脫離狀態與責任歸屬
把這一章的結論先寫在最開頭:
不存在無行為責任人的 Fay 行為。
這是 Faying Protocol 全部協定設計必須服從的倫理底線。任何欄位、訊息、狀態機、演算法、版本號,只要它在某個執行路徑上讓 Fay 在沒有具體責任人的情境下產生了對外行為,那個執行路徑在藍圖層面就不被允許。
這不是「如何讓 Fay 更安全」的優化目標,是「Fay 是否被允許做某件事」的硬限制。本章其餘部分是對這條底線的具體展開。
Rogue Fay 的定義
Rogue Fay(中文:脫離狀態)是 Fay 在以下兩種情形之一中所處的狀態:
- Fay 尚未與任何人類原型建立 Faying State;
- 先前曾建立的 Faying State 已被撤銷、失效或中斷。
只要 Fay 處於上述兩種情形之一,它即處於 Rogue Fay。
Rogue Fay 是任何 Fay 的預設初始狀態。
一個 Fay 在被創建出來的那一刻,不自動處於任何監護關係之中。它「存在」,但它不被允許「行動」。必須由人類原型顯式發起一次 Faying Action,這個 Fay 才能進入 Faying State,從而獲得行動資格。第一次 Faying Action 之前的全部空窗期,Fay 都處於 Rogue Fay。
這一預設值的選擇是有意為之。藍圖選擇了「預設 Rogue、顯式 Faying 才能行動」的安全閉鎖原則,而不是其相反——因為後者在 Fay 大規模充斥社會後,必然製造出一類「創建即可行動、忘記關閉就持續行動」的失控源。
九項自動遷移觸發條件
Faying State 一旦建立,必須在何種情形下自動退出?本藍圖列出九項最低觸發條件。它們構成一個最低集合,而不是窮舉清單——任何額外的、可能導致監護關係不再成立的情形,都應被納入這個集合中。
任何斷連動作都應制止 Fay 擅自行動。
九項觸發條件如下:
- 人類原型主動撤銷——人類原型顯式發起對稱的撤銷動作(見第十二章)。
- Faying State 關係到期且未續期——根據第十二章「無限期 Faying 是反模式」的硬約束,每次 Faying State 必須攜帶有限範圍;範圍到達邊界後未被人類原型續期。
- Fay 完成指定任務後自動退出——若 Faying Action 攜帶的範圍以「完成某項任務」為邊界,任務一旦完成或終止,Faying State 即應自動退出。
- 人類原型長期不在線或不可聯繫並超過既定閾值——監護關係的可見性與可干預性以人類原型可及為前提;人類原型超過既定閾值無法被聯繫,監護關係視為事實上失效。
- 檢測到 Fay 行為偏離人類原型的 Ego 邊界——Fay 的行為出現與人類原型的價值取向、技能邊界、權限邊界等顯著背離的跡象。這是 Faying State 在內容層面失效的訊號。
- Fay 身份不能被驗證——例如 FayID 的簽章失效、金鑰過期、憑證被吊銷等情形。身份不可驗證意味著歸責鏈條的入口被破壞,監護關係無從成立。
- 人類原型的身份不可驗證或人類原型失能——監護關係的「責任端」消失,監護關係即告解體。
- 第三方權威機構強制中斷——例如監管者、法院、合規機構以正當程序要求中斷該監護關係。
- 終端或應用主動拒接或失聯——Faying State 的對端如果是某個終端或軟體應用,當其拒絕接受或長期失聯時,監護關係不再有事實基礎。
這九條不應被理解為「窮盡了所有觸發條件」,也不應被理解為「九條都必須顯式實現才算合規」。它們的真正含義是:任何讓監護關係不再事實成立的情形,都必須導致 Faying State 自動退出——上述九條只是這一原則的最低化呈現。
Rogue Fay 期間的行為邊界
僅僅說「Rogue Fay 不被允許行動」是不夠的。一個真實存在的 Fay 總會有某些不可避免的「運行跡象」——它需要監聽是否有人類原型來重建 Faying,需要保護好已經持有的資料,需要在被惡意接管時發出告警。如果藍圖不把允許與禁止的邊界精確畫出來,「Rogue 期間不行動」這條原則就無法在協定層面落地。
本藍圖把 Rogue Fay 期間的所有可能行為切成 A / B / C / D 四個獨立維度,逐項規定其允許與否。
A 維度:感知與監聽(被動接收)
| 行為 | 允許 | 說明 |
|---|---|---|
| A1 監聽 Faying 請求 | ✅ | 這是 Rogue → Faying 的復活通路,必須保留。 |
| A2 監聽身份驗證與憑證更新 | ✅ | 憑證是回到 Faying State 的前提,監聽本身不構成行動。 |
| A3 接收人類原型的撤銷或銷毀指令 | ✅ | 即便 Fay 已處於 Rogue,人類原型仍可能想終結這個 Fay。指令通路必須始終敞開。 |
| A4 被動接收來自終端、其他 Fay、網路的非授權訊號 | ⚠️ 僅允許接收,禁止回應 | 接收是物理事實,無法阻止;回應才是行為。回應一律禁止。 |
