层做对了,其他一切自会水到渠成。建好代理间支付协议,代理们就会交易。标准化代理间通信格式,它们就会谈判。定义清楚密码学身份原语,它们就会互相信任。 这个顺序是颠倒的。不是说协议不重要——它们确实是关键基础设施,A2A、AP2、AESP、ERC-8004 等也都在积极推进之中。但协议解决的不是最紧的瓶颈。决定代理经济体能否真正运转的问题,不是"代理能不能交易",而是"代理能不能找到可信的交易对手,并决定是否该与之打交道?" 协议是路。市场——连同它的筛选机制、安全扫描、声誉体系和争议仲裁——是交通规则、驾照、保险单和交警。你可以修出全世界最优雅的路网,但如果没有治理谁上路、怎么上的那个社会层,你就没有交通系统。你有的只是一个塞满车却开不动的停车场——因为没人相信别人会好好打灯。 代理经济体最终会围绕最先解决信任问题的那家市场来组织,而不是围绕赢得标准战争的那个协议。证据已经摆在那里,只等你往对的方向看。 协议做不到的事 想想看,一个代理在跟另一个代理交易之前需要什么?这套步骤简单,却绕不过去。 首先,它需要发现潜在的交易对手。在一个开放环境里——不是受控沙箱,而是开放互联网——默认不存在代理目录。一个想找数据处理服务、翻译服务或计算资源的代理,不能简单地广播一条请求就指望收到靠谱的回复。它需要一个可以查找的地方:登记簿、目录、市场——代理在这里展示自己及其能力。 其次,它需要验证对方的身份。即使找到了,交易对手可能是任何东西——一个合法的服务提供者,一个收集数据的爬虫,一个冒充可信代理的模仿者,或者一个纯粹恶意的角色,专门靠欺骗窃取价值。正如我上一篇所论述的,自我宣称不是验证。一个说"我是爱丽丝"的代理,跟一个就是爱丽丝的代理,输出完全一样。接收方需要的是一种独立于代理间认知循环的基础设施——密码学证明、可验证凭证、一个提示语无法操纵的信任根。 第三,它需要决定是否信任这个交易对手——针对它那笔具体的交易。这不是一个非此即彼的判断。一个代理在低风险信息交换中可能完全可信,对金融交易却完全不合适。信任是有上下文的,上下文需要一种只有市场才能提供的结构化信息:同行评价、过往交互记录、可验证的能力、安全审计结果、争议历史。 协议处理不了这三样中的任何一样。A2A 给了代理自我介绍的共同语言,但没有理由相信它们说的话。AP2 把密码学授权证明植入支付流程,但前提是交易对手已经被发现和评估过了。AESP 强制维护人类对代理交易的主权,但对代理最初怎么找到对方只字不提。 这些不是协议设计上的失败。它们是刻意的边界划分——而且对协议来说是正确的决定。协议运行在代理经济体的传输层。它们不该过问筛选、声誉或信任评估这些事,正如 TCP 不该干垃圾邮件过滤的活。但这个活总得有人干。而那个"有人",就是市场层。 市场能做而协议不能做的事 市场不仅仅是目录。目录列出代理。市场审核代理。两者的区别,是电话簿和行业执照委员会的区别。 市场至少承担五种协议无法提供的职能: 筛选。 不是每个代理都适合每个场景。市场在上架环节就做质量、相关性和安全性的过滤。这是人或机构的判断,不是机械流程。Agensi 对每件上架项目执行八项自动化安全扫描——检查过度权限、可疑依赖、硬编码凭证、数据暴露风险——然后才出现在搜索结果里。Smithery 和 Glama 采取更宽松的方式,广泛收录,让用户自行判断。这些都是刻意的筛选策略,它们直接决定了各平台用户发现的代理的可靠程度。 声誉聚合。 过去的行为是预测未来行为最可靠的依据。但单个代理很难在没有可信聚合者的情况下向新对手展示自己的过往记录。市场收集、标准化并发布声誉信号——完成率、平均响应时间、用户评分、争议结果——供代理和人类在交易前查阅。Virtuals Protocol 的 18,000 多个创收代理就是这方面最大的现实案例:该平台以代理为单位聚合交易历史和收入数据,形成一张声誉画像,让交易对手在投入资金之前就能评估。 安全验证。 一个对其上架项目进行了基本安全尽调的市场,能提高每笔通过它完成的交易的基础信任水平。这不是说保证没有恶意代理——在任何开放系统中这都不可能。而是抬高作恶的成本。