这项由新西兰奥克兰Helixar Limited公司开展的开创性研究于2026年3月发表,并已提交给互联网工程任务组(IETF)作为Internet-Draft(草案编号:draft-helixar-hdp-agentic-delegation-00)。有兴趣深入了解技术细节的读者可以通过该草案编号在IETF官方网站查询完整的协议规范。
当下的人工智能正在经历一场革命性的变化。不再是简单地回答问题或生成文本,AI系统现在能够像真正的助手一样,接受复杂任务并自主执行多个步骤来完成目标。这些被称为"代理式AI系统"的新技术,就像是拥有了思考能力的数字员工,它们能够分解任务、调用工具、操作文件,甚至进行金融交易。
然而,这种强大能力也带来了一个前所未有的问题:当AI代理链式执行任务时,我们如何确保每一个动作都真正来自于人类的授权?设想这样一个场景:你告诉一个AI助手"帮我整理这个月的财务报告",这个助手随后指派另一个专门处理数据的AI去读取银行记录,数据AI又调用第三个AI去执行实际的文件操作。如果最终有人的银行账户被意外修改,我们如何证明这个动作确实源于你最初的授权,而不是某种恶意攻击?
这正是Helixar Limited团队要解决的核心问题。他们开发了一个名为"人类委托溯源协议"(Human Delegation Provenance,简称HDP)的创新方案,这个协议就像是给AI代理之间的每一次任务传递都加上了一个防伪标签,确保从人类授权到最终执行的整个过程都可以被完整追溯和验证。
一、现有授权系统的困境:为什么传统方法不适用于AI代理
在传统的计算机世界里,我们早就习惯了各种身份验证和授权机制。当你登录银行网站时,输入用户名密码就是一种授权;当一个应用请求访问你的照片时,弹出的确认对话框也是一种授权机制。这些现有的系统,比如广泛使用的OAuth 2.0协议,就像是为人类设计的门禁系统——每次需要权限时,都要求人类亲自"刷卡"确认。
但AI代理系统的运作方式完全不同。它们更像是一个多层级的公司组织:总经理(主控AI)接到任务后,会分派给部门经理(专业AI),部门经理再分派给具体员工(执行AI)。在这个过程中,可能会有十几个甚至更多的AI参与,每个都在前一个的授权基础上执行自己的任务。问题在于,当最后一个AI执行具体操作时,它怎么知道这个指令真的来自最初的人类授权,而不是中途被恶意插入的假指令?
研究团队发现,现有的几个主要协议都无法很好地解决这个问题。OAuth 2.0虽然支持代理授权,但它要求每一步都要连接到中央服务器进行验证,这在AI代理快速连锁执行任务的场景下既不现实也不高效。JSON Web Token(JWT)虽然能承载一些授权信息,但它无法记录完整的代理链条历史。即使是相对较新的UCAN(用户控制授权网络)和Intent Provenance Protocol(意图溯源协议)也各有局限性,要么需要复杂的基础设施,要么需要连接第三方信任锚点。
更关键的是,这些系统都没有考虑到AI代理面临的一个独特威胁:提示注入攻击。这就像是有人在传话游戏中故意插入假消息,导致最后的执行者收到完全错误的指令。当AI代理在处理网页、文档或数据库信息时,恶意内容可能会伪装成合法指令,让AI误以为这是来自上级的正当委托。
二、HDP协议的核心创新:像传递接力棒一样记录每一步授权
面对这些挑战,Helixar团队设计的HDP协议采用了一个既简单又巧妙的思路:既然问题是无法追溯授权链条,那就让每一个参与的AI都在一个共同的"记录本"上签名,记录自己接收到指令并将要执行的动作。
具体来说,HDP协议的工作原理就像一个特殊的接力棒传递系统。当人类最初授权一个任务时,系统会创建一个数字令牌(Token),这个令牌就像是一份正式的委托书,上面记录着授权人的身份、具体授权内容、有效期限等信息。最重要的是,这份委托书使用了极难伪造的数字签名技术(Ed25519算法),确保任何人都无法篡改其中的内容。
当第一个AI代理接收到这个令牌后,它会验证签名的有效性,确认这确实是来自合法授权。然后,它会在令牌上添加一个新的记录,说明自己收到了什么指令,准备执行什么动作,并用同样的数字签名技术为这个新记录签名。这样,令牌就变成了一个不断增长的链条,记录着每一个代理的参与历史。
这个设计的巧妙之处在于,后面的每一个AI代理都能通过验证整个链条的签名来确认两件事:首先,最初的授权确实来自合法的人类用户;其次,中间的每一步传递都没有被篡改或伪造。就像验证一份多人签名的合同,每个签名都必须真实有效,整份合同才有法律效力。
协议还引入了一个重要的安全机制:会话绑定。这就像是给每次任务执行都分配一个独特的"房间号",令牌只在对应的房间内有效。这样,即使有人截获了令牌,也无法在其他会话中重复使用,大大降低了被恶意利用的风险。
三、令牌结构设计:一份完整的数字委托书
