BLUEPRINT

Faying 的双重语义

读到这里,"Faying"这个词已经多次出现:第二章作为契约的名字,第三章把 iFay 与 Agent 区分开来,第十一章承接 Human View 的价值观要求。但 Faying 究竟指的是什么,到目前为止一直被故意延后。原因是它不能只用一面来描述。

Faying 同时承担两种语义。

状态语义——Fay 处于人类原型监护下的连接状态,称为 Faying State动作语义——Fay 由脱离状态进入 Faying State 的"控制权交付"行为,称为 Faying Action

两种语义不可分割:没有 Faying Action,Faying State 永远不会建立;没有 Faying State,Faying Action 也就只是一次空操作。这是 Faying 的双重语义原则

任何把 Faying 简化为单面理解的尝试——把它仅仅当作"连接的状态",或仅仅当作"切换的动作"——都会让责任归属在协议层面被悄悄抹除。

Faying State:被监护的连接状态

Faying State 是 Fay 处于某个人类原型监护下的连接状态。进入这一状态的 Fay 具有三项必然属性。

行为归责唯一——Fay 在该状态下的所有对外行为,均归责于该人类原型。无论这个行为是 Fay 自主决定的、由人类原型显式指令的、还是被外部环境触发的,归责端不发生跳变。

可见性持续——在该状态期间,人类原型对其 Fay 的活动持有 Human View,可在任何时点确认监护是否仍在生效。

干预通路常开——在该状态期间,人类原型对其 Fay 的撤销、暂停、降速、销毁等指令具有最高优先级。Fay 不得以任何"业务理由"凌驾于这些指令之上。

Faying State 不是一种静态结果,是一种持续在线的承诺。它在每一个微观时刻都需要被重新确认,而不是一次建立后就永远成立。一旦上述三项任一不再成立,Faying State 即应进入第十三章定义的退出流程。

重要的反向结论:Fay 在 Faying State 之的状态(即 Rogue Fay)中,所做的一切对外行为都没有责任承接者。因此 Faying Protocol 在协议层面唯一可接受的设计选择是:Rogue Fay 期间禁止 Fay 行动,而不是"行动了再补归责"。这一原则将在第十三章被严格落地。

Faying Action:控制权的交付

Faying Action 是一个具体的、可被观察的、可被审计的"控制权交付"动作。

最贴切的类比是这样一个日常场景:

Jack 把汽车的方向盘交给一个 AI 司机。这一刻,Jack 不是简单地按下了一个"自动驾驶"按钮——他是在以一个明确可被外界感知的方式,把控制权交出去。在这之前,方向盘归 Jack;在这之后,方向盘归那个 AI 司机;与此同时,所有由方向盘引发的行为后果,仍然落在 Jack 这个驾驶证持有人身上。

Faying Action 就是数字世界中等价的"交方向盘"动作。它把 Fay 从"存在但不能行动"的脱离状态,明确地、可被见证地、可被回溯地,转入"代表人类原型行动"的 Faying State。

由此引出 Faying Action 的几条不可妥协的属性。

必须由人类原型显式发起——Faying Action 不允许 Fay 自我决定开启。Fay 不能仅仅因为"上次也是这样开启的"、"我推断人类原型现在希望我开启"、"我已经被授权过类似行为"等理由,自主进入 Faying State。每一次进入都必须由人类原型显式发起。

必须可被见证——Faying Action 必须留下可被外界(含审计方、监管方、Fay 自身、其他 Fay、人类原型本人)观察到的记号。一次没有被见证的 Faying Action,等同于没有发生。

必须是有限范围的——Faying Action 不应是一次永久性的"全权委托"。蓝图层面强烈倾向于 Faying Action 携带显式的范围(例如时间窗、任务范围、终端范围),到达边界即自动失效。无限期 Faying 是一种应被避免的反模式。

必须可被对称地撤销——每一次 Faying Action 必须有一个对应的、对称的撤销通路。建立 Faying State 和退出 Faying State,必须是同等可达的两条路径,而不是"开容易、关困难"的非对称设计。

双面合起来才是 Faying

把状态侧与动作侧并起来看,Faying 的完整含义可以被表述为这样一段话:

Faying 是一个由人类原型显式发起、可被见证、可被对称撤销的"控制权交付"动作(Faying Action),它将 Fay 推入一种持续在线的、被监护的连接状态(Faying State);在这个状态之内,Fay 可以代表人类原型行动,且行为后果均由该人类原型承担;这个状态之外,Fay 不被允许行动。

这段话同时给出三个时间维度上的承诺。过去:Faying State 一定是由某次具体的 Faying Action 进入的,不存在"自然而然就处于 Faying"的 Fay。现在:Faying State 的有效性在每一时刻都被 Human View 持续校准,不是一次建立永久成立。未来:Faying State 终将以一次对称撤销或自动失效退场,把 Fay 重新归入第十三章定义的脱离状态。

对协议设计的硬约束

本章作为价值观,不规定字段也不规定消息,但它对 Faying Protocol 的具体协议设计提出几条不可被让步的硬约束:

  • 协议层面必须同时为 State 与 Action 提供一等表达,不允许只表达其中一面;
  • 协议层面禁止存在"Fay 自我发起 Faying Action"的合法路径;
  • 协议层面必须为每一次 Faying Action 提供可见证记号与可对称撤销通路;
  • 协议层面禁止"无限期 Faying"作为默认形态,应在协议层强制 Faying Action 携带有限范围;
  • 协议层面必须保证:当 Faying State 不再成立的任一条件被触发时,Fay 自动转入脱离状态而不是"退化的 Faying"。

监护关系如何被建立、如何被维持、如何被结束,已经在价值观层面被完整定义。下一章把视角翻到反面——当 Faying State 不成立时,Fay 究竟可以做什么、不可以做什么。这是整本蓝图里最严苛、也最不允许任何让步的一章。