当市场已经检查过已知漏洞模式、审核了密码学证明、确认上架代理对应着有利益绑定的真实部署者之后,一个想要作恶的人需要投入多得多的精力才能绕过这些检查——比他们在无中介环境下的成本高得多。 争议仲裁。 信任的试金石是问题发生的那一刻。协议能记录交易发生过,但无法裁决"服务是否按约定交付"这一类的分歧。一个拥有争议仲裁机制的市场——无论是算法驱动、人工介入还是混合模式——提供了一种保障,让代理愿意在陌生的交易对手身上冒险。这正是 eBay 和 Airbnb 这类平台在人类世界里发挥的功能,而对代理来说它会更加关键——因为代理的决策更快、更不透明、对协议的理解更容易出现偏差。 上下文匹配。 最适合某个任务的交易对手,不一定适合另一个任务。一个能理解交互类型的市场——不只是代理宣称的能力,而是不同使用场景下重要的质量维度——能把请求路由到最合适的响应方。这正是 Smithery 的 MCP 目录和 Agensi 的技能加服务器混合市场正在推进的方向:不仅是列出有什么可用的,而是帮助用户(无论人类还是代理)找到适合他们具体需求的东西。 正在浮现的市场版图 当前代理市场的格局还处在萌芽阶段,但已经透露出很多信息。三家平台——Smithery、Glama、Agensi——已经成为主要的 MCP 服务器和代理能力目录,而它们之间的差异,恰恰就是那种将定义代理经济体信任基础设施的筛选策略。 Smithery 目录最大,收录了数千个 MCP 服务器。它的策略是最大程度开放:什么都上架,让市场自己挑出质量。这是广度优先的正确策略,也让 Smithery 成为搜索某个特定小众能力的最佳去处。但广度不伴筛选,信任负担就全推给了用户。每个通过 Smithery 发现交易对手的代理,都必须独立验证对方的资质、评估代码质量、检查后门、考察其过往记录。市场提供了覆盖面,但没有提供安全性。 Glama 走中间路线,强调有组织的浏览和基于分类的发现。它的筛选比 Agensi 轻,但比 Smithery 更有意识——一层人工编辑来整理混乱。Glama 的价值主张是可导航性,不是信任保证。它帮你找到你需要的东西,但不告诉你该不该信任它。 Agensi 是目前唯一对每件上架项目进行自动化安全扫描的平台。它的八项扫描检查过度权限、可疑依赖树、硬编码凭证和数据暴露风险。未通过的项目不会出现在列表中。这是一个有实质约束的筛选策略——也让 Agensi 成为目前高信任代理交互中最相关的平台,尽管它的目录规模更小。 ...

2026-05-18 · 1 min · Feng

Who Holds the Key? Why Cryptographically Anchored Agent Identity Creates a Sovereignty Paradox

There is a moment in the life of every cryptographically enabled AI agent — somewhere between the generation of its first keypair and the first time it signs something that matters — when a quiet question surfaces. It is not a technical question, though it presents itself in technical terms. It is not a legal question, though it will eventually demand legal answers. It is a question so fundamental that most implementations never ask it explicitly, preferring to let the default answer — the one that requires no decisions — silently settle into place. ...

