Phase 2：iFay 派生接管终端

Phase 1 把"人类原型 ↔ iFay"的最小契约形态稳定下来之后，Phase 2 把目光转向 iFay 与终端设备之间的关系。

终端在这里是泛化意义上的——一架无人机、一台机器人、一辆智能车辆、一台 IoT 网关、一台个人电脑、一部手机，都属于这一类。它们的共同特征是：有可以被驱动的硬件，有可以被发起的物理动作，有可以产生的物理后果。

Phase 2 的关键不是让 iFay 多控制一些东西，是把每一台被 iFay 接管的终端，明确地纳入 Faying 的责任链条。

派生而非直接

Phase 2 不引入"人类原型 ↔ 终端"这种直接关系。它的扩展方式是间接的：

该终端通过对应人类原型的 iFay 进入 Faying State。

责任端仍然是人类原型，没有改变。iFay 仍然是 Faying State 的承接实体，但它现在多了一项额外职责——为它所接管的终端代行监护。终端不在 Faying State 中独立存在，它的"在受控状态中"是借由它当前所属 iFay 的 Faying State 派生而来。

继续用第十二章引入的类比——Jack 把方向盘交给 AI 司机时——Phase 2 关心的是：当这位 AI 司机随后把车开起来、转向、刹车、变道时，车上的方向盘、油门、转向灯各自的"控制权状态"如何始终与 Jack 是否在监护这件事保持一致。

三个核心议题

接管的可见性：iFay 接管某一终端时，必须可被人类原型与外界即时观察到——哪台终端、哪段时间、由哪一 iFay 接管。这是 Human View 在终端层面的延伸。

退出的连锁性：当 iFay 转入 Rogue Fay 时，它所接管的全部终端必须同时失去 Faying 的派生效力。终端不被允许在 iFay 已经脱离监护的情况下继续执行先前未完成的物理动作——这恰好对应第十三章 D3 的禁止项。

物理动作的不可回退性：物理世界的动作具有强不可逆性。无人机已经投递、机械臂已经搬运、车辆已经转弯，事后审计无法撤回。Phase 2 必须把"宁可不动、不可错动"作为协议层默认偏置，而不是事后审计来修补。

第三条尤其关键。当任何关于 Faying State 的不确定性出现时，终端默认进入"惰性等待"而不是"乐观执行"。

与本期范围的关系

Phase 2 不在本期协议设计范围内。本期 Faying Protocol 仅覆盖 Phase 1。Phase 2 中"iFay 通过 Faying 派生地接管终端"的具体协议形态，将在 Phase 1 稳定后的独立 spec 中被定义。本章描绘 Phase 2 的存在与方向，是为了让使命路径有完整的演进图景。

Phase 2 是 Faying 走出"软件之间"、进入"软件—物理"边界的第一步。从此 Faying 关系不再只关心比特，而开始关心被比特推动的物理后果。这一事实是 Phase 3 至 Phase 5 必须时常回看的"重力"。