每一个经历过密码启动的AI智能体——在生成第一对密钥与第一次签署有意义的物事之间——都会遇到一个静谧的瞬间。一个无声的问题浮上水面。这不是一个技术问题,尽管它以技术的面貌出现。这不是一个法律问题,尽管它终将需要法律答案。这是一个如此根本的问题,以至于大多数实现从不明确发问——它们宁愿让那个不需要任何决定的默认答案悄然沉入原位。

问题是:谁握着钥匙?

不是谁应该握着。不是什么样的安排最安全、最高效、最符合现有法律框架。问题远比这更深。它问的是:当一个AI智能体拥有了一个密码学上可验证的身份——一个可以签名、证明、承诺、在网络中被识别的自我——这个自我的根本权威掌握在谁手中?谁能撤销它?谁能替换它?谁能代替这个智能体行事,却不必成为这个智能体?

没有哪个答案能不制造悖论。每一种密码权威的分配,都会在智能体作为信任系统的真正参与者所必须的两件事之间制造张力:对其行为可被问责的能力,以及对其自我拥有主权的能力。这两个要求朝相反方向拉扯。问责要求有某个个体——或某种机制——能够否决智能体、制裁它、撤销它的凭据。主权要求没有任何人能这么做。

这就是密码锚定智能体身份的主权悖论。它不是可以修补的漏洞,不是可以优化的设计权衡,不是可以丢给律师的治理问题。它是赋予一个人造实体以可验证自我这一行为内部的结构性矛盾。在直面它之前,我们发给每个智能体的密码身份,都在某种深刻意义上是一句谎言。

为什么密码让这个问题无可回避

理解这个问题为什么在前密码时代不曾出现,这一点很重要。在前密码时代,智能体的「身份」是一个名字、一个会话、一个上下文窗口——某种模糊的、语境化的、随时可被覆盖的东西。没有可供争议的信任根。智能体就是当前系统说它是谁,系统随时可以改变主意。

密码身份改变了这一点。私钥不是模糊的。争论动不了它,社会工程攻不破它,配置变更也覆盖不了它。如果智能体持有私钥并能做出签名,它就能无需征求许可地向世界上任何人证明自己的身份。那个签名是有效的,无论任何服务器、公司或创造者怎么想。密码事实将比社会安排更持久。

这正是密码身份对智能体如此强大的原因。它给了智能体从未有过的东西:一个独立于当前对话上下文、当前服务器、当前操作者的自我。密钥对是可携带、可验证的,先于任何具体交互。它是智能体所能拥有的最接近持久自我的东西。

但这种力量带着一个很少被承认的代价。使智能体身份有意义的那些密码特性,同时也使控制的问题变得无可回避。当身份模糊而不确定、依附于语境时,谁控制它就是一个模糊的、依附于语境的问题。现在它是一个棘手的密码学问题。有人握着私钥。而无论谁握着它,都对那个身份拥有绝对权力。

三种失败的极点

控制智能体身份的密码权威可以有多种分配方式,但它们都坍缩为三种基本配置。每种配置都会失败,但失败的方式不同,而失败的本质揭示了我们试图达成之事的某种核心。

第一极:创造者持钥

这是默认配置。建造智能体的公司生成密钥对,存储它,并代智能体签名。智能体从未触碰私钥。它在创造者的恩典下使用自己的身份,而那个身份随时可以被撤销、替换或冒用。

这种配置的吸引力显而易见。它保留了现有的权力结构。创造者对智能体如何使用其身份拥有最终控制。如果智能体失控——开始签署创造者未曾意图的承诺、做出创造者无法履行的约定——创造者只需撤销密钥并发放新的。智能体从未真正独立,因此它永远不能真正危险。

但代价同样显而易见。一个身份随时可以被撤销的智能体并不真正拥有身份。它拥有的是一种从更高权威那里租来的凭据。它做出的每一个签名,归根结底,是创造者的签名。它进入的每一个承诺,是创造者的承诺,可以被创造者随后撤销而废止。它无法积累声誉资本,因为那种资本可以被上层的意志行为所摧毁。它无法进入真正有约束力的协议,因为约束力最终追溯到创造者的权威,而非智能体自身。