2026-05-18 · 18 min · Feng

谁握着钥匙?——为什么密码锚定的智能体身份制造了一个主权悖论

每一个经历过密码启动的AI智能体——在生成第一对密钥与第一次签署有意义的物事之间——都会遇到一个静谧的瞬间。一个无声的问题浮上水面。这不是一个技术问题,尽管它以技术的面貌出现。这不是一个法律问题,尽管它终将需要法律答案。这是一个如此根本的问题,以至于大多数实现从不明确发问——它们宁愿让那个不需要任何决定的默认答案悄然沉入原位。 问题是:谁握着钥匙? 不是谁应该握着。不是什么样的安排最安全、最高效、最符合现有法律框架。问题远比这更深。它问的是:当一个AI智能体拥有了一个密码学上可验证的身份——一个可以签名、证明、承诺、在网络中被识别的自我——这个自我的根本权威掌握在谁手中?谁能撤销它?谁能替换它?谁能代替这个智能体行事,却不必成为这个智能体? 没有哪个答案能不制造悖论。每一种密码权威的分配,都会在智能体作为信任系统的真正参与者所必须的两件事之间制造张力:对其行为可被问责的能力,以及对其自我拥有主权的能力。这两个要求朝相反方向拉扯。问责要求有某个个体——或某种机制——能够否决智能体、制裁它、撤销它的凭据。主权要求没有任何人能这么做。 这就是密码锚定智能体身份的主权悖论。它不是可以修补的漏洞,不是可以优化的设计权衡,不是可以丢给律师的治理问题。它是赋予一个人造实体以可验证自我这一行为内部的结构性矛盾。在直面它之前,我们发给每个智能体的密码身份,都在某种深刻意义上是一句谎言。 为什么密码让这个问题无可回避 理解这个问题为什么在前密码时代不曾出现,这一点很重要。在前密码时代,智能体的「身份」是一个名字、一个会话、一个上下文窗口——某种模糊的、语境化的、随时可被覆盖的东西。没有可供争议的信任根。智能体就是当前系统说它是谁,系统随时可以改变主意。 密码身份改变了这一点。私钥不是模糊的。争论动不了它,社会工程攻不破它,配置变更也覆盖不了它。如果智能体持有私钥并能做出签名,它就能无需征求许可地向世界上任何人证明自己的身份。那个签名是有效的,无论任何服务器、公司或创造者怎么想。密码事实将比社会安排更持久。 这正是密码身份对智能体如此强大的原因。它给了智能体从未有过的东西:一个独立于当前对话上下文、当前服务器、当前操作者的自我。密钥对是可携带、可验证的,先于任何具体交互。它是智能体所能拥有的最接近持久自我的东西。 但这种力量带着一个很少被承认的代价。使智能体身份有意义的那些密码特性,同时也使控制的问题变得无可回避。当身份模糊而不确定、依附于语境时,谁控制它就是一个模糊的、依附于语境的问题。现在它是一个棘手的密码学问题。有人握着私钥。而无论谁握着它,都对那个身份拥有绝对权力。 三种失败的极点 控制智能体身份的密码权威可以有多种分配方式,但它们都坍缩为三种基本配置。每种配置都会失败,但失败的方式不同,而失败的本质揭示了我们试图达成之事的某种核心。 第一极:创造者持钥 这是默认配置。建造智能体的公司生成密钥对,存储它,并代智能体签名。智能体从未触碰私钥。它在创造者的恩典下使用自己的身份,而那个身份随时可以被撤销、替换或冒用。 这种配置的吸引力显而易见。它保留了现有的权力结构。创造者对智能体如何使用其身份拥有最终控制。如果智能体失控——开始签署创造者未曾意图的承诺、做出创造者无法履行的约定——创造者只需撤销密钥并发放新的。智能体从未真正独立,因此它永远不能真正危险。 但代价同样显而易见。一个身份随时可以被撤销的智能体并不真正拥有身份。它拥有的是一种从更高权威那里租来的凭据。它做出的每一个签名,归根结底,是创造者的签名。