← 返回部落格

2026年5月9日 · 智能交換有限公司

主體分離與可問責委派:智能交換對 NIST AI Agent 身分白皮書

我們向 NIST 提交了一份完整回應,主張人類使用者與 AI 代理人必須分別認證為獨立主體,並透過正式委派鏈與密碼學審計綁定問責。

我們為什麼寫這份白皮書

2026 年 2 月,美國 NIST 國家網路安全卓越中心(NCCoE)公布了概念文件 Accelerating the Adoption of Software and AI Agent Identity and Authorization (NIST-2025-0035-0001),提出了 27 個關於 AI 代理人身分、授權與審計的關鍵問題,邀請業界提交實作參考。

智能交換有限公司提交了 Principal Separation and Accountable Delegation: A Governance Architecture for Human and AI Agent Identity in Agentic Systems,逐題回應全部 27 題,並提出一套可落地的治理架構。

本文摘要這份白皮書的核心立場與技術設計。

核心問題:現行身分框架把代理人折疊進使用者

今天主流的代理人部署,幾乎都讓 AI 代理人在使用者的憑證下行動,責任完全流向使用者。我們認為這種模型有兩個根本性的不足:

第一,它無法刻畫代理人在推理與行動上偏離使用者字面指令時的行為發散。這正是 prompt injection 與多步驟協同攻擊所利用的縫隙——使用者意圖與代理人執行之間沒有任何認證邊界,事後也就無從歸責。

第二,它放棄了監管機關與法院在金融、醫療、實體領域中遲早會要求的證據粒度。當代理人造成損害時,相關的問題不只是「誰授權了代理人」,還包括代理人「實際被授權做什麼」、「是否在授權範圍內」、以及「行為究竟是來自合法推理還是注入指令」。要回答這些問題,認證紀錄必須能夠把使用者和代理人區分開來。

我們的立場

AI 代理人不是法律上的人——但問責要求需要把他們當成獨立的、可被認證的實體。

我們為人類使用者與 AI 代理人各自建立獨立的密碼學身分——各自擁有金鑰對、信任區、審計鏈——再透過一條形式化的委派鏈把兩者綁起來。這個設計不賦予代理人法人地位,但它建立了事後問責所必需的認證基礎建設。

法律人格與認證身分是兩件事,這個區分是 AI 代理人治理標準的概念地基。

架構亮點

1. 統一的 IPrincipal 抽象 [NIST: Q2.1]

人類與 AI 代理人共用同一個身分模型(IPrincipal),但根於不同的硬體:人類綁定 FIDO2 認證器,代理人綁定硬體支援的可信執行環境(TEE:Intel SGX 或 ARM TrustZone)。代理人的工作負載身分採用 W3C 可驗證憑證(VC)與去中心化識別符(DID)作為主要標準。

2. Agent Skill Model(與 MCP 對齊)[NIST: Q1.6, Q4.2]

每個 Agent Skill 是一個正式規格化的能力單元,對齊 Model Context Protocol(MCP)的 Tools / Resources / Prompts。Skill Descriptor 攜帶:

  • skill_id、SemVer 版本、spec_ref URI
  • 提供方 DID 與 Ed25519 provider_signature
  • code_hash(程式碼的 SHA-256)
  • runtime_measurement(TEE 平台量測值)
  • execution_attestation_ref(TEE 遠端證明引用)

這三個欄位合起來填補了「合法簽名的 Skill 套件」與「實際執行的程式碼就是被簽名的程式碼」之間的縫隙。

3. 委派與 Human-in-the-Loop [NIST: Q4.6, Q4.7]

Session 開始時,使用者用 FIDO2 簽署一份委派聲明(基於 RFC 8693 Token Exchange,加上代理人特定 claims),明列允許的 skill_ids、操作類別、委派深度、時間上限。

低於門檻的互動自主進行;超過門檻的操作會中斷 session,要求使用者用 WebAuthn 重新授權。委派到期自動使 Session Key 失效。

對於「使用者不在場」的場景(類比 AP2 Intent Mandate),我們設計了 TTL、中途撤銷、部分執行邊界標記等機制。

4. Intent Attestation 與執行順序 [NIST: Q4.5]

每個重要動作必須遵守 Attest → Anchor → Execute 的執行順序,以防止 TOCTOU 漏洞:

  1. Attest:產生並簽署 IntentAttestation 記錄
  2. Anchor:把證明寫入 PHT;若 risk_score ≥ CRITICAL,在執行前發布 AnchorBlock 到區塊鏈
  3. Execute:呼叫 Skill 並紀錄結果

這個順序確保「聲明的意圖」在任何真實世界效果發生前就被密碼學上承諾。事後企圖偽造證明的代理人,會留下時間戳對不上的 PHT 葉子,任何審計者比對外部系統 log 都能偵測。

