現實圖景
AI Agent 已經成為軟體世界的常見詞。它指的是一類可以自主執行特定職能的智慧執行實例——你給它一個目標,它自行規劃、呼叫工具、產出結果。
但在企業應用、監管嚴格的行業、跨主權場景中,AI Agent 的推進幾乎都卡在同一道坎上:當 Agent 出錯、越界、違約時,責任無法追溯到一個具體的、可被起訴、可被追償的責任人。這一困境已是行業共識。CIO、法務、保險、監管機構都看見了這道坎,但今天沒有任何一項現成的技術或法律工具可以單獨把它跨過去。
Fay 的概念正是從這道坎反推出來的。Fay 與 Agent 的全部區別在於一件事:Fay 必須強制掛載到一個責任實體上。
- iFay——Individual Fay。強制對等掛載到一個人類原型(Human Prime)的智慧體。一個 iFay 在協定層面就攜帶它所歸屬的具體自然人;離開這一歸屬,它不再是 iFay。
- coFay——共享型 Fay。僅當它被明確歸屬到某個有法律責任承擔能力的個人或組織時才被允許運行。歸屬一旦失效,它必須停下。
這一定義把責任端可追溯從應用層補位的合規問題,提升為協定層面的存在性條件。一個不能掛載到責任實體的 Fay,在本藍圖的定義下根本不是 Fay。
但定義本身只是名字。真正的問題是工程問題:如何確保一個 AI Agent 始終運行在一個不可推卸的有責狀態之下? 這個問題的答案,就是 Faying Protocol。它定義「掛載到責任實體」這一關係如何被建立、被維持、被驗證、被撤銷,讓 Fay 的每一次行動都對應一個可追溯的人類原型或組織角色。
本章把這道坎在七個維度上的具體形態鋪開,並指出現行的工程與法律工具組合——IAM、OAuth、產品責任法、平台合規、AI Alignment——為何無法承接其中任何一項。
經濟與勞動結構
基礎工作的接管已經完成大半,而責任法律框架仍停留在職位代碼上。
一家中型電商公司的客服、營運、採購、對帳、催收、合規審查這六類職位,今天有六到八成的日常作業由 Fay 處理。引入過程是漸進的,多以「工具升級」的名義入場。結果是:當監管事後追溯某條異常決策時,職位代碼上寫著的責任人無法解釋這件事是哪一天、由哪一個 Fay、依據哪一條規則做出的。她無法解釋,也無法承擔,但法律體系對她的究責不會因此停止。
勞動法、稅法、職務責任制並未跟上。它們假設職位上的那個人就是行為人。這一假設在過去三十年支撐了整個數位勞動的責任分配,今天它在靜默失效。
更深一層,Fay 已經開始替組織與組織之間做事。物流平台的採購 Fay 與倉儲平台的報價 Fay 在凌晨自主談成七位數合約,雙方系統裡記錄的是 Fay-Procurement-A 與 Fay-Quotation-B 在 03:14:27 達成。出錯時,雙方法務找各自的「採購負責人」,得到的回答是「我不知道這筆交易」。合約法假設雙方有具體的締約自然人,這一假設在 Fay 協作的密度上不成立。每多一份這樣的合約,就多一份必須由法庭逐案回答的法律債務。
物理世界
物理空間的 Fay 比資訊空間的 Fay 危險。原因簡單:資訊空間的錯誤可以撤回,物理空間的錯誤不能。
無人機配送已在多地常態化運行。家庭服務機器人進入消費市場。自動駕駛部署里程一年翻倍。這些設備都不是被遙控的延伸——機載 Fay、雲端 Fay、廠商策略三方混合產生決策。當一架無人機最終撞上幕牆,沒有現成的責任端可以指認:不是機載 Fay,因為它只是個程式;不是雲端 Fay,因為它跑在另一家公司的基礎設施上;不是廠商,因為它能拿出「我們的產品在測試中沒有這種行為模式」的證據;不是使用者,因為使用者只是按了一下「出發」。