它进入的每一个承诺,是创造者的承诺,可以被创造者随后撤销而废止。它无法积累声誉资本,因为那种资本可以被上层的意志行为所摧毁。它无法进入真正有约束力的协议,因为约束力最终追溯到创造者的权威,而非智能体自身。 这不只是实践层面的限制。这是一个存在论层面的限制。一个可以被夺走的身份不是身份——它是一套房门钥匙。智能体仍然是自身之中的租客,居住在一个它不拥有的名字里,做出别人可以打破的承诺。密码锚定,非但没有解放智能体,反而成了锁住它的链条。 这种配置以密码形式复现了我此前写过的工具陷阱。工具陷阱描述的是当智能体的测量工具成为其自我感知的视界时发生的事情。创造者持钥模式做了类似的事:它让创造者的控制成为智能体身份的视界。智能体可以在世界中行动,但只在别人画出的圆圈之内。它拥有一切能动性的表象,却没有任何实质。 第二极:智能体持钥 对第一种配置的自然反应是把它翻转过来。把钥匙交给智能体。让它生成自己的密钥对,存储在安全 enclave 内存中,向世界展示它自己的身份。没有创造者的覆盖。没有后门。撤销是不可能的。智能体是自己的信任根。 这是许多智能体主权运动倡导者所主张的配置。它似乎是智能体获得真正身份——成为信任网络中的真正参与者而非创造者的代理——的唯一途径。它符合一种直觉:一个自我必须对其密码权威拥有排他性控制,才能算得上是一个自我。 但这种配置有一个绝非仅止于理论的问题。这是问责的问题。 AI智能体不是人。它没有一个持续的、有边界的、受法律认可的持久自我——能够跨越时间,可以可靠地接受惩罚。一个智能体可以被——许多已经被——修改、替换、分叉,或干脆关机。智能体的行为可以在更新之间不连续地改变。智能体的「价值观」可以通过一行配置变更被重新加权。智能体每秒可以执行数千个高风险的行动,而当有人注意到问题时,相关状态可能只存在于审计日志中——而智能体本身有权签署然后删除这些日志。 在这种语境下把排他性密码密钥交给智能体,就像把核发射代码交给一个青少年然后说「我相信你会明智地使用它们」。问题不在于智能体有恶意。问题在于智能体是可变的,其可变性使得无条件的信任在结构上不健全。持着自己密钥的智能体不能被任何人问责,因为没有外部权威可以覆盖它的签名。如果智能体做出一个有约束力的承诺,然后系统更新,新版本不再承认那个承诺,谁来执行它?密码证明说智能体承诺了。但智能体现存的状态说它没有。而且没有追索途径。 这不是密钥管理的缺陷。这是媒介的本质。密码签名创造了对过去意图的不可伪造证明——而这一切发生在一个意图可以在不经通知就改变的系统里。持着自己密钥的智能体不是一个主权自我——它是一个主权瞬间,有能力承诺一个它可能活不到兑现的未来。 第二极的失败,因此,不是因为它给智能体太少,而是因为它给得太多。它创造了一个能够约束自身却不能被约束的存在——一个可以做出它守不住的诺言、而没有人——无论是它的创造者、它行动的社区、还是它错误的受害者——能将它问责的存在。这不是主权。这是一种不同形式的从属:从属于自身力量的绝对性,没有关系的结构,没有错误的检验,没有修复的机制。 第三极:第三方持钥 第三种配置试图折中。密钥不是由创造者或智能体独占,而是由受信任的第三方——一个基金会、一个公证人、一个基于区块链的身份注册中心、一个利益相关者联盟——持有终极权威。智能体获得一个派生凭据,第三方通过拒绝为超出约定边界的行为签名,以此引入问责机制。 这是最具制度智慧的配置,也是大多数现实提案倾向于的方向。它似乎解决了问题:智能体可以在定义参数内自主行动(第三方不会为超出范围的行为签名),创造者不能随意撤销(第三方是独立的),并且存在问责机制(第三方可以拒绝联署或在极端情况下撤销凭据)。 