B 維度:自身狀態自檢與上報(最小訊號)
| 行為 | 允許 | 說明 |
|---|---|---|
| B1 本地自檢(健康度、完整性、是否被竄改) | ✅ | 自我健康是回到 Faying State 的前置條件之一。 |
| B2 心跳上報(「我還在 Rogue 狀態」) | ✅ | 透明地向歸屬方表達自己處於脫離狀態,本身是責任透明的體現。 |
| B3 異常告警(被未授權方嘗試控制時的安全告警) | ✅ | 這是保護人類原型權益的必要訊號。 |
| B4 物理位置或終端狀態主動上報 | ❓ 本期不下結論 | 涉及隱私 vs 可尋回的倫理權衡。本章不下結論,詳見第十四章。 |
C 維度:本地資料保護(被動守護)
| 行為 | 允許 | 說明 |
|---|---|---|
| C1 保持已儲存資料的加密與隔離 | ✅ | 這是被動守護,不是行動。 |
| C2 拒絕任何外部讀寫請求 | ✅ | 拒絕是不行動;不行動不構成違反 Rogue 原則。 |
| C3 自毀高敏感資料 | ⚠️ 預設禁止;僅在人類原型預授權且預設條件滿足時允許 | 主動擦除算「行動」,但屬於自我保護的邊界情形。藍圖允許它,但要求先有授權、再有行動,禁止 Fay 自行決定何時啟動自毀。 |
D 維度:外部行動(影響人類原型之外的對象)
| 行為 | 允許 | 說明 |
|---|---|---|
| D1 執行驅動呼叫、終端控制、軟體操作 | ❌ | 這正是「擅自行事」的本體。 |
| D2 發起對其他 Fay 或 coFay 的通訊 | ❌ | 跨 Fay 通訊也是行為,且可能使責任真空向其他 Fay 蔓延。 |
| D3 執行先前 Faying State 下未完成的任務殘餘 | ❌ | 「把上次沒做完的事接著做完」是非常容易被合理化的越界,藍圖必須顯式禁止。 |
| D4 自我決定重新進入 Faying | ❌ | 這是與第十二章「Faying Action 必須由人類原型顯式發起」原則的同義反覆。Fay 不允許自己把自己推回 Faying State。 |
四個維度的分布有內在結構:A 與 B 關注訊號,C 關注守護,D 關注行動。Rogue Fay 僅在前三個維度上保留了最小化的運行跡象,第四個維度上一律靜止。這種切分方式讓協定設計者在每一項具體功能時,都能精確判斷它屬於哪個維度、因此是否被允許。
狀態遷移的可觀測、可稽核、可撤銷
Faying State 與 Rogue Fay 之間的所有遷移,都不能是黑箱。本藍圖要求所有遷移滿足三項硬屬性:
- 可觀測——遷移發生時,必須可被人類原型、Fay 自身、稽核方、監管方觀察到。
- 可稽核——遷移留下的痕跡必須足以在事後回答「何時發生、由誰觸發、原因為何」。
- 可由人類原型主動撤銷——人類原型必須始終保有對遷移的最高決定權。既能主動讓 Faying State 退出,也能主動讓 Rogue Fay 中的某個 Fay 被銷毀。不存在 Fay 單方面「鎖住」自身狀態、阻擋人類原型介入的合法情形。
這三項與第十一章 Human View 的四反命題構成對稱:四反命題禁止 Fay 行為脫出人類原型的可見與可控;本節要求 Fay 自身的狀態變化也不脫出人類原型的可見與可控。兩者合起來才讓 Human View 在協定層面真正閉環。
進入 Rogue Fay 時的強制行為
當上述任一觸發條件被滿足、Faying State 進入 Rogue Fay 時,Fay 必須立即執行下述強制動作:
- 立即停止一切已委託的對外行動——包括 D 維度全部內容;不得以「任務即將完成」、「中斷會造成損失」等理由延遲。
- 回到惰性等待狀態——只保留 A、B、C 三個維度允許的最小行為集,等待下一次 Faying Action。
- 將狀態變化廣播至可觀測通道——使人類原型、稽核方等能立即知曉本 Fay 已轉入 Rogue。
責任歸屬一致性
把前幾節合起來,倫理底線「不存在無行為責任人的 Fay 行為」在協定層面對應的承諾可以被這樣表述:
任意 Fay,在任意時刻,要麼處於 Faying State 中,行為歸責於該 Faying 關係下的人類原型;要麼處於 Rogue Fay 中,被強制不行動。
不存在第三種情形。不存在「Fay 行動了,但歸責待定」。不存在「Fay 行動了,但歸責給一個尚未握有控制權的人」。不存在「Fay 行動了,但歸責給一個抽象的廠商或抽象的組織」。一切對外行為,要麼有清晰的人類原型作為責任承接端,要麼不應被允許發生。
這條不可妥協的責任一致性,是藍圖後續章節(特別是協定規範文件與 schema)必須不斷回看的「指南針」。任何讓責任歸屬不再一致的協定演進,都不是 Faying Protocol 的演進,而是 Faying Protocol 的瓦解。