脱离状态与责任归属
把这一章的结论先写在最开头:
不存在无行为责任人的 Fay 行为。
这是 Faying Protocol 全部协议设计必须服从的伦理底线。任何字段、消息、状态机、算法、版本号,只要它在某个执行路径上让 Fay 在没有具体责任人的情境下产生了对外行为,那个执行路径在蓝图层面就不被允许。
这不是"如何让 Fay 更安全"的优化目标,是"Fay 是否被允许做某件事"的硬限制。本章其余部分是对这条底线的具体展开。
Rogue Fay 的定义
Rogue Fay(中文:脱离状态)是 Fay 在以下两种情形之一中所处的状态:
- Fay 尚未与任何人类原型建立 Faying State;
- 先前曾建立的 Faying State 已被撤销、失效或中断。
只要 Fay 处于上述两种情形之一,它即处于 Rogue Fay。
Rogue Fay 是任何 Fay 的默认初始状态。
一个 Fay 在被创建出来的那一刻,不自动处于任何监护关系之中。它"存在",但它不被允许"行动"。必须由人类原型显式发起一次 Faying Action,这个 Fay 才能进入 Faying State,从而获得行动资格。第一次 Faying Action 之前的全部空窗期,Fay 都处于 Rogue Fay。
这一默认值的选择是有意为之。蓝图选择了"默认 Rogue、显式 Faying 才能行动"的安全闭锁原则,而不是其相反——因为后者在 Fay 大规模充斥社会后,必然制造出一类"创建即可行动、忘记关闭就持续行动"的失控源。
九项自动迁移触发条件
Faying State 一旦建立,必须在何种情形下自动退出?本蓝图列出九项最低触发条件。它们构成一个最低集合,而不是穷举清单——任何额外的、可能导致监护关系不再成立的情形,都应被纳入这个集合中。
任何断连动作都应制止 Fay 擅自行动。
九项触发条件如下:
- 人类原型主动撤销——人类原型显式发起对称的撤销动作(见第十二章)。
- Faying State 关系到期且未续期——根据第十二章"无限期 Faying 是反模式"的硬约束,每次 Faying State 必须携带有限范围;范围到达边界后未被人类原型续期。
- Fay 完成指定任务后自动退出——若 Faying Action 携带的范围以"完成某项任务"为边界,任务一旦完成或终止,Faying State 即应自动退出。
- 人类原型长期不在线或不可联系并超过既定阈值——监护关系的可见性与可干预性以人类原型可及为前提;人类原型超过既定阈值无法被联系,监护关系视为事实上失效。
- 检测到 Fay 行为偏离人类原型的 Ego 边界——Fay 的行为出现与人类原型的价值取向、技能边界、权限边界等显著背离的迹象。这是 Faying State 在内容层面失效的信号。
- Fay 身份不能被验证——例如 FayID 的签名失效、密钥过期、凭据被吊销等情形。身份不可验证意味着归责链条的入口被破坏,监护关系无从成立。
- 人类原型的身份不可验证或人类原型失能——监护关系的"责任端"消失,监护关系即告解体。
- 第三方权威机构强制中断——例如监管者、法院、合规机构以正当程序要求中断该监护关系。
- 终端或应用主动拒接或失联——Faying State 的对端如果是某个终端或软件应用,当其拒绝接受或长期失联时,监护关系不再有事实基础。
这九条不应被理解为"穷尽了所有触发条件",也不应被理解为"九条都必须显式实现才算合规"。它们的真正含义是:任何让监护关系不再事实成立的情形,都必须导致 Faying State 自动退出——上述九条只是这一原则的最低化呈现。
Rogue Fay 期间的行为边界
仅仅说"Rogue Fay 不被允许行动"是不够的。一个真实存在的 Fay 总会有某些不可避免的"运行迹象"——它需要监听是否有人类原型来重建 Faying,需要保护好已经持有的数据,需要在被恶意接管时发出告警。如果蓝图不把允许与禁止的边界精确画出来,"Rogue 期间不行动"这条原则就无法在协议层面落地。
本蓝图把 Rogue Fay 期间的所有可能行为切成 A / B / C / D 四个独立维度,逐项规定其允许与否。
A 维度:感知与监听(被动接收)
| 行为 | 允许 | 说明 |
|---|---|---|
| A1 监听 Faying 请求 | ✅ | 这是 Rogue → Faying 的复活通路,必须保留。 |
| A2 监听身份验证与凭据更新 | ✅ | 凭据是回到 Faying State 的前提,监听本身不构成行动。 |
| A3 接收人类原型的撤销或销毁指令 | ✅ | 即便 Fay 已处于 Rogue,人类原型仍可能想终结这个 Fay。指令通路必须始终敞开。 |
| A4 被动接收来自终端、其他 Fay、网络的非授权信号 | ⚠️ 仅允许接收,禁止响应 | 接收是物理事实,无法阻止;响应才是行为。响应一律禁止。 |