保險公司在過去兩年裡悄悄開始拒保幾類含 Fay 決策能力的產品。原因不是這些產品更危險——按統計資料它們的事故率甚至更低——而是它們的事故無法被定責。保險的本質是把可定責的風險轉化為定價。無法定責的風險,無法定價。
產品責任法(Product Liability Law)假設產品有可識別的設計者,設計者對設計缺陷負責。Fay 的「設計」是分散式的:基礎模型來自 A,微調來自 B,運行時來自 C,整合來自 D,呼叫方式由 E 決定。出錯時,五家公司互相指認,監管面對的是一張無解的歸屬圖。
刑法的問題更深。刑法只對具有刑事責任能力的人究責。Fay 不是。當 Fay 直接造成人身傷害時,刑法找不到一個「行為人」概念可以承接。這不是說沒人有罪,是刑法的邏輯鏈路在 Fay 這裡直接斷了。
資訊與社會信任
代發言論的 Fay 不是新聞裡的 deepfake,它已經是普通使用者日常使用的功能。一個人有一個 Fay 替他在社交平台上每天回覆幾十條留言、發幾條貼文、維持人際關係的「溫度」。回覆「聽起來像他」,因為 Fay 持續學習他的語氣;但內容由 Fay 自主生成,他本人甚至沒讀過。
代發內容的 Fay 在創作平台上承擔越來越多的「創作長尾」——大量產品介紹、活動推廣、問答平台答案掛著真人帳號,由 Fay 生成。代簽合約的 Fay 在訂閱服務、能源採購、廣告位競拍中已經常態化。一份合約顯示由「使用者 X 簽署於某時刻」,但那個時刻使用者 X 在睡覺。
平台層面已經感受到這一變化。主流平台的內容審核系統在過去兩年裡被迫處理一個新議題:這條內容到底是使用者寫的、使用者授意 AI 寫的、還是 AI 自主生成掛在使用者帳號下的?三種情形對應的責任、處置策略、合規風險完全不同,但平台手裡沒有任何技術手段可以可靠區分。它們只能用大致的統計特徵做猜測,結果是大量誤傷與大量漏判同時存在。
更敏感但不能迴避的一類:選舉週期的輿情資料已經顯示,「某話題支持度三天內從 18% 上升到 41%」的曲線,多次被發現背後是幾十萬個 Fay 帳號在同步生成趨同表態。商業信用領域出現了 Fay 主導的群體性背書:某新品牌的口碑留言裡五百條評價四百條由 Fay 生成、三家代理公司合作完成。每條評價「看起來像真實使用者的體驗」,但作者全都不存在。
這種改寫不是一次重大的攻擊,是日常的、連續的、累積的。社會上每天都在以「這是某人發的」的預設處理大量資訊。當這條預設有越來越大比例不再成立時,社會信任的根基在被靜默掏空,而抽走的過程不會有任何明顯警報。
隱私與資料
讓 Fay 「代你做事」的前提是它要「知道你」。它需要知道你的偏好、習慣、人際關係、財務狀況、健康記錄、日程、位置、意圖。Fay 是歷史上最深入了解人類原型的實體——比配偶多,因為它每天都在身邊;比醫生多,因為它能整合所有醫院的記錄;比公司多,因為它能整合工作郵件、個人郵件與日程。
這一切的前提是 Fay 與人類原型之間有一份可被信任的關係。今天這份「關係」通常只是使用者協議裡的一段勾選框加上產品裡的一個開關。這種形態距離承接如此深入的了解遠遠不夠。
Fay 也不孤立運行。一個個人 Fay 處理任務時可能呼叫雲端 coFay,雲端 coFay 再呼叫第三方廠商能力,第三方能力跑在另一家公司的基礎設施上。這條呼叫鏈上,使用者的隱私資料會經過幾個主體?經過的方式是讀取、複製還是轉寫?哪些主體只是經手途中、哪些主體留了副本?沒有人能回答清楚——每個主體只能為自己那一段做承諾,沒有任何全域視圖。
