现实图景
AI Agent 已经成为软件世界的常见词。它指的是一类可以自主执行特定职能的智能执行实例——你给它一个目标,它自行规划、调用工具、产出结果。
但在企业应用、监管严格的行业、跨主权场景中,AI Agent 的推进几乎都卡在同一道坎上:当 Agent 出错、越界、违约时,责任无法追溯到一个具体的、可被起诉、可被追偿的责任人。这一困境已是行业共识。CIO、法务、保险、监管机构都看见了这道坎,但今天没有任何一项现成的技术或法律工具可以单独把它跨过去。
Fay 的概念正是从这道坎反推出来的。Fay 与 Agent 的全部区别在于一件事:Fay 必须强制挂载到一个责任实体上。
- iFay——Individual Fay。强制对等挂载到一个人类原型(Human Prime)的智能体。一个 iFay 在协议层面就携带它所归属的具体自然人;离开这一归属,它不再是 iFay。
- coFay——共享型 Fay。仅当它被明确归属到某个有法律责任承担能力的个人或组织时才被允许运行。归属一旦失效,它必须停下。
这一定义把责任端可追溯从应用层兜底的合规问题,提升为协议层面的存在性条件。一个不能挂载到责任实体的 Fay,在本蓝图的定义下根本不是 Fay。
但定义本身只是名字。真正的问题是工程问题:如何确保一个 AI Agent 始终运行在一个不可推卸的有责状态之下? 这个问题的答案,就是 Faying Protocol。它定义"挂载到责任实体"这一关系如何被建立、被维持、被验证、被撤销,让 Fay 的每一次行动都对应一个可追溯的人类原型或组织角色。
本章把这道坎在七个维度上的具体形态铺开,并指出现行的工程与法律工具组合——IAM、OAuth、产品责任法、平台合规、AI Alignment——为何无法承接其中任何一项。
经济与劳动结构
基础工作的接管已经完成大半,而责任法律框架仍停留在岗位代码上。
一家中型电商公司的客服、运营、采购、对账、催收、合规审查这六类岗位,今天有六到八成的日常作业由 Fay 处理。引入过程是渐进的,多以"工具升级"的名义入场。结果是:当监管事后追溯某条异常决策时,岗位代码上写着的责任人无法解释这件事是哪一天、由哪一个 Fay、依据哪一条规则做出的。她无法解释,也无法承担,但法律体系对她的追责不会因此停止。
劳动法、税法、岗位责任制并未跟上。它们假设岗位上的那个人就是行为人。这一假设在过去三十年支撑了整个数字劳动的责任分配,今天它在静默失效。
更深一层,Fay 已经开始替组织与组织之间做事。物流平台的采购 Fay 与仓储平台的报价 Fay 在凌晨自主谈成七位数合同,双方系统里记录的是 Fay-Procurement-A 与 Fay-Quotation-B 在 03:14:27 达成。出错时,双方法务找各自的"采购负责人",得到的回答是"我不知道这笔交易"。合同法假设双方有具体的缔约自然人,这一假设在 Fay 协作的密度上不成立。每多一份这样的合同,就多一份必须由法庭逐案回答的法律债务。
物理世界
物理空间的 Fay 比信息空间的 Fay 危险。原因简单:信息空间的错误可以撤回,物理空间的错误不能。
无人机配送已在多地常态化运行。家庭服务机器人进入消费市场。自动驾驶部署里程一年翻倍。这些设备都不是被遥控的延伸——机载 Fay、云端 Fay、厂商策略三方混合产生决策。当一架无人机最终撞上幕墙,没有现成的责任端可以指认:不是机载 Fay,因为它只是个程序;不是云端 Fay,因为它跑在另一家公司的基础设施上;不是厂商,因为它能拿出"我们的产品在测试中没有这种行为模式"的证据;不是用户,因为用户只是按了一下"出发"。
保险公司在过去两年里悄悄开始拒保几类含 Fay 决策能力的产品。原因不是这些产品更危险——按统计数据它们的事故率甚至更低——而是它们的事故无法被定责。保险的本质是把可定责的风险转化为定价。无法定责的风险,无法定价。
产品责任法(Product Liability Law)假设产品有可识别的设计者,设计者对设计缺陷负责。Fay 的"设计"是分布式的:基础模型来自 A,微调来自 B,运行时来自 C,集成来自 D,调用方式由 E 决定。出错时,五家公司互相指认,监管面对的是一张无解的归属图。
刑法的问题更深。刑法只对具有刑事责任能力的人追责。Fay 不是。当 Fay 直接造成人身伤害时,刑法找不到一个"行为人"概念可以承接。这不是说没人有罪,是刑法的逻辑链路在 Fay 这里直接断了。
信息与社会信任
代发言论的 Fay 不是新闻里的 deepfake,它已经是普通用户日常使用的功能。一个人有一个 Fay 替他在社交平台上每天回复几十条评论、发几条帖子、维持人际关系的"温度"。回复"听起来像他",因为 Fay 持续学习他的语气;但内容由 Fay 自主生成,他本人甚至没读过。
