第六章 设计原则

TP 的设计围绕五项核心原则展开。这些原则不仅指导协议本身的技术设计，也定义了 TP 生态中所有参与者应遵循的行为准则。

6.1 共享认知优于消息传递

TP 的首要设计原则是：在可能的情况下，优先建立共享的认知空间，而非依赖消息的序列化传输。消息传递模式在每一轮交互中都会引入编码损耗、传输延迟和语义歧义；而共享认知模式让协作双方直接访问同一份认知资源，从根本上消除了信息传递的摩擦。这一原则并不否定消息传递的价值——建立共享空间本身需要消息协商——但它明确了 TP 的设计方向：尽可能减少不必要的序列化与反序列化。

现实示例：两个 Fay 协作处理一起交通事故理赔。在消息传递模式下，保险 Fay 需要向定损 Fay 发送完整的事故报告、照片、车辆信息、保单详情……每一轮沟通都是大量数据的打包传输。在共享认知模式下，双方建立共享语境，事故报告、照片和保单信息被挂载到共享空间中，定损 Fay 直接在共享空间中查看和标注，保险 Fay 实时看到标注结果——整个过程如同两个理赔员坐在同一张桌子前翻阅同一份卷宗。

6.2 传输无关性

TP 关注的是语义层，而非传输层。TP 消息可以通过 A2A 的 JSON-RPC、MCP 的 tool call、传统 REST API、甚至自然语言 Prompt 进行传递。这一原则确保 TP 不会被绑定到任何单一的底层协议上，当新的传输方式出现时，TP 只需增加一个传输适配器，而无需修改协议本身的语义定义。传输无关性也意味着 TP 天然具备向前兼容的能力——它可以适配尚未发明的传输协议。

现实示例：一个运行在云端的企业 Fay 需要与一个运行在边缘设备（如工厂传感器网关）上的 Fay 通信。云端 Fay 原生支持 A2A，但边缘设备只有一个简单的 REST API。TP 的传输无关性让两者无需关心对方的传输能力——TP 自动适配，云端 Fay 用 A2A 发出的意图被透明地转译为 REST API 调用送达边缘设备。

6.3 自适应协议协商

在异构的 AI 生态中，不同的 Fay 可能"说"不同的协议语言。TP 不要求所有参与者使用统一的传输协议，而是通过自适应的协商与转译机制，让"母语"不同的 Fay 能够无缝通信。协商过程包括能力探测、合同协商和语义映射三个步骤，确保意图在跨协议转译过程中不丢失语义。这一原则降低了 TP 生态的准入门槛——任何支持至少一种传输方式的 Fay 都可以参与 TP 通信。

现实示例：一家跨国公司的 HR Fay 需要与不同国家的社保机构 coFay 对接。美国的社保 coFay 使用 A2A，日本的使用 MCP tool call，欧盟的使用 REST API。HR Fay 不需要为每个国家编写不同的对接代码——TP 在会话建立时自动探测对方的协议能力，协商出双方都支持的传输方式，后续通信完全透明。

6.4 宿主主权隐私

在 iFay 的世界观中，每个 Fay 都代表宿主行事。因此，宿主对其数据拥有绝对的主权。Fay 不能自行决定共享哪些认知资源——每一项数据的披露都必须在宿主预先授权的边界内进行。TP 通过端到端加密、选择性披露（SelectiveDisclosure）和有时效性的回调凭证（CallbackCredential）三重机制，确保宿主的隐私数据在传输和访问过程中始终受到保护。宿主可以随时撤销授权，终止数据共享。

现实示例：一位用户的 iFay 代其向银行 coFay 申请贷款。银行需要查看用户的收入证明和信用记录，但用户不希望银行看到自己的消费明细和投资组合。用户在授权时明确指定"仅允许披露近 12 个月的工资流水和信用评分"，iFay 通过选择性披露机制只暴露这两项数据。贷款审批完成后，回调凭证自动过期，银行 coFay 无法再访问任何用户数据。如果用户中途改变主意，可以随时撤销授权，立即终止数据共享。

6.5 可审计信任边界

信任不是盲目的——它必须建立在可验证的基础之上。TP 要求所有涉及隐私数据访问、凭证使用和 Fay 间通信的操作均可审计。审计记录包含操作类型、参与方身份、时间戳和访问范围，但不包含实际的数据内容或凭证令牌明文。宿主可以随时查阅审计日志，了解自己的数据被谁访问、在什么时间、出于什么目的。这一原则确保了 TP 生态中的信任是透明的、可追溯的。

现实示例：一位患者的 iFay 在过去一个月内分别与医疗 coFay、保险 coFay 和药房 coFay 进行了多次交互。患者可以打开审计日志，看到类似这样的记录："4月3日 14:23，医疗 coFay 访问了您的过敏史（授权范围：诊断相关数据）"、"4月5日 09:15，保险 coFay 通过回调凭证访问了诊断编码和费用明细（凭证已于 4月5日 17:00 过期）"。这就像查看银行账户的交易流水——每一笔"数据交易"都有据可查。