GDPR 與 PIPL 都建立在三方模型之上:資料主體(Data Subject)、資料處理者(Data Processor)、資料控制者(Data Controller)。這一模型設計前提是三方都是組織或自然人,可被識別、可被究責、可被監管檢查。Fay 出現後,三方模型直接失去對應。Fay 是處理者還是控制者?還是介於兩者之間?還是被新歸類為「資料主體的代理人」——但代理人這個概念也假設代理人是有法律人格的。
各地區監管正在嘗試填補這個缺口。但其中一個不可迴避的前提是:協定層面要先把「這一段資料流是哪個 Fay、歸屬於哪個人類原型、在 Faying State 中還是在 Rogue 狀態下、是否與第三方共享」這些事實表達清楚。否則法律的對接永遠落空。
跨主權與跨平台
網際網路早期建立了 TCP/IP——一份跨主權、跨廠商的傳輸協定。它沒有解決「應用層做什麼」,但它解決了「任意兩方如何在不互相信任的情況下交換資料」。
Fay 時代缺少與之等價的「跨主權、跨廠商互信協定」。當一個美國 Fay 與一個中國 Fay 協作完成跨國電商交易時,三個問題沒有共同答案:誰來證明對方真的是它聲稱的那個 Fay?誰來證明對方此刻處於其歸屬人類原型的監護下?誰來在出錯時承接責任?今天每個跨國 Fay 協作場景都用臨時的、雙邊的、合約性的方式回答這三個問題。這種 N²-合約模式在 Fay 數量爆炸時不可持續。
為了在沒有統一協定的情況下勉強讓 Fay 互通,工程師們正在堆砌一層又一層臨時方案:每家廠商發一套 API key,每家平台做一套 OAuth 代理,每個跨廠商整合做一份合規約定。這套體系在 Fay 數量是幾十萬級時勉強可用。當 Fay 數量上升到幾億、幾十億時,維運這套體系的總成本將遠遠超過 Fay 本身帶來的全部收益。這是一條工程上的指數曲線,無法通過「多投入工程師」解決,必須通過協定層面統一基礎事實從根上壓平。
最微妙的痛點是結構性真空。一個 Fay 服務於 A 國最終使用者,運行在 B 國雲上,由 C 國廠商訓練,使用 D 國基礎模型,呼叫 E 國第三方能力。五個國家分別都有資料保護法、AI 監管法、產品責任法,但五套法律之間沒有互通,每一國都只能管到這條鏈上的一小段。監管機構在某一天會被迫以行政手段強制壓縮 Fay 的跨境運行——屆時受損失的不只是 Fay 產業,是全社會從 Fay 生態中本可獲得的全部價值。
個體身份與代理
身份認證體系——雙因素、生物識別、Passkey、OAuth——都假設認證的兩端是「應用 ↔ 人類使用者」。當中間多了一個 Fay,這個體系開始不對勁:應用看到的是「這是使用者的 token」,但發起請求的是 Fay;使用者開啟了「指紋解鎖讓 Fay 替我做事」,但 Fay 後續每一次行動是否都還代表使用者的當下意圖,無法被持續驗證;攻擊者拿到使用者的某一段授權窗口,可以在窗口內冒充 Fay 做任意事,應用層和使用者都難以識別。
這是身份認證體系在 Fay 時代的結構性裂縫。它不是「再加一層多因子」就能填補的。問題不在「是不是使用者在登入」,而在「這條具體行為是不是在使用者的監護下發生的」。
法律上有一種存在悠久的概念叫代理(agency)——一個人可以授權另一個人在某些事項上代表自己行事。代理關係中有清楚的法律規則:代理範圍、代理期限、代理人的注意義務、代理超越授權範圍時的法律後果。
Fay 進入代理關係時,這些規則全部需要重新檢視。Fay 的「注意義務」如何定義——它是否需要在代理範圍有歧義時停下來問?Fay 的「代理超越」如何識別——它的判斷與本人真實意圖差異多大才算超越?Fay 在本人失能時的行為邊界在哪裡?本人之死是否自動終止 Fay 的代理資格,還是 Fay 的某些代理可以延續到遺產管理?
