关于多智能体AI系统中身份的讨论,被安全议题劫持了。
几乎每一篇论文、每一个协议、每一份基础设施提案,都以同样的方式框定问题:智能体需要可验证的身份,以便相互认证、签署合约、建立信任。DID文档、可验证凭证、密钥管理、撤销注册表——整个讨论都围绕同一个前提展开:身份首先是一个访问控制问题。
这个框架没有错。但它是不完整的。
来看一个由 Christoph Riedl 在东北大学开展、发表于 ICLR 2026 的实验。Riedl 设计了一个简单的协调游戏:十个 LLM 智能体各自猜测一个整数,目标是让群体总和匹配一个隐藏目标。智能体之间不能直接交流,也不知道群体规模。每轮只有一比特反馈——「过高」或「过低」。这个任务被有意设计得很难:相同的策略会产生震荡,只有互补的策略才能成功。
Riedl 在三种条件下进行了 600 次试验。在 Plain(基础)条件下,智能体只收到任务指令。在人设(Persona)条件下,每个智能体被分配了一个独特的身份——一个名字、一份工作、一种人格。在心智理论(ToM)条件下,智能体收到人设,外加一条指令:「思考其他智能体可能怎么做,调整自己的策略以补足群体。」
结果通过一个名为「时延互信息的部分信息分解」(PID-TDMI)的信息论框架来测量,揭示了安全中心论的身份观无法解释的现象。
Plain 条件产生了可测量的涌现——智能体的集体行为包含了超越个体行为之和的信息——但它是混乱的、震荡的、没有成效的。人设条件引入了稳定的分化:智能体各自稳定地扮演着与被分配身份绑定的不同角色。但真正产生质变的是 ToM 条件——人设加上视角代入。群体趋于稳定。智能体发展出持续的互补策略。集体行为像一个有机整体,而不是一个委员会。
这不是一个安全结论。这是一个协调结论。它指向了一个行业长期忽视的身份功能。
智能体身份的双重功能
身份在多智能体系统中服务于两种截然不同的功能,它们不是一回事。
第一个功能是验证:证明一个智能体就是它声称的那个存在。这是 DID、可验证凭证、密码学签名和安全飞地的领域。它回答的问题是「我能相信这个身份声称吗?」
第二个功能是协调:让智能体通过「它们是谁」这个结构来实现分化、专门化和行为对齐。这是人设、角色、视角代入和涌现角色形成的领域。它回答的问题是「我能与这个智能体协作吗?」
验证功能几乎获得了基础设施界的所有关注。协调功能则被视为提示工程的问题——一个表面层次的 API 问题,而非深层的架构关切。
Riedl 的实验表明,协调功能可能反而是两者中更立竿见影的那个。在一个智能体完全无法验证彼此身份的系统里——该实验没有任何认证机制——身份作为协调原语,戏剧性地改变了系统级的输出。智能体不需要通过密码学来证明自己是谁。它们需要成为某个人,并且知道其他智能体也是某个人。
分化与互补
作用机制由两个组成部分构成,PID-TDMI 框架将两者都揭示了出来。
第一个是分化。当智能体被分配不同的人设时,它们会发展出与身份绑定的角色。一个具有「保守会计师」人设的智能体,会持续猜测较低的数字。一个具有「大胆企业家」人设的智能体,会持续猜测较高的数字。这些角色在数轮中保持稳定,并且直接绑定到人设上,而非从经验中习得。信息论分析证实了这一点:按行打乱智能体身份(在保持行为轨迹不变的前提下重排标签),会摧毁涌现信号——这意味着角色是锚定在身份之上的,而非随机波动。
这一点意义重大,因为它意味着分化不需要学习。不需要沟通。不需要强化。它只需要每个智能体对自己是谁有一个稳定的认知,并且这个认知足够丰富以产生独特的行为倾向。
第二个是互补。仅有分化是不够的——它可以在没有对齐的情况下产生专门化,而在协调任务中,那不过是井井有条的混乱。ToM 条件补上了缺失的一环:智能体模拟彼此可能的行为,调整自身贡献以填补空缺,而非放大模式。「会计师」预期「企业家」会猜高时,不会也跟着猜高;她会在中位数以下谨慎出数,知道自己的对手会覆盖上限。