5. 雙 Merkle 樹審計與交錯交叉錨定 [NIST: Q5.1, Q5.2]

我們維護兩棵獨立的 Merkle 樹:

  • Prompt History Tree (PHT):所有對話、工具呼叫、工具回應的雜湊
  • Agent State Tree (AST):Skill 載入、模型版本、權限變更等狀態轉移

兩棵樹交錯交叉錨定——每棵樹的新葉子都包含對另一棵樹當下 root 的引用,並定期把雙 root 一起發布為 AnchorBlock 到公開區塊鏈。這讓任何試圖事後改寫單一樹的行為都會破壞兩棵樹之間的密碼學連結。

6. 不可否認性:3-of-4 門檻方案

多模態與高風險工具的審計資料以 3-of-4 門檻加密方案儲存,四個分片分屬:

  1. 使用者
  2. 部署組織
  3. 服務提供方
  4. 法律保留分片(Legal Hold Share)——託管於獨立第三方

關鍵性質:即使使用者銷毀自己的分片,證據仍然存活。這正是針對「使用者刻意誘導代理人執行危險動作後再湮滅證據」這類協同攻擊的防禦。

7. ZK-STARK A2A 認證 [NIST: Q3.1, Q4.4]

代理人對代理人(A2A)的認證使用 ZK-STARK 零知識證明:

  • 不需要可信設定(trusted setup)
  • 基於雜湊密碼學(後量子安全友善)
  • 可證明擁有某個 capability 而不洩漏底層憑證

效能基準附在白皮書 Appendix H。

8. Prompt Injection 防禦哲學 [NIST: Q6.1, Q6.2]

我們對 prompt injection 的立場是明確的:結構性控制是主防線,語意偵測是輔助訊號

理由很簡單:語意偵測是自我參照的——一個被入侵的 LLM 無法可靠地偵測自己被入侵。所以我們的主控制都是結構性的:

  • 強通道邊界(hard channel boundaries)
  • Skill 與工具白名單
  • Sandbox 出口流量過濾
  • 工具回應雜湊錨定

語意發散偵測仍然存在,但作為事後鑑識訊號而非主預防機制。

與 Google AP2 / A2A 的會合

Agent Payments Protocol (AP2) 在第 §2.3 條獨立提出了相同的設計原則:信任必須錨定在意圖的確定性、不可否認證明,而非 LLM 機率輸出的推論

我們的身分/審計基礎建設與 AP2 的支付應用層在這個哲學基礎上會合,自然形成一條互通路徑——尤其適合受監管的支付代理人部署:

  • AP2 Intent Mandate ↔ 我們的 IntentAttestation
  • AP2 Cart Mandate ↔ 我們的 ToolInvocationRecord
  • AP2 Human Not Present 撤銷 ↔ FIDO2 簽署的撤銷請求 + AST 撤銷葉子

對企業的意義

如果你正在規劃把 AI 代理人帶進內部系統,這份白皮書提供的不是抽象立場,而是一份可實作的、三層遞進的參考架構(白皮書 §3.6)。三層為加法式設計:上層包含下層所有要求。

  • Tier 0:Baseline——今日大多數企業的現況:API key 或 bearer token、密碼/TOTP、OS 軟體 keystore、附時間戳的 append-only log。不滿足 NIST 最低要求,但提供一條清晰的升級起點。
  • Tier 1:Enhanced(NIST Minimum)✅——主體分離(W3C DID + FIDO2)、RFC 8693 Token Exchange、單一 Merkle 樹(PHT)+ IntentAttestation、HSM 金鑰保護、Skill 白名單與沙箱出口過濾、provider_signature 驗證。這是 NIST-2025-0035-0001 的合規最低門檻,適合多數企業內部系統。
  • Tier 2:High-Assurance / Regulated——TEE 駐留金鑰(SGX / TrustZone)、PHT + AST 雙樹交叉錨定、3-of-4 MPC 門檻方案附 Legal Hold Share、ZK-STARK A2A、區塊鏈 AnchorBlock、code_hash + runtime_measurement + execution_attestation_ref為金融、醫療、關鍵基礎設施等受監管領域設計,在對抗性條件下提供不可否認性與法律可受性。

我們在白皮書 §3.6 也給出了從 Tier 0 升 Tier 1 的低破壞性遷移路徑(先換成 FIDO2 委派 token、再加 Merkle 審計層、最後上 Skill 白名單),以及 Tier 2 需要的專屬基礎建設投資估算。

完整文件

NIST 公開意見系統收錄了完整 PDF(含全部 11 個附錄):NIST-2025-0035-0261

如果你的團隊正在思考企業內網中 AI 代理人的身分、授權、審計,歡迎與我們聊聊——這個架構正是我們在客戶內網中部署代理人系統時實際採用的設計。