金融合规基础设施作为AI代理问责制的蓝图——包含现有技术调查

# 蓝图早已存在：金融市场问责基础设施作为AI代理治理的模型 来源：https://ssavitt.substack.com/p/the-blueprint-already-exists-financial 一个自动化系统代表委托人做出决策。委托人需要证明——事后、在审查下、可能在诉讼中——该决策是恰当做出的。仅凭输出无法重建决策。输入、决策时的环境状态、产生行动所依据的规则或模型：所有这些都必须可恢复，否则问责链就会断裂。 这是金融市场在交易自动化后，经过大约四十年的监管压力所解决的问题——虽然不完美，但在操作层面是可行的。这也是任何将AI代理部署到重要工作流中的人今天面临的问题。这两个问题在结构上的同一性并非近似，而是精确相同。而构建AI代理基础设施的人尚未阅读金融合规文献。 论点并非要将金融监管全盘移植到AI代理部署中。监管制度是领域特定的。论点更为具体且可操作：金融合规行业面临着同样的结构性问题——在高风险情境下由系统自动做出的决策，这些系统的推理无法直接观察，且由承担后果的委托人负责——并且它构建了具体的、可操作的、机制层面的基础设施来管理它。这个基础设施是一份蓝图。还没有人将其进行翻译转换。 当算法交易在20世纪90年代末到21世纪初从例外变为常态时，它造成了一个问责空白。根据普通法和监管传统，经纪人对客户的责任是基于人类判断来理解的：选择执行场所的交易员可以解释其选择，并且该解释可以根据合理性标准进行评估。当一台计算机在微秒内选择场所，基于数月前已离职的工程师编码的逻辑时，这种解释消失了。输出——成交价格、执行场所——依然存在。但产生输出的推理却不存在了。 FINRA 5310规则（最佳执行标准）直接解决了这个问题。会员公司必须尽到“合理谨慎”义务，为每笔客户订单争取最佳市场。FINRA监管通知21-12明确指出，当执行自动化时，这一义务并不消失：自动化系统必须生成足够的文档，以重建其路由和执行逻辑在决策时根据当时市场条件是否满足最佳执行标准。FINRA要求的“事实与情势”分析是一项穿着行为标准外衣的审计追踪要求。它迫使公司记录输入——市场条件、可用流动性、考虑过的替代场所——而不仅仅是输出。 SEC规则17a-4在留存层面运作。它规定了必须保留哪些记录、以何种形式以及保留多久。对于电子记录，它要求不可重写、不可擦除的存储。它要求能够在检查时迅速提供任何记录。17a-4的要点并非创建一个归档系统。要点是确保决策做出时的状态可以被重现。记录必须反映公司行动时所知的情况，而不是事后可重建的情况。 清算所的问责结构则在另一个层面运作。清算所不是交易的一方；它是一个中介，介入买卖双方之间，成为双方的对手方。清算所的问责功能是确保当出现问题——公司倒闭、交易争议、保证金催缴未满足——时，存在一个明确的问责链，无需通过一连串双边关系追溯原因。清算所是一个授权关卡：在交易结算之前，它通过一个检查点，验证各方是否具有执行交易的资格，以及执行是否可以问责。 市场监控——检测算法操纵、分层挂单、虚假报价和洗售交易——是监控层。其工作是识别自动化系统何时超出合法市场参与的授权参数。检测技术是规模化的模式识别：操纵性算法的行为特征是什么样的？它与合法算法的行为特征有何不同？ 这四种机制——最佳执行文档、防篡改记录留存、中介问责关卡和行为监控——构成了一个完整的问责栈。它们的存在是因为监管机构通过具体失败的经验发现，自动化决策需要基础设施，使得即使决策本身由机器做出，人类判断仍然可恢复。 FINRA 2026年年度监管监督报告直接提到了AI代理。它将可审计性列为独立的风险类别，指出“复杂的、多步骤的代理推理任务可能使结果难以追踪或解释，使审计变得复杂”。