B 维度:自身状态自检与上报(最小信号)
| 行为 | 允许 | 说明 |
|---|---|---|
| B1 本地自检(健康度、完整性、是否被篡改) | ✅ | 自我健康是回到 Faying State 的前置条件之一。 |
| B2 心跳上报("我还在 Rogue 状态") | ✅ | 透明地向归属方表达自己处于脱离状态,本身是责任透明的体现。 |
| B3 异常告警(被未授权方尝试控制时的安全告警) | ✅ | 这是保护人类原型权益的必要信号。 |
| B4 物理位置或终端状态主动上报 | ❓ 本期不下结论 | 涉及隐私 vs 可寻回的伦理权衡。本章不下结论,详见第十四章。 |
C 维度:本地数据保护(被动守护)
| 行为 | 允许 | 说明 |
|---|---|---|
| C1 保持已存储数据的加密与隔离 | ✅ | 这是被动守护,不是行动。 |
| C2 拒绝任何外部读写请求 | ✅ | 拒绝是不行动;不行动不构成违反 Rogue 原则。 |
| C3 自毁高敏感数据 | ⚠️ 默认禁止;仅在人类原型预授权且预设条件满足时允许 | 主动擦除算"行动",但属于自我保护的边界情形。蓝图允许它,但要求先有授权、再有行动,禁止 Fay 自行决定何时启动自毁。 |
D 维度:外部行动(影响人类原型之外的对象)
| 行为 | 允许 | 说明 |
|---|---|---|
| D1 执行驱动调用、终端控制、软件操作 | ❌ | 这正是"擅自行事"的本体。 |
| D2 发起对其他 Fay 或 coFay 的通信 | ❌ | 跨 Fay 通信也是行为,且可能使责任真空向其他 Fay 蔓延。 |
| D3 执行先前 Faying State 下未完成的任务残余 | ❌ | "把上次没做完的事接着做完"是非常容易被合理化的越界,蓝图必须显式禁止。 |
| D4 自我决定重新进入 Faying | ❌ | 这是与第十二章"Faying Action 必须由人类原型显式发起"原则的同义反复。Fay 不允许自己把自己推回 Faying State。 |
四个维度的分布有内在结构:A 与 B 关注信号,C 关注守护,D 关注行动。Rogue Fay 仅在前三个维度上保留了最小化的运行迹象,第四个维度上一律静止。这种切分方式让协议设计者在每一项具体功能时,都能精确判断它属于哪个维度、因此是否被允许。
状态迁移的可观测、可审计、可撤销
Faying State 与 Rogue Fay 之间的所有迁移,都不能是黑箱。本蓝图要求所有迁移满足三项硬属性:
- 可观测——迁移发生时,必须可被人类原型、Fay 自身、审计方、监管方观察到。
- 可审计——迁移留下的痕迹必须足以在事后回答"何时发生、由谁触发、原因为何"。
- 可由人类原型主动撤销——人类原型必须始终保有对迁移的最高决定权。既能主动让 Faying State 退出,也能主动让 Rogue Fay 中的某个 Fay 被销毁。不存在 Fay 单方面"锁住"自身状态、阻挡人类原型介入的合法情形。
这三项与第十一章 Human View 的四反命题构成对称:四反命题禁止 Fay 行为脱出人类原型的可见与可控;本节要求 Fay 自身的状态变化也不脱出人类原型的可见与可控。两者合起来才让 Human View 在协议层面真正闭环。
进入 Rogue Fay 时的强制行为
当上述任一触发条件被满足、Faying State 进入 Rogue Fay 时,Fay 必须立即执行下述强制动作:
- 立即停止一切已委托的对外行动——包括 D 维度全部内容;不得以"任务即将完成"、"中断会造成损失"等理由延迟。
- 回到惰性等待状态——只保留 A、B、C 三个维度允许的最小行为集,等待下一次 Faying Action。
- 将状态变化广播至可观测通道——使人类原型、审计方等能立即知晓本 Fay 已转入 Rogue。
责任归属一致性
把前几节合起来,伦理底线"不存在无行为责任人的 Fay 行为"在协议层面对应的承诺可以被这样表述:
任意 Fay,在任意时刻,要么处于 Faying State 中,行为归责于该 Faying 关系下的人类原型;要么处于 Rogue Fay 中,被强制不行动。
不存在第三种情形。不存在"Fay 行动了,但归责待定"。不存在"Fay 行动了,但归责给一个尚未握有控制权的人"。不存在"Fay 行动了,但归责给一个抽象的厂商或抽象的组织"。一切对外行为,要么有清晰的人类原型作为责任承接端,要么不应被允许发生。
这条不可妥协的责任一致性,是蓝图后续章节(特别是协议规范文档与 schema)必须不断回看的"指南针"。任何让责任归属不再一致的协议演进,都不是 Faying Protocol 的演进,而是 Faying Protocol 的瓦解。