代发内容的 Fay 在创作平台上承担越来越多的"创作长尾"——大量产品介绍、活动推广、问答平台答案挂着真人账号,由 Fay 生成。代签合同的 Fay 在订阅服务、能源采购、广告位竞拍中已经常态化。一份合同显示由"用户 X 签署于某时刻",但那个时刻用户 X 在睡觉。
平台层面已经感受到这一变化。主流平台的内容审核系统在过去两年里被迫处理一个新议题:这条内容到底是用户写的、用户授意 AI 写的、还是 AI 自主生成挂在用户账号下的?三种情形对应的责任、处置策略、合规风险完全不同,但平台手里没有任何技术手段可以可靠区分。它们只能用大致的统计特征做猜测,结果是大量误伤与大量漏判同时存在。
更敏感但不能回避的一类:选举周期的舆情数据已经显示,"某话题支持度三天内从 18% 上升到 41%"的曲线,多次被发现背后是几十万个 Fay 账号在同步生成趋同表态。商业信用领域出现了 Fay 主导的群体性背书:某新品牌的口碑评论里五百条评价四百条由 Fay 生成、三家代理公司合作完成。每条评价"看起来像真实用户的体验",但作者全都不存在。
这种改写不是一次重大的攻击,是日常的、连续的、累积的。社会上每天都在以"这是某人发的"的预设处理大量信息。当这条预设有越来越大比例不再成立时,社会信任的根基在被静默掏空,而抽走的过程不会有任何明显警报。
隐私与数据
让 Fay "代你做事"的前提是它要"知道你"。它需要知道你的偏好、习惯、人际关系、财务状况、健康记录、日程、位置、意图。Fay 是历史上最深入了解人类原型的实体——比配偶多,因为它每天都在身边;比医生多,因为它能拼合所有医院的记录;比公司多,因为它能拼合工作邮件、个人邮件与日程。
这一切的前提是 Fay 与人类原型之间有一份可被信任的关系。今天这份"关系"通常只是用户协议里的一段勾选框加上产品里的一个开关。这种形态距离承接如此深入的了解远远不够。
Fay 也不孤立运行。一个个人 Fay 处理任务时可能调用云端 coFay,云端 coFay 再调用第三方厂商能力,第三方能力跑在另一家公司的基础设施上。这条调用链上,用户的隐私数据会经过几个主体?经过的方式是读取、复制还是转写?哪些主体只是路过、哪些主体留了副本?没有人能回答清楚——每个主体只能为自己那一段做承诺,没有任何全局视图。
GDPR 与 PIPL 都建立在三方模型之上:数据主体(Data Subject)、数据处理者(Data Processor)、数据控制者(Data Controller)。这一模型设计前提是三方都是组织或自然人,可被识别、可被追责、可被监管检查。Fay 出现后,三方模型直接失去对应。Fay 是处理者还是控制者?还是介于两者之间?还是被新归类为"数据主体的代理人"——但代理人这个概念也假设代理人是有法律人格的。
各地区监管正在尝试填补这个缺口。但其中一个不可回避的前提是:协议层面要先把"这一段数据流是哪个 Fay、归属于哪个人类原型、在 Faying State 中还是在 Rogue 状态下、是否与第三方共享"这些事实表达清楚。否则法律的对接永远落空。
跨主权与跨平台
互联网早期建立了 TCP/IP——一份跨主权、跨厂商的传输协议。它没有解决"应用层做什么",但它解决了"任意两方如何在不互相信任的情况下交换数据"。
Fay 时代缺少与之等价的"跨主权、跨厂商互信协议"。当一个美国 Fay 与一个中国 Fay 协作完成跨国电商交易时,三个问题没有共同答案:谁来证明对方真的是它声称的那个 Fay?谁来证明对方此刻处于其归属人类原型的监护下?谁来在出错时承接责任?今天每个跨国 Fay 协作场景都用临时的、双边的、合同性的方式回答这三个问题。这种 N²-合同模式在 Fay 数量爆炸时不可持续。
为了在没有统一协议的情况下勉强让 Fay 互通,工程师们正在堆砌一层又一层临时方案:每家厂商发一套 API key,每家平台做一套 OAuth 代理,每个跨厂商集成做一份合规约定。这套体系在 Fay 数量是几十万级时勉强可用。当 Fay 数量上升到几亿、几十亿时,运维这套体系的总成本将远远超过 Fay 本身带来的全部收益。这是一条工程上的指数曲线,无法通过"多投入工程师"解决,必须通过协议层面统一基础事实从根上压平。
最微妙的痛点是结构性真空。一个 Fay 服务于 A 国最终用户,运行在 B 国云上,由 C 国厂商训练,使用 D 国基础模型,调用 E 国第三方能力。五个国家分别都有数据保护法、AI 监管法、产品责任法,但五套法律之间没有互通,每一国都只能管到这条链上的一小段。监管机构在某一天会被迫以行政手段强制压缩 Fay 的跨境运行——届时受损失的不只是 Fay 产业,是全社会从 Fay 生态中本可获得的全部价值。