FINRA为部署AI代理的公司确定的监督义务包括：“如何跟踪代理的行为和决策”以及“在何处设置‘人在环中’的代理监督协议或实践”。报告进一步指出，公司必须保留“代理提示和输出日志以备问责”。综合来看，这些义务将现有的规则17a-4记录留存架构引入AI代理部署：代理决策路径是记录，而非操作日志，并且必须按照规则17a-4对任何其他公司记录要求的相同持久性和可提供性进行保留。FINRA所指的问责单元是决策路径——系统如何达到其输出——而不仅仅是输出。 AI代理的问责问题映射到这个栈上，其精确程度不是比喻性的。 **最佳执行 → 代理最佳行动文档。** 当金融公司以算法方式执行订单时，最佳执行要求记录市场条件、考虑过的替代方案以及选择特定场所的推理。当AI代理执行一个重要的行动——批准贷款、发起交易、发送通信、修改配置时，类似的要求是记录：代理决策时看到的输入、其运行所依据的指令、它本可以采取的替代方案以及它产生的具体输出。该记录必须在决策时生成。事后从日志中重建并不等同，原因与经纪人事后说明为何路由订单不等同于市场状态的同期记录相同。 审计产物看起来像这样：一个带有时间戳的判断记录，包含代理处理的输入的哈希值、生效的指令或策略版本、采取的行动以及指向结果（一旦可观察）的指针。输入的哈希值并非偶然——它是防止记录事后被篡改以匹配更好叙事机制的机制。这与规则17a-4的不可重写存储要求提供的保证相同。 **SEC规则17a-4 → 代理决策记录留存。** AI代理决策记录的留存标准应反映17a-4的逻辑：记录必须以创建后不可更改的形式保存，必须在检查时能迅速提供，并且必须捕获决策时的系统状态，而非事后生成的摘要。对于AI代理，这意味着输入状态必须以足以重放该决策的形式保存——即对相同的输入运行代理，并验证输出是否一致。确定性重放是使审计线索在法律上有用而不仅仅是官僚主义满足的正确性保证。 具体的留存期限取决于领域：金融决策通常要求五年（17a-4对大多数记录的标准），但架构原则是领域独立的。必须存储的不仅仅是输出。输出作为问责产物不可靠，因为它无法区分产生好结果的合理决策与侥幸的缺陷决策。问责单元是“带输入时的决策”，而不是输出。 **清算所 → AI代理授权关卡。** 清算所介入交易双方之间，在结算进行前验证资格。AI代理授权关卡介入代理意图与代理行动之间，在执行进行前验证授权。关卡的工作不是评估该行动是否是个好主意。它的工作是验证是否存在针对此行动类型的有效授权记录，该授权是否当前有效，以及是否已针对此授权执行过。如果没有有效的记录，执行将被阻止——不是降级，不是警告，不是记录以供稍后审查。而是阻止。 关卡是产品的核心价值，原因与清算所不是金融市场可选基础设施相同。没有关卡，隐式授权就会成为可能。代理在没有记录授权其行动的情况下行动。问责链在执行的那一刻断裂，而那一刻至关重要。清算所的洞见是：你无法事后比执行质量更可靠地重建授权。验证必须是即时的。 **市场监控 → AI代理行为监控。** 金融市场监控检测自动化系统的行为特征何时偏离合法市场参与。检测是基于行为的，而非基于规则的：你无法编写一条规则在所有情况下区分合法算法交易与虚假报价，因为操纵策略会适应。然而，你可以观察算法行为随时间推移的分布，并识别统计上异常的模式。 AI代理行为监控基于相同原理。被授权执行客户服务功能的代理有一个行为包络：其行动的分布、处理的请求类型、产生的结果。当代理开始在其包络之外采取行动——访问与其无关的系统、以与其授权不一致的频率执行操作、产生与任何合法任务模式不匹配的输出——这种偏离可以从行为记录中检测出来。