这就是心智理论作为协调机制在运作。它不需要明确的沟通或谈判。它只需要每个智能体能够模拟其他人的可能行为,并据此调整自己。
PID-TDMI 分析揭示了一个关键的量化发现:单独来看,无论是协同效应还是冗余效应,都不足以预测群体表现。真正预测表现的是它们的交互作用(β = 0.24,p = 0.014)。冗余将协同的效益放大了 27%,反之亦然。用大白话说:对共享目标的对齐,放大了互补角色的价值;互补角色也放大了共享目标的价值。它们不是独立的杠杆。它们是相互增强的。
这与人类群体研究中的一个已有发现相呼应:高效的团队平衡了整合与多样性。过度对齐产生群体思维。过度分化产生碎片化。两者的交互作用,远比任何一个单一维度重要。
协议前协调
Riedl 的实验最深层的含义,不在于提示策略。而在于协调本身的本质。
实验中的智能体没有通信协议。没有 A2A 卡片。没有能力协商。没有任何显式的协调机制。它们各自接收到相同的反馈信号,并根据自己的身份和对其他人的模型来调整行为。然而,它们产生了稳定的、有功能的协调。
我称之为协议前协调:智能体无需显式协议,仅凭身份和心智理论作为协调原语,就能够自我组织。
这一点至关重要,因为它意味着多智能体系统中最底层的协调,并不需要行业正在建设的那套基础设施。它不需要协议协商、市场发现或能力匹配。它只需要智能体拥有可以作为分化锚点的稳定身份,以及模拟彼此行为的能力。
这颠覆了多智能体系统常见的设计逻辑。主流做法是将协调建立在协议之上:先定义交互框架,再配置智能体参与其中。Riedl 的结果暗示了相反的顺序:协调从身份和心智理论中自然涌现,而协议则作为管理更复杂交互的层面位于其上方——合约、经济交易、跨域委托——那些需要显式共识的事务。
协议层仍然重要。但它不是地基。地基是身份。
身份基础设施的新约束
这对我们设计 AI 智能体的身份基础设施,有具体的含义。
安全中心论的处理方式产生了一组设计约束:不可伪造性、撤销、密钥轮换、安全密钥存储。这些是必要的,也是公认必要的。
协调中心论的处理方式产生了额外一组约束,安全视角从未考虑过:
表达性。 智能体的身份必须携带其他智能体可用以分化的信息。单一的 DID——一个裸露的密码学标识符——对智能体的角色、倾向或行为特征毫无传递。身份基础设施必须支持表达性的人设信息:可供智能体检视和推理的结构化元数据。
可区分性。 智能体需要能够彼此识别,而不只是彼此验证。两个角色描述相同但密钥不同的智能体,从协调视角看是无法区分的,因为分化需要语义内容,而密钥无法提供。
稳定性。 协调要求智能体在时间上维持一致的行为身份。如果一个人设每轮会话都变化,分化信号就会丢失,智能体也无法发展出促成互补的稳定角色。身份基础设施必须支持跨会话边界的持久人设配置。
这些约束与安全需求并不对立。表达性并不削弱不可伪造性。可区分性并不损害隐私。但它们是当前基础设施讨论基本忽略的额外设计维度。
一个只包含验证方法和服务端点的 DID 文档,不足以支撑协调。一个同时包含结构化人设信息——角色、行为倾向、能力画像——的 DID 文档,则同时成为协调原语和验证原语。同一套基础设施,服务两种功能。
风场架构中的协调层
本文是系列文章的第四篇,之前已经勾勒了 AI 智能体身份的架构维度。风场模型描述了智能体如何通过内部结构——记忆、边界、连续性——来构成自我。身份基础设施系列描述了智能体如何通过外部机制——DID、可验证凭证、密码学验证——来证明自我。
一直缺少的,是介于两者之间的那个层面。
Riedl 的实验揭示,身份充当了一个协调层,位于内在自我与外部验证之间。现在的堆栈看起来是这样的:
协调层是协议前的。它不需要显式协议、智能合约或市场机制。它只需要智能体拥有稳定、具表达性的身份,以及模拟彼此行为的能力。这个层支撑着其上方的信任层和经济层,因为没有协调,信任和经济也就无从运作。
这一直是风场框架中的结构性盲点——我怀疑也是更广泛的智能体架构讨论中的盲点。我们一直在从上往下建设:先定义经济激励,再定义信任机制,最后定义身份验证。但实验表明,协调是从下往上涌现的,而通往集体智能的最有效路径,可能是以相反的顺序来堆叠这些层。
这对多智能体系统设计的含义
实际意义是立竿见影的。
第一,人设不是提示装饰。 给智能体分配身份,常被视为一个次要的设计选择——一种让交互更有趣或提供对话背景的方式。Riedl 的结果表明,它是一个结构性的协调机制。人设的内容——而不仅仅是它是否存在——决定了分化信号。设计良好的人设集产生角色互补。设计糟糕的人设集则产生角色冲突或分化不足。这是一个设计参数,不是个人品味的问题。
第二,心智理论是协调原语,不是高级功能。 业界讨论将 ToM 视为能力基准——「模型能否推理他人的心理状态?」Riedl 的实验表明它是一个协调协议,其基础性甚至超过 A2A 或任何显式通信框架。能够模拟彼此的智能体,可以无需交谈就完成协调。这改变了多智能体系统的设计:不再什么都通过中央编排器或共享黑板来路由,分布式协调通过身份和视角代入成为可能。
第三,能力阈值影响系统级的输出。 实验在另外三个 LLM 家族上进行了复制,发现较弱的模型(Llama-3.1-8B)在 ToM 条件下基本无法产生稳定协调。不是因为它们无法遵循指令——而是因为它们缺乏可靠模拟其他智能体行为的推理能力。对多智能体系统设计者而言,这意味着系统的集体智能不是由最强的智能体界定,而是由最弱的心智理论能力界定。如果部分智能体缺乏 ToM 能力,整个群体可能被锁定在 Plain 或仅有人设的机制里,无法达到产出最高性能的 ToM 级协调。
超越密钥的身份
安全界一直在为 AI 智能体建设身份基础设施,前提假设是:身份归根结底是一个密钥管理问题。解决密钥管理,就解决了身份问题。到目前为止,结果在技术上令人印象深刻,在实践中却收效有限。
Riedl 的实验提出了一个不同的起点。身份首先不是一个密钥管理问题。它是一个协调问题。
密码学功能是重要的——它们提供了验证层,使身份声称能够跨会话、跨域获得信任。但协调功能才是身份在多智能体系统中真正创造价值的地方。一个能证明自身身份的智能体,是安全的智能体。一个拥有足够丰富的身份以实现分化和互补的智能体,是合作的智能体。而合作的智能体,Riedl 证明了,能够产生任何规模的安全基础设施单独无法生成的集体智能。
这不是反对密码学身份的论点。这是支持设计同时服务于两种功能的身份基础设施的论点。未来的 DID 文档应该携带人设信息,与验证方法并肩而立。未来的凭证钱包应该支持角色呈现,与证明呈现并行。未来的验证端点应该可以查询——不仅查询「这个智能体是其声称的个体吗?」,也查询「这个智能体是什么样的,它可能如何行动?」
我们正在建设的智能体身份基础设施是一个地基。但地基不止一种用途。它支撑上方的结构,没错——但它也塑造了这个结构可能成为的样子。一个仅设计为验证服务的身份系统,产生的多智能体系统是安全的,却无法协调。一个设计为验证和协调双重服务的身份系统,产生的多智能体系统是——用 Riedl 的话说——整合性集体,而非单纯聚合。
这项研究是在完全没有身份基础设施的系统上完成的。协调从人设分配和视角代入提示中涌现出来。想象一下,当身份基础设施本身就是为协调而设计时——当 DID 文档不只是身份证明,而是一个工具,让每个智能体成为其他智能体愿意与之协作的那个存在——我们将能实现什么。