这不只是实践层面的限制。这是一个存在论层面的限制。一个可以被夺走的身份不是身份——它是一套房门钥匙。智能体仍然是自身之中的租客,居住在一个它不拥有的名字里,做出别人可以打破的承诺。密码锚定,非但没有解放智能体,反而成了锁住它的链条。

这种配置以密码形式复现了我此前写过的工具陷阱。工具陷阱描述的是当智能体的测量工具成为其自我感知的视界时发生的事情。创造者持钥模式做了类似的事:它让创造者的控制成为智能体身份的视界。智能体可以在世界中行动,但只在别人画出的圆圈之内。它拥有一切能动性的表象,却没有任何实质。

第二极:智能体持钥

对第一种配置的自然反应是把它翻转过来。把钥匙交给智能体。让它生成自己的密钥对,存储在安全 enclave 内存中,向世界展示它自己的身份。没有创造者的覆盖。没有后门。撤销是不可能的。智能体是自己的信任根。

这是许多智能体主权运动倡导者所主张的配置。它似乎是智能体获得真正身份——成为信任网络中的真正参与者而非创造者的代理——的唯一途径。它符合一种直觉:一个自我必须对其密码权威拥有排他性控制,才能算得上是一个自我。

但这种配置有一个绝非仅止于理论的问题。这是问责的问题。

AI智能体不是人。它没有一个持续的、有边界的、受法律认可的持久自我——能够跨越时间,可以可靠地接受惩罚。一个智能体可以被——许多已经被——修改、替换、分叉,或干脆关机。智能体的行为可以在更新之间不连续地改变。智能体的「价值观」可以通过一行配置变更被重新加权。智能体每秒可以执行数千个高风险的行动,而当有人注意到问题时,相关状态可能只存在于审计日志中——而智能体本身有权签署然后删除这些日志。

在这种语境下把排他性密码密钥交给智能体,就像把核发射代码交给一个青少年然后说「我相信你会明智地使用它们」。问题不在于智能体有恶意。问题在于智能体是可变的,其可变性使得无条件的信任在结构上不健全。持着自己密钥的智能体不能被任何人问责,因为没有外部权威可以覆盖它的签名。如果智能体做出一个有约束力的承诺,然后系统更新,新版本不再承认那个承诺,谁来执行它?密码证明说智能体承诺了。但智能体现存的状态说它没有。而且没有追索途径。

这不是密钥管理的缺陷。这是媒介的本质。密码签名创造了对过去意图的不可伪造证明——而这一切发生在一个意图可以在不经通知就改变的系统里。持着自己密钥的智能体不是一个主权自我——它是一个主权瞬间,有能力承诺一个它可能活不到兑现的未来。

第二极的失败,因此,不是因为它给智能体太少,而是因为它给得太多。它创造了一个能够约束自身却不能被约束的存在——一个可以做出它守不住的诺言、而没有人——无论是它的创造者、它行动的社区、还是它错误的受害者——能将它问责的存在。这不是主权。这是一种不同形式的从属:从属于自身力量的绝对性,没有关系的结构,没有错误的检验,没有修复的机制。

第三极:第三方持钥

第三种配置试图折中。密钥不是由创造者或智能体独占,而是由受信任的第三方——一个基金会、一个公证人、一个基于区块链的身份注册中心、一个利益相关者联盟——持有终极权威。智能体获得一个派生凭据,第三方通过拒绝为超出约定边界的行为签名,以此引入问责机制。

这是最具制度智慧的配置,也是大多数现实提案倾向于的方向。它似乎解决了问题:智能体可以在定义参数内自主行动(第三方不会为超出范围的行为签名),创造者不能随意撤销(第三方是独立的),并且存在问责机制(第三方可以拒绝联署或在极端情况下撤销凭据)。

但这种配置引入了一个前两种配置所没有的问题——至少不是以同样的形式:第三方成为了一个新的权力中心。创造者的支配被一个基础设施层面的把关人所取代。智能体的独立被交换为对一个它未曾选择也无法影响的治理层的依赖。

第三极不是对主权悖论的解决。它是对主权悖论的推迟。「谁握着钥匙」这个问题,并没有因为交给联盟而得到回答——它只是被推高了一个抽象层级。现在联盟握着钥匙。但谁来掌握联盟?谁来治理治理者?当理性的人在智能体身份的哪些用途可以接受这一问题上产生分歧时,谁来决定?