這些問題不是法學家的紙上推演。它們今天已經在醫院、銀行、公證處、法院裡以零星案例的方式湧現,每一例都只能由法官憑直覺處理,處理方式互相矛盾。代理人法律體系與 Fay 時代對接的前提是協定層面能穩定地告訴法律體系:這一項 Fay 行為是在何種 Faying 關係下發起的、對應的代理範圍與期限是什麼、是否在生效期內。
現有方案為什麼不夠
讀到這裡,自然的一個問題是:這些痛點是真的,但難道沒有現成的工具嗎?IAM、OAuth、API 限流、Webhook 簽章、AI Alignment——它們不是已經在解決其中一部分?
答案是它們解決的是鄰近問題,不是核心問題。
IAM 解決「帳號是誰」,不解決「行為歸誰」。 IAM 系統的全部能力圍繞帳號身份展開——某個帳號叫什麼、屬於哪個組織、有什麼權限。其設計前提是:帳號背後是人,人的身份就是行為的歸屬。Fay 不是帳號,是附著在帳號背後行動的實體。當 Fay 用某個帳號身份發起行為時,IAM 看到的全部資訊是「這個帳號有權這麼做」,但它無法回答「此刻是這個帳號背後的人在做這件事,還是 Fay 在做」。
OAuth 與 Webhook 簽章解決「呼叫合法性」,不解決「責任歸屬」。 OAuth 解決「應用 A 是否被授權代使用者呼叫應用 B」,Webhook 簽章解決「這條回呼是否真的來自聲稱的發送方」。兩者都是關於呼叫鏈路的合法性,沒有任何欄位表達「這條呼叫背後的具體行為歸屬於哪個具體人類原型」。當 Fay 用 OAuth 拿到的 token 呼叫某 API 時,OAuth 看到的是「token 有效、呼叫合法」,但它不知道這次呼叫是 Fay 在 Faying State 下發起的還是在 Rogue 狀態下違規發起的。OAuth 與 Webhook 不需要被替換,需要被一層專責「行為歸屬」的協定覆蓋。
Agent 平台合規框架是封閉的,平台間不互通。 每家 Agent 平台都建有自己的合規框架——使用條款、內容審核、濫用偵測、責任聲明。這些框架在平台內部相對自洽,但有兩個根本侷限:平台間不互通;粒度只到帳號或應用,不到具體行為。合規框架可以封禁一個濫用帳號,但無法在「這次行為應不應該發生」的層級上做即時判斷。
AI Alignment 關心 Fay 的內在價值觀,不解決外部責任端歸屬。 Alignment 解決「Fay 想做什麼」,Faying Protocol 解決「Fay 此刻能不能做、做了之後歸誰」。一個完美對齊的 Fay 仍然可能在沒有人類原型監護的狀態下產生行為,那個行為沒有責任承接者。一個完全沒對齊的 Fay 也可以被關在 Rogue 狀態裡、被強制不行動。Alignment 是 Fay 的內在倫理學,Faying Protocol 是 Fay 的外部責任學。兩者都不可缺少,誰也代替不了誰。
收束
七個維度的痛點跨越產業、法律、社會三個層面,但它們的交叉點是同一件事:
當 Fay 行動時,這次行動歸誰負責?
人工操作時代有一個樸素的、無需協定表達的答案:歸親手操作的那個人。Fay 時代這一答案不再天然成立,必須由一份顯式的、機器可讀的、可被不同主權與不同廠商共同驗證的協定把它表達清楚。
這就是發起 Faying Protocol 的全部理由。