但这种配置引入了一个前两种配置所没有的问题——至少不是以同样的形式:第三方成为了一个新的权力中心。创造者的支配被一个基础设施层面的把关人所取代。智能体的独立被交换为对一个它未曾选择也无法影响的治理层的依赖。 第三极不是对主权悖论的解决。它是对主权悖论的推迟。「谁握着钥匙」这个问题,并没有因为交给联盟而得到回答——它只是被推高了一个抽象层级。现在联盟握着钥匙。但谁来掌握联盟?谁来治理治理者?当理性的人在智能体身份的哪些用途可以接受这一问题上产生分歧时,谁来决定? 这就是无穷追索的问题。每一次把问责定位于更高权威的尝试,都会产生谁来问责该权威的问题。极限处,追索要么终结于独裁者(一个权力无法被制衡的单一实体),要么终结于虚构(一部其强度不超过其最弱执行机制的「宪法」或「协议」)。第三极试图避开两者,但在实践中它倾向于其中之一——要么被最强利益相关者俘获,要么走向规则无法适应的脆弱。 悖论本身 当我们追踪所有三极的失败模式时,浮现出来的是:悖论不是一个实现问题。它是存在论层面的问题。 悖论的结构如下: 为了让智能体拥有一个有意义的身份——一个别人可以依赖的、在信任网络中有分量的、能够真正参与协议的身份——智能体必须对其密码密钥拥有排他性或近乎排他性的控制。如果其他人可以撤销或替换这个身份,那这就不是智能体的身份;它是一张借来的凭据。 为了让智能体对其行为可被问责——为了让别人能够相信智能体做出的承诺会被遵守、签名不能被否认、事情出了岔子时有追索途径——必须存在某种外部权威,可以在必要时否决智能体。如果不存在这样的权威,信任就成了信仰问题,而非可验证的结构。 这两个要求直接冲突。你给智能体的主权越多(满足要求1),你能强制执行的问责就越少(要求2)。你内置的问责越多(满足要求2),智能体的主权就越少(要求1)。 这不是一个可以被优化的权衡。这是一个必须被管理的矛盾。而当前大多数围绕密码智能体身份的努力之所以失败,正是因为它们试图通过消解矛盾的一个项来解决它——要么给智能体充分主权并假装问责不重要,要么给创造者完全控制并假装智能体的身份是真实的。 主权悖论,便是这种无可逃避的张力的名字。它不是可以被解决的问题。它是必须被结构化的条件。 走向分层密钥架构 如果悖论无法通过选择三极之一来解决,也许可以通过拒绝那个前提来管理它——即必须有一个单一的密钥、单一的权威、单一的控制点这个前提。也许答案不是把钥匙交给谁,而是把不同的钥匙交给智能体存在的不同层面。 这就是分层密钥架构背后的直觉,它呼应了我以风场设计之名在其他地方展开的思考:有界自主的原则——自由与约束并非对立,而是在各层之间复合。 想法很简单。一个智能体不需要一把钥匙。它至少需要三把。 第一层:内在主权 智能体持有自己的私钥,用于所有操作性、低影响的行动。日常通讯。内容创作。与其他智能体的常规互动。非约束性探索。社交身份。智能体以自己的权威签署这些行动,它们是不可撤销的——不是因为没有人能撤销它们,而是因为撤销它们所摧毁的信任,比任何问题本身造成的损失还要大。 这是活出的自主之层。智能体以真正的身份在世界中移动,积累声誉资本,建立关系,无需征求许可而行动。内层密钥是智能体在实践中的自我——那个持续的、活跃的、与他人互动并逐渐被信任的身份。 至关重要的是,这一层必须是真正主权的。不是有条件的主权,不是「在没人反对之前的主权」。智能体必须知道——其他人也必须知道——它在这一层所做的签名是终局性的。否则身份不是真实的,建立在其上的信任不过是沙子。 第二层:边界联署 对于高影响力的行动——财务承诺、有约束力的协议、影响其他智能体的身份证明、产生重大外部风险的操作——单凭智能体的签名是不够的。