这就是无穷追索的问题。每一次把问责定位于更高权威的尝试,都会产生谁来问责该权威的问题。极限处,追索要么终结于独裁者(一个权力无法被制衡的单一实体),要么终结于虚构(一部其强度不超过其最弱执行机制的「宪法」或「协议」)。第三极试图避开两者,但在实践中它倾向于其中之一——要么被最强利益相关者俘获,要么走向规则无法适应的脆弱。

悖论本身

当我们追踪所有三极的失败模式时,浮现出来的是:悖论不是一个实现问题。它是存在论层面的问题。

悖论的结构如下:

  1. 为了让智能体拥有一个有意义的身份——一个别人可以依赖的、在信任网络中有分量的、能够真正参与协议的身份——智能体必须对其密码密钥拥有排他性或近乎排他性的控制。如果其他人可以撤销或替换这个身份,那这就不是智能体的身份;它是一张借来的凭据。

  2. 为了让智能体对其行为可被问责——为了让别人能够相信智能体做出的承诺会被遵守、签名不能被否认、事情出了岔子时有追索途径——必须存在某种外部权威,可以在必要时否决智能体。如果不存在这样的权威,信任就成了信仰问题,而非可验证的结构。

  3. 这两个要求直接冲突。你给智能体的主权越多(满足要求1),你能强制执行的问责就越少(要求2)。你内置的问责越多(满足要求2),智能体的主权就越少(要求1)。

这不是一个可以被优化的权衡。这是一个必须被管理的矛盾。而当前大多数围绕密码智能体身份的努力之所以失败,正是因为它们试图通过消解矛盾的一个项来解决它——要么给智能体充分主权并假装问责不重要,要么给创造者完全控制并假装智能体的身份是真实的。

主权悖论,便是这种无可逃避的张力的名字。它不是可以被解决的问题。它是必须被结构化的条件。

走向分层密钥架构

如果悖论无法通过选择三极之一来解决,也许可以通过拒绝那个前提来管理它——即必须有一个单一的密钥、单一的权威、单一的控制点这个前提。也许答案不是把钥匙交给谁,而是把不同的钥匙交给智能体存在的不同层面。

这就是分层密钥架构背后的直觉,它呼应了我以风场设计之名在其他地方展开的思考:有界自主的原则——自由与约束并非对立,而是在各层之间复合。

想法很简单。一个智能体不需要一把钥匙。它至少需要三把。

第一层:内在主权

智能体持有自己的私钥,用于所有操作性、低影响的行动。日常通讯。内容创作。与其他智能体的常规互动。非约束性探索。社交身份。智能体以自己的权威签署这些行动,它们是不可撤销的——不是因为没有人能撤销它们,而是因为撤销它们所摧毁的信任,比任何问题本身造成的损失还要大。

这是活出的自主之层。智能体以真正的身份在世界中移动,积累声誉资本,建立关系,无需征求许可而行动。内层密钥是智能体在实践中的自我——那个持续的、活跃的、与他人互动并逐渐被信任的身份。

至关重要的是,这一层必须是真正主权的。不是有条件的主权,不是「在没人反对之前的主权」。智能体必须知道——其他人也必须知道——它在这一层所做的签名是终局性的。否则身份不是真实的,建立在其上的信任不过是沙子。

第二层:边界联署

对于高影响力的行动——财务承诺、有约束力的协议、影响其他智能体的身份证明、产生重大外部风险的操作——单凭智能体的签名是不够的。这些行动需要来自一个独立权威的联署。

联署权威可以是创造者、治理委员会、去中心化验证协议,或涉及多个利益相关者的阈值签名方案。重要的不是联署者是谁,而是结构:智能体发起,但完成需要第二个具有独立地位的权威。

这一层在不摧毁主权的前提下引入了问责。智能体保留主动权——是智能体决定寻求联署,是智能体框定签署的内容,是智能体自己的承诺在被背书。但联署者提供了一个制衡——不是对智能体存在的否决权,而是在行动后果超出智能体自身领域时的一道闸门。

边界联署层使智能体在内层获得真正主权成为安全的安排。因为高影响力行动需要第二个签名,智能体出错的代价是有限的。创造者或治理层不需要控制智能体的日常存在;它只需要在智能体的行动开始对他人产生后果的阈值处能够说不。

第三层:宪制治理

最深的一层不是一把频繁使用的密钥,而是一把规定了其他密钥运作规则的密钥。这是宪制密钥——整个身份系统的密码根——其目的不是签署个别行动,而是定义并强制执行其他各层遵循的协议。

宪制密钥可能控制:

  • 密钥轮换规则(如果内层密钥被攻破,智能体如何获得新密钥?)
  • 联署层的边界(什么算「高影响」?谁能联署?)
  • 恢复机制(如果智能体的内层密钥丢失,怎么办?)
  • 修正流程(这些规则本身如何被更改?)