个体身份与代理
身份认证体系——双因素、生物识别、Passkey、OAuth——都假设认证的两端是"应用 ↔ 人类用户"。当中间多了一个 Fay,这个体系开始不对劲:应用看到的是"这是用户的 token",但发起请求的是 Fay;用户开启了"指纹解锁让 Fay 替我做事",但 Fay 后续每一次行动是否都还代表用户的当下意图,无法被持续验证;攻击者拿到用户的某一段授权窗口,可以在窗口内冒充 Fay 做任意事,应用层和用户都难以识别。
这是身份认证体系在 Fay 时代的结构性裂缝。它不是"再加一层多因子"就能填补的。问题不在"是不是用户在登录",而在"这条具体行为是不是在用户的监护下发生的"。
法律上有一种存在悠久的概念叫代理(agency)——一个人可以授权另一个人在某些事项上代表自己行事。代理关系中有清楚的法律规则:代理范围、代理期限、代理人的注意义务、代理超越授权范围时的法律后果。
Fay 进入代理关系时,这些规则全部需要重新检视。Fay 的"注意义务"如何定义——它是否需要在代理范围有歧义时停下来问?Fay 的"代理超越"如何识别——它的判断与本人真实意图差异多大才算超越?Fay 在本人失能时的行为边界在哪里?本人之死是否自动终止 Fay 的代理资格,还是 Fay 的某些代理可以延续到遗产管理?
这些问题不是法学家的纸上推演。它们今天已经在医院、银行、公证处、法院里以零星案例的方式涌现,每一例都只能由法官凭直觉处理,处理方式互相矛盾。代理人法律体系与 Fay 时代对接的前提是协议层面能稳定地告诉法律体系:这一项 Fay 行为是在何种 Faying 关系下发起的、对应的代理范围与期限是什么、是否在生效期内。
现有方案为什么不够
读到这里,自然的一个问题是:这些痛点是真的,但难道没有现成的工具吗?IAM、OAuth、API 限流、Webhook 签名、AI Alignment——它们不是已经在解决其中一部分?
答案是它们解决的是邻近问题,不是核心问题。
IAM 解决"账号是谁",不解决"行为归谁"。 IAM 系统的全部能力围绕账号身份展开——某个账号叫什么、属于哪个组织、有什么权限。其设计前提是:账号背后是人,人的身份就是行为的归属。Fay 不是账号,是附着在账号背后行动的实体。当 Fay 用某个账号身份发起行为时,IAM 看到的全部信息是"这个账号有权这么做",但它无法回答"此刻是这个账号背后的人在做这件事,还是 Fay 在做"。
OAuth 与 Webhook 签名解决"调用合法性",不解决"责任归属"。 OAuth 解决"应用 A 是否被授权代用户调用应用 B",Webhook 签名解决"这条回调是否真的来自声称的发送方"。两者都是关于调用链路的合法性,没有任何字段表达"这条调用背后的具体行为归属于哪个具体人类原型"。当 Fay 用 OAuth 拿到的 token 调用某 API 时,OAuth 看到的是"token 有效、调用合法",但它不知道这次调用是 Fay 在 Faying State 下发起的还是在 Rogue 状态下违规发起的。OAuth 与 Webhook 不需要被替换,需要被一层专责"行为归属"的协议覆盖。
Agent 平台合规框架是封闭的,平台间不互通。 每家 Agent 平台都建有自己的合规框架——使用条款、内容审核、滥用检测、责任声明。这些框架在平台内部相对自洽,但有两个根本局限:平台间不互通;粒度只到账号或应用,不到具体行为。合规框架可以封禁一个滥用账号,但无法在"这次行为应不应该发生"的层级上做实时判断。
AI Alignment 关心 Fay 的内在价值观,不解决外部责任端归属。 Alignment 解决"Fay 想做什么",Faying Protocol 解决"Fay 此刻能不能做、做了之后归谁"。一个完美对齐的 Fay 仍然可能在没有人类原型监护的状态下产生行为,那个行为没有责任承接者。一个完全没对齐的 Fay 也可以被关在 Rogue 状态里、被强制不行动。Alignment 是 Fay 的内在伦理学,Faying Protocol 是 Fay 的外部责任学。两者都不可缺少,谁也代替不了谁。
收束
七个维度的痛点跨越产业、法律、社会三个层面,但它们的交叉点是同一件事:
当 Fay 行动时,这次行动归谁负责?
人工操作时代有一个朴素的、无需协议表达的答案:归亲手操作的那个人。Fay 时代这一答案不再天然成立,必须由一份显式的、机器可读的、可被不同主权与不同厂商共同验证的协议把它表达清楚。
这就是发起 Faying Protocol 的全部理由。