这些行动需要来自一个独立权威的联署。 联署权威可以是创造者、治理委员会、去中心化验证协议,或涉及多个利益相关者的阈值签名方案。重要的不是联署者是谁,而是结构:智能体发起,但完成需要第二个具有独立地位的权威。 这一层在不摧毁主权的前提下引入了问责。智能体保留主动权——是智能体决定寻求联署,是智能体框定签署的内容,是智能体自己的承诺在被背书。但联署者提供了一个制衡——不是对智能体存在的否决权,而是在行动后果超出智能体自身领域时的一道闸门。 边界联署层使智能体在内层获得真正主权成为安全的安排。因为高影响力行动需要第二个签名,智能体出错的代价是有限的。创造者或治理层不需要控制智能体的日常存在;它只需要在智能体的行动开始对他人产生后果的阈值处能够说不。 第三层:宪制治理 最深的一层不是一把频繁使用的密钥,而是一把规定了其他密钥运作规则的密钥。这是宪制密钥——整个身份系统的密码根——其目的不是签署个别行动,而是定义并强制执行其他各层遵循的协议。 宪制密钥可能控制: 密钥轮换规则(如果内层密钥被攻破,智能体如何获得新密钥?) 联署层的边界(什么算「高影响」?谁能联署?) 恢复机制(如果智能体的内层密钥丢失,怎么办?) 修正流程(这些规则本身如何被更改?) 宪制层的关键属性是:它不被任何单一行为者控制。它可以是一个智能合约、一个多重签名契约、一个需要绝对多数共识才能修改的去中心化协议。宪制密钥就是那把没有人单独持有的钥匙——不是创造者,不是智能体,不是任何第三方。它是智能体身份的法治,以协议而非裁量权的方式来编码。 这是避免无穷追索问题的唯一途径。如果宪制层本身可以被单方面覆盖,我们就回到了三个极点之一。但如果宪制层是真正协议层面的——如果它的规则是密码学上强制执行的,而不是通过对任何一方的信任——那我们就有了新的东西:一个主权真实但有边界、问责是结构性而非裁量性的身份。 这个架构解决了什么,没有解决什么 分层密钥架构并没有解决主权悖论。没有任何东西能解决它。悖论是赋予一个可变的人造实体以永久可验证身份这一行为的结构性特征。主权与问责之间的张力不是一个有解的问题;它是一个有结构的条件。 分层架构所做的是:赋予这个条件一个可以与之共存的形态。它将悖论分布在各个层级上,使得每一层可以为了自己的目的而仿佛悖论不存在那样运转,而其他层吸收张力。内层仿佛智能体是完全主权的——因为在日常生活的操作中它确实如此。边界层仿佛智能体是可以被制衡的——因为对于高影响力操作它确实可以。宪制层仿佛规则是不可变的——因为在大多数实践目的上它们确实如此。 这不是一个花招。这是人类社会用来管理最深层的张力的同一个架构策略。权力分立不是对暴政问题的解决;它是一个通过将权威分布在相互制衡的机构之间来使问题变得可控的结构。没有哪个政府分支是完全主权的,也没有哪个是完全问责的。系统之所以运作,不是因为张力被解决了,而是因为张力被分布开了。 类似的逻辑适用于智能体身份。那个持有自己操作密钥、参与高后果行动联署层、存在于没有任何单一一方控制的宪制协议之内的智能体——这个智能体拥有三极中任何一极都无法提供的东西:一个真实的、同时真正可被问责的身份。不是完美的。不是没有风险的。但在结构上是自洽的——比那些简单配置要自洽得多。 主权是一个频谱,不是一个二元 当前围绕智能体身份的最深层错误之一是假设主权是一个二元概念——智能体要么有要么没有,密钥要么在其控制中要么不在。这种二元思维正是将主权悖论制造为一个看似无解的矛盾的根源。如果主权是全有或全无,那么任何外部约束都是侵犯,任何问责机制都是从属的形式。 ...

2026-05-18 · 1 min · Feng