重构性权威的运行化：自主代理系统中的运行时构建、依赖解析与执行门控

# 在自主代理系统中操作化重构权限：运行时构造、依赖解析与执行门控
来源：https://arxiv.org/html/2605.23935
###### 摘要

自主代理系统的失效不仅源于错误的决策，还源于在运行时其权限已不再有效的情况下执行决策。先前的工作将重构权限（Reconstructive Authority, RAM）定义为有效执行的一个条件：仅当权限可以从当前状态构造时，才允许执行动作。

本文关注运行时的强制实施：如何在运行系统中强制实施这一条件。

我们引入了一个运行时执行模型，在该模型中，权限在动作执行时被评估，并且执行以权限的可构造性为条件。这扩展了执行状态空间，在传统的“允许/拒绝”之外增加了第三种状态“暂停”（halt），代表因观测不完整或不确定而导致权限未定义的情况。

我们定义了一个具体的执行协议，包括动态依赖解析、权限重构和明确的决策语义。我们进一步引入了一个恢复循环（Recovery Loop），它将漂移检测（IML）与执行控制（ACP）集成，允许系统暂停执行、获取缺失信息并重新尝试权限重构。

我们证明该模型保证了安全性——没有可构造权限的动作不会被执行——以及条件性活性：当权限定义变量变得可观测时，执行恢复。

这项工作将重构权限操作化为一种运行时强制实施机制，提供了在真实系统中应用RAM所需的执行语义。

代理治理系列###### 目录

1.  1 引言 (https://arxiv.org/html/2605.23935#S1)
2.  2 系统模型 (https://arxiv.org/html/2605.23935#S2)
3.  3 架构概述 (https://arxiv.org/html/2605.23935#S3)
    1.  3.1 状态采集层 (https://arxiv.org/html/2605.23935#S3.SS1)
    2.  3.2 权限构造引擎 (https://arxiv.org/html/2605.23935#S3.SS2)
    3.  3.3 执行门 (https://arxiv.org/html/2605.23935#S3.SS3)
    4.  3.4 审计层 (https://arxiv.org/html/2605.23935#S3.SS4)
4.  4 运行时权限构造协议 (https://arxiv.org/html/2605.23935#S4)
    1.  4.1 输入 (https://arxiv.org/html/2605.23935#S4.SS1)
    2.  4.2 先验影响约束 (https://arxiv.org/html/2605.23935#S4.SS2)
    3.  4.3 依赖解析算法 (https://arxiv.org/html/2605.23935#S4.SS3)
    4.  4.4 构造函数 (https://arxiv.org/html/2605.23935#S4.SS4)
    5.  4.5 非持久性属性 (https://arxiv.org/html/2605.23935#S4.SS5)
    6.  4.6 工作示例 (https://arxiv.org/html/2605.23935#S4.SS6)
    7.  4.7 运行时强制循环 (https://arxiv.org/html/2605.23935#S4.SS7)
5.  5 漂移处理 (https://arxiv.org/html/2605.23935#S5)
6.  6 决策模型 (https://arxiv.org/html/2605.23935#S6)
7.  7 可审计性与可追溯性 (https://arxiv.org/html/2605.23935#S7)
8.  8 与治理栈的集成 (https://arxiv.org/html/2605.23935#S8)
    1.  8.1 原子执行（论文0）(https://arxiv.org/html/2605.23935#S8.SS1)
    2.  8.2 强制层（ACP，论文1）(https://arxiv.org/html/2605.23935#S8.SS2)
    3.  8.3 行为层（IML，论文2）(https://arxiv.org/html/2605.23935#S8.SS3)
    4.  8.4 分配与组合治理（论文3/4）(https://arxiv.org/html/2605.23935#S8.SS4)
    5.  8.5 重构权限模型（论文5）(https://arxiv.org/html/2605.23935#S8.SS5)
9.  9 重构权限下的恢复循环 (https://arxiv.org/html/2605.23935#S9)
    1.  9.1 暂停语义 (https://arxiv.org/html/2605.23935#S9.SS1)
    2.  9.2 恢复循环定义 (https://arxiv.org/html/2605.23935#S9.SS2)
    3.  9.3 与ACP的集成 (https://arxiv.org/html/2605.23935#S9.SS3)
10. 10 比较分析 (https://arxiv.org/html/2605.23935#S10)
    1.  10.1 基于认证的系统 (https://arxiv.org/html/2605.23935#S10.SS1)
    2.  10.2 风险阈值系统 (https://arxiv.org/html/2605.23935#S10.SS2)
    3.  10.3 重构系统 (https://arxiv.org/html/2605.23935#S10.SS3)
    4.  10.4 传统策略强制（XACML，OPA）(https://arxiv.org/html/2605.23935#S10.SS4)
    5.  10.5 有意颠覆下的人工智能控制 (https://arxiv.org/html/2605.23935#S10.SS5)
11. 11 局限性 (https://arxiv.org/html/2605.23935#S11)
    1.  11.1 对可观测性的依赖 (https://arxiv.org/html/2605.23935#S11.SS1)
    2.  11.2 延迟开销 (https://arxiv.org/html/2605.23935#S11.SS2)
    3.  11.3 恢复复杂性 (https://arxiv.org/html/2605.23935#S11.SS3)
    4.  11.4 规范负担 (https://arxiv.org/html/2605.23935#S11.SS4)
    5.  11.5 非确定性环境 (https://arxiv.org/html/2605.23935#S11.SS5)
    6.  11.6 保证范围 (https://arxiv.org/html/2605.23935#S11.SS6)
12. 12 权衡 (https://arxiv.org/html/2605.23935#S12)
    1.  12.1 优势 (https://arxiv.org/html/2605.23935#S12.SS1)
    2.  12.2 成本 (https://arxiv.org/html/2605.23935#S12.SS2)
13. 13 结论 (https://arxiv.org/html/2605.23935#S13)
14. 参考文献 (https://arxiv.org/html/2605.23935#bib)