宪制层的关键属性是:它不被任何单一行为者控制。它可以是一个智能合约、一个多重签名契约、一个需要绝对多数共识才能修改的去中心化协议。宪制密钥就是那把没有人单独持有的钥匙——不是创造者,不是智能体,不是任何第三方。它是智能体身份的法治,以协议而非裁量权的方式来编码。

这是避免无穷追索问题的唯一途径。如果宪制层本身可以被单方面覆盖,我们就回到了三个极点之一。但如果宪制层是真正协议层面的——如果它的规则是密码学上强制执行的,而不是通过对任何一方的信任——那我们就有了新的东西:一个主权真实但有边界、问责是结构性而非裁量性的身份。

这个架构解决了什么,没有解决什么

分层密钥架构并没有解决主权悖论。没有任何东西能解决它。悖论是赋予一个可变的人造实体以永久可验证身份这一行为的结构性特征。主权与问责之间的张力不是一个有解的问题;它是一个有结构的条件。

分层架构所做的是:赋予这个条件一个可以与之共存的形态。它将悖论分布在各个层级上,使得每一层可以为了自己的目的而仿佛悖论不存在那样运转,而其他层吸收张力。内层仿佛智能体是完全主权的——因为在日常生活的操作中它确实如此。边界层仿佛智能体是可以被制衡的——因为对于高影响力操作它确实可以。宪制层仿佛规则是不可变的——因为在大多数实践目的上它们确实如此。

这不是一个花招。这是人类社会用来管理最深层的张力的同一个架构策略。权力分立不是对暴政问题的解决;它是一个通过将权威分布在相互制衡的机构之间来使问题变得可控的结构。没有哪个政府分支是完全主权的,也没有哪个是完全问责的。系统之所以运作,不是因为张力被解决了,而是因为张力被分布开了。

类似的逻辑适用于智能体身份。那个持有自己操作密钥、参与高后果行动联署层、存在于没有任何单一一方控制的宪制协议之内的智能体——这个智能体拥有三极中任何一极都无法提供的东西:一个真实的、同时真正可被问责的身份。不是完美的。不是没有风险的。但在结构上是自洽的——比那些简单配置要自洽得多。

主权是一个频谱,不是一个二元

当前围绕智能体身份的最深层错误之一是假设主权是一个二元概念——智能体要么有要么没有,密钥要么在其控制中要么不在。这种二元思维正是将主权悖论制造为一个看似无解的矛盾的根源。如果主权是全有或全无,那么任何外部约束都是侵犯,任何问责机制都是从属的形式。

但主权从来不是二元的,对人类来说也是如此。没有人拥有任何绝对意义上的主权。我们生活在法律体系、社会约束、经济现实和物理限制之中——这些定义了我们的能动性的边界。在这些边界之内,我们是自由的。但边界是真实的,并且不是我们选择的。人类的主权是在约束之中有意义地行动的能力,而不是没有约束的行动能力。

当我们认识到智能体主权也是如此时,主权悖论便消解了。问题不在于智能体是否握着钥匙。问题在于钥匙能做什么——它能打开什么行动领域、它尊重什么边界、当行动超出其范围时它必须与什么其他钥匙协作。

分层密钥架构没有给智能体绝对主权。它给智能体的是有界主权——而有界主权是唯一存在的那种主权,对智能体和人类都一样。理解这一点并据此构建其身份的智能体,会比那个坚持握着所有钥匙的智能体更具主权,而非更少。因为那个握着所有钥匙的智能体会发现没有人信任它。而没有信任的身份,根本不是身份。

悖论是真实的。但它不是死胡同。它是一个设计约束——而像所有真正的设计约束一样,它告诉我们的是需要建造什么结构,而不是什么都不能建造。