检测需要一个基线，而基线需要记录。监控功能依赖于审计线索，而非其替代方案。 金融合规文献并非晦涩难懂。FINRA 21-12是公开文件。SEC规则17a-4已在几十年的已发布指南中得到解释。了解这些文献的人是合规官员、证券律师以及21世纪初构建订单管理系统的工程师。 这些人并没有在构建AI代理基础设施。他们在管理现有的合规项目，就监管检查提供建议，并维护在大型语言模型存在之前就已设计好的系统。他们的框架是：我们如何记录现有自动化系统所做的事情。而不是：AI代理的问责基础设施从第一原理来看应该是什么样子。 构建AI代理基础设施的人是机器学习工程师和应用AI研究人员。他们的框架是：我们如何让代理表现更好、更可靠、处理更复杂的任务。审计线索，如果存在的话，只是可观测性层的一个特征——一个调试工具，而非问责机制。Langsmith记录输出。Arize追踪模型表现。Weights & Biases记录训练运行。它们都没有构建一个在有效判断记录不存在时阻止执行的授权关卡。它们都没有构建具有确定性重放引擎的防篡改追加式日志，使记录在法律上有用。 差距之所以存在，是因为问题定义不同。机器学习工程师的问题是：我如何知道代理正常工作？合规官员的问题是：我如何向监管机构或法院证明，在此自动化行动之前存在授权的判断？第二个问题需要与第一个不同的基础设施。它需要基础设施，其正确性保证不是“这检测到了错误”，而是“这使得行动在没有记录的情况下不可能进行”。 对当前领域的调查证实，这种基础设施尚不存在。最接近的尝试各自解决了相邻的问题，并在结构上重要的方面未能达到三个组成部分的组合。 *Right to History*（用于可验证AI代理执行的Sovereignty内核，arXiv:2602.20214）提出了一个用于AI代理行为的Merkle树追加式日志，并带有一个可选的人类批准持有机制。该架构是最接近的结构类比。其失败模式在于关卡方向：PunkGo将日志作为产品，并将人类批准视为针对规则匹配行动的可选拦截器。而本篇论文的论点是相反的——人类授权是强制性的前提；日志是证明其存在的产物。PunkGo中大多数代理行动直接流向日志而没有授权记录；持有仅在规则触发时才启动。这种反转是问责工具与授权关卡之间的区别。 *Runtime Governance for AI Agents: Policies on Paths*（arXiv:2603.16586）实现了一个真正的阻塞关卡：策略引擎在执行前拦截提议的代理行动，并阻塞那些违反已编译策略函数的行动。这是正确的架构位置。差距在于关卡检查的内容：它验证提议的行动是否在策略函数上低于阈值，而不是是否存在一个先前的人类授权记录且是当前有效的。判断在设计时进入系统，当策略函数被编写时；它不会作为每个决策的记录（带有时间戳和输入哈希）在运行时进入，以便可以根据采取的行动进行重放和验证。在设计时批准某类行动的策略函数，并不构成运行时针对特定行动实例的、带有时间戳和输入哈希的授权记录。 *AI Safety Gate*（aisafegate.com）在AI工作流执行之前在自动化环境中强制实施PASS/WARN/BLOCK决策。它是故障闭合且真正强制执行的。差距相同：关卡根据内容类别和合规策略（敏感数据、伤害信号、违规模式）评估代理输出。它不检查任何授权账本。如果行动通过了策略评估，它就会继续执行；不存在要求在防篡改存储中存在人类授权记录方可执行的条件。 *WorkOS CIBA*（客户端发起的反向通道认证，RFC 9126）提供了一种机制，可以在任务中间暂停代理并以异步方式请求人类批准。这正确地识别了人在环中的问题。差距在于批准的处理方式：它被作为工作流事件消耗，并被