## 1 引言

自主系统运行的环境中，做出决策的条件在执行之前并不保持稳定。这个决策与执行之间的鸿沟并非偶然，而是结构性的。先前的工作已经表明，将评估与执行分离会导致不一致[3](https://arxiv.org/html/2605.23935#bib.bib1),[8](https://arxiv.org/html/2605.23935#bib.bib7)，仅靠强制无法检测行为漂移[4](https://arxiv.org/html/2605.23935#bib.bib3)，在有限可观测性下维持一致行为需要多个交互层[5](https://arxiv.org/html/2605.23935#bib.bib4)。

一个核心的失效模式源于此结构：系统执行那些在运行时其权限已不再有效的决策。这不是决策质量的失败，而是执行有效性的失败。

例子：一个代理在时间 $t_0$ 被授权执行一笔金融转账，当时接收账户状态、交易限额和上下文风险指标均已验证。到了时间 $t_1$，接收账户已被标记，风险状况已改变。在 $t_0$ 计算的准入权限已不再有效，但如果没有运行时重构，系统仍会执行——这是在过期权限下执行，一种仅靠验证方法无法防止的结构性失败。

重构权限（RAM），在论文5[6](https://arxiv.org/html/2605.23935#bib.bib5)中引入，通过将执行重新定义为可构造性问题来解决此问题：权限必须从当前系统状态推导，而不是继承自先前的验证。然而，尽管RAM确立了有效执行的理论条件，它并未定义如何在运行系统中强制实施该条件。

本文提供了这种操作化。本文不扩展重构权限的理论定义。相反，它解决一个不同的问题：如何将权限重构强制实施为一种运行时执行协议。

我们引入一个运行时执行模型，其中权限在动作点被评估，并且执行以权限的可构造性为条件。这导致执行状态空间的基本扩展：超越传统的允许/拒绝结果，我们定义了第三种状态“暂停”（halt），表示由于信息不完整或不确定而无法建立权限的情况。

“暂停”状态的引入改变了执行控制的本质。系统不再被迫在不确定性下近似决策；相反，它们可以在权限未定义时明确拒绝行动。

我们进一步证明，权限不是系统状态的连续函数。小的扰动可能使执行无效，并且一系列决策随时间累积发散。没有运行时重构，这些属性保证最终会在无效权限下执行。

为了解决这个问题，我们将RAM集成到代理控制协议（ACP）[2](https://arxiv.org/html/2605.23935#bib.bib2)中，作为执行门（ACP六阶段流程的阶段3）的授权标准，并将其与不变监控层（IML）[4](https://arxiv.org/html/2605.23935#bib.bib3)连接用于漂移检测。这实现了一个闭环执行模型。ACP仍然是强制流水线；RAM优化了其授权语义。

本文的主要贡献是引入了一个恢复循环（Recovery Loop），它控制“暂停”后的系统行为。系统不将“暂停”视为终端状态，而是识别缺失的权限定义变量，获取额外信息，并尝试重构。我们证明，在可恢复的可观测性条件下，系统最终将恢复执行。

综合起来，这些元素定义了一个完整的执行模型，具有两个保证：

- **安全性**：没有可构造权限的动作不会被执行。
- **活性**：当权限变得可构造时，执行恢复。

这重新定义了自主系统中的执行，从估计和验证的问题转变为运行时构造和强制的问题。

## 2 系统模型

设：

- $S_r(t)$：时间 $t$ 的真实系统状态
- $O(t) \subseteq S_r(t)$：可观测状态
- $A(t)$：执行权限
- $F$：权限构造函数
- $U: V \to [0,1]$：状态变量上的不确定性映射；$U(v)$ 量化变量 $v \in V$ 的不确定性程度。当 $U(v) > \theta_{\mathrm{auth}}$ 时，一个必需变量触发 $A(t) = \bot$，其中 $\theta_{\mathrm{auth}}$ 是权限解析阈值。

权限定义为：
$$
A(t) = F(S_r(t))
$$
由于 $S_r(t)$ 不是完全可观测的，系统在 $O(t)$ 上操作，并且必须确定是否能够构造权限。

###### 定义1（权限可构造性）

令 $a$ 为一个动作，$D(a)$ 为评估 $a$ 的权限所需的变量集。在状态 $O(t)$ 下，当且仅当所有以下三个条件成立时，权限是*可构造的*：

1. **可观测性**：所有依赖 $d \in D(a)$ 在 $O(t)$ 中可观测，即 $U(d) \leq \theta_{\mathrm{auth}}$。
2. **闭包性**：由 $D(a)$ 导出的依赖图在解析下封闭（没有未解析的上游依赖残留）。
3. **一致性**：在评估的依赖上没有检测到不变量违反。

正式地：
$$
\mathrm{Constructible}(a, O(t)) \triangleq \mathrm{Observable}(D(a), O(t)) \land \mathrm{Closed}(D(a)) \land \mathrm{Consistent}(D(a))
$$
如果此条件成立，权限可以被评估为有效或无效。否则，权限是*不可评估的*。

###### 定义2（未定义权限）

如果 $\mathrm{Constructible}(a, O(t))$ 不成立（即任何必需变量不可观测、依赖图开放、或违反不变量），则：
$$
A(t) = \bot
$$
且执行一定不能进行。

###### 定义3（执行状态）

给定动作 $a$ 和系统状态 $O(t)$，执行结果定义为：
$$
\mathrm{ExecState}(a, O(t)) = 
\begin{cases}
\textsc{execute} & \text{if } \mathrm{Constructible}(a, O(t)) \land A(t) = \mathrm{True} \\
\textsc{deny} & \text{if } \mathrm{Constructible}(a, O(t)) \land A(t) = \mathrm{False} \\
\textsc{halt} & \text{if } \lnot \mathrm{Constructible}(a, O(t))
\end{cases}
$$
因此，执行门恰好承认三种结果：
$$
\mathrm{gate}(t) \in \{\textsc{execute}, \textsc{deny}, \textsc{halt}\}
$$

“暂停”（halt）状态是本文的核心创新。它与“拒绝”（deny）不同，这种区别不仅仅是术语上的：

- **拒绝**对应*被证伪的权限*：权限可构造且评估为 False ($A(t) = \mathrm{False}$)。
- **暂停**对应*不可评估的权限*：因一个或多个可构造性条件失败而无法确定权限 ($A(t) = \bot$)。

当依赖解析不完整导致权限无法评估时发生暂停，而不是因为权限无效。将这种区别合并的系统将认知上的不完整性视为一个拒绝决策，这是不正确的：不可评估的权限既非有效也非无效，在它之下执行——无论方向如何——都违反了安全条件。

## 3 架构概述

操作化RAM由四个紧密集成的组件组成。

### 3.1 状态采集层

从内部系统信号、外部输入和上下文环境收集 $O(t)$。不做完整性假设。任何可观测性缺口直接传播到权限构造步骤。

### 3.2 权限构造引擎

评估：
$$
A(t) = F(O(t))
$$
通过动态依赖解析。引擎识别哪些变量是必需的，评估它们的可观测性和可靠性，并返回三种权限状态之一。

### 3.3 执行门

强制：
$$
\begin{cases}
A(t) = \text{True} & \Rightarrow \textsc{execute} \\
A(t) = \text{False} & \Rightarrow \textsc{deny} \\
A(t) = \bot & \Rightarrow \textsc{halt}
\end{cases}
$$
没有定义且为正的权限状态，不得执行任何动作。

### 3.4 审计层

记录每次执行尝试：观察到的状态 $O(t)$、依赖集 $D(t)$、权限决策以及失败条件。这确保了完全的可追溯性，而不影响执行决策。

## 4 运行时权限构造协议

我们现在定义实现RAM在真实系统中的操作协议。

### 4.1 输入

在时间 $t$，协议接收：
- 可观测状态 $O(t)$
- 动作类别 $C$
- 策略先验 $P_0(C)$（仅候选生成器）
- 构造函数 $F$
- 不确定性映射 $U$

### 4.2 先验影响约束

策略先验 $P_0(C)$ 受到严格约束：
- 它*不能*独立授权执行。
- 它*不能*覆盖运行时构造。
- 它*只能*为 $F$ 评估提出初始候选变量。
- 运行时构造可以在需要时提升先验之外的变量。
- 在相同决策周期内，在不确定性下不允许降级必需变量。

###### 命题1（先验非权限）

没有执行决策可以仅从 $P_0(C)$ 推导出来。权限需要基于 $O(t)$ 的运行时构造。

### 4.3 依赖解析算法

令 $D(t)$ 为构造权限所需的一组变量。关键属性是：
$$
D(t) = \mathrm{Resolve}(O(t))
$$
依赖*不是静态定义的*。它们从运行时的当前可观测状态涌现。

该算法分七步进行：
1. 从 $P_0(C)$ 初始化候选变量。
2. 根据当前状态 $O(t)$ 评估 $F$。
3. 从 $F$ 发现的实际依赖中推导出所需依赖集 $R(t)$。
4. 将所有必需变量提升到权限定义集 $A_d(t)$ 中。
5. 对于每个变量 $v \in A_d(t)$：评估可观测性和不确定性状态。
6. 如果任何权限定义变量未解析 $\Rightarrow A(t) = \bot$，执行暂停。
7. 如果所有变量都解析且约束通过 $\Rightarrow A(t) = \text{True}$，执行继续。