HDP令牌的设计就像是一份经过精心设计的法律文书,包含了追溯责任所需的所有关键信息。令牌主要由六个部分组成,每个部分都有其特定的用途和重要性。
令牌的第一部分是协议版本标识,这就像文档的格式声明,确保不同版本的系统能够正确解读令牌内容。紧接着是头部信息,记录着令牌的基本属性:一个全球唯一的标识符、创建时间、过期时间(默认24小时)、会话标识符等。这些信息就像是文件的"身份证",让任何人都能清楚地知道这个令牌的来源和有效期。
第三部分记录着最关键的授权人信息。这里不仅包含授权人的身份标识,还支持多种身份类型:可以是简单的内部编号、电子邮件地址、通用唯一标识符,甚至是符合W3C标准的去中心化身份标识符。值得注意的是,协议在设计时特别考虑了隐私保护,允许使用不透明的标识符,避免泄露个人身份信息。
第四部分是授权范围声明,这可能是整个令牌中最重要的部分。它记录着人类用户具体授权了什么操作,比如"整理三月份的财务数据并生成报告"这样的自然语言描述。同时,它还包含重要的约束条件:允许访问的数据等级(公开、内部、机密、限制级)、是否允许网络外部通信、是否允许持久化存储数据等。这些约束就像是给代理设定的"行动边界",确保它们不会超出授权范围。
第五部分是代理链记录,这是HDP协议的核心创新所在。每当一个AI代理接收并传递任务时,都会在这个链条上添加一个新的"环节",记录自己的身份、接收时间、准备执行的动作摘要等。每个环节都包含指向前一个环节的引用,形成一个完整的历史轨迹。更重要的是,每个环节都有独立的数字签名,确保任何篡改都会被立即发现。
最后一部分是根签名,这是整个令牌安全性的基石。它使用业界认可的Ed25519算法对除自身以外的所有内容进行签名,确保令牌的完整性。任何人只要有授权人的公钥,就能验证这个签名的真实性,而不需要连接任何外部服务或第三方权威机构。
四、密码学安全保障:坚不可摧的数字签名体系
HDP协议的安全性建立在现代密码学的坚实基础之上。协议选择了Ed25519数字签名算法,这是目前公认的最安全、最高效的签名算法之一。与传统的RSA算法相比,Ed25519不仅安全性更高,计算速度也快得多,非常适合需要频繁验证的AI代理系统。
Ed25519的安全性可以这样理解:假设你有一把极其复杂的锁,这把锁有2的255次方种不同的钥匙组合。即使用当今最强大的计算机,想要通过暴力破解找到正确的钥匙,也需要比宇宙年龄还要长的时间。每个授权人都有一对这样的数字钥匙:一把私钥用于签名,一把公钥用于验证。私钥绝对保密,公钥可以公开分享给任何需要验证的人。
令牌的签名过程经过精心设计,确保了最高级别的安全性。当创建根签名时,系统首先将令牌内容按照RFC 8785标准进行规范化处理,这就像是将文档按照统一格式排版,确保同样的内容总是产生同样的签名。然后使用私钥对这个规范化内容进行签名,产生一个独特的数字指纹。
代理链中每个环节的签名机制更加巧妙。当一个AI代理要添加新的环节时,它的签名不仅覆盖自己的动作记录,还包括根签名和之前所有环节的内容。这种链式签名的设计意味着,任何对历史记录的篡改都会导致后续所有签名失效,就像多米诺骨牌效应一样,一旦有一个环节被破坏,整个链条的完整性就会暴露问题。
协议还实现了完全离线的验证能力,这是相对于现有系统的一个重大优势。验证者只需要三样东西:授权人的公钥、当前会话标识符和当前时间。无需连接互联网,无需查询数据库,无需依赖任何第三方服务。这种设计不仅提高了验证效率,也大大增强了系统的可靠性和适用性,特别是在网络环境不稳定或对延迟要求极高的场景中。
五、验证流程:七步确保万无一失
HDP协议的验证过程就像是一个经验丰富的侦探办案,通过七个严格的步骤来确认令牌的真实性和完整性。每一步都是必须的,任何一步失败都会立即拒绝整个令牌,绝不放过任何可疑之处。
第一步是版本检查,确保令牌使用的协议版本与当前系统兼容。这就像确认对方说的是同一种语言,避免因为版本不匹配导致误解。第二步检查令牌是否已经过期,这是最基本的时效性验证,防止有人使用过时的授权令牌。
第三步是整个验证过程的核心:根签名验证。系统会重新构造令牌的签名内容,然后使用授权人的公钥验证签名是否正确。这一步确保了令牌确实来自声称的授权人,而且内容没有被篡改。如果这一步失败,说明要么令牌是伪造的,要么内容被人恶意修改过。
第四步检查代理链的序列完整性。系统会逐一检查每个环节的序号是否连续,是否有重复或缺失。这就像检查一条珍珠项链,确保每颗珍珠都在正确的位置上,没有断裂或错乱。
第五步是最复杂也是最关键的:逐一验证每个代理环节的签名。系统需要重构每个环节签名时的确切内容,包括根签名、之前的所有环节以及当前环节的信息,然后验证签名的正确性。由于链式签名的设计,这一步实际上验证了整个代理历史的完整性。
第六步检查代理链的长度是否超过了授权范围中设定的最大跳数限制。这个机制防止代理链无限扩展,避免授权被滥用。第七步验证会话绑定,确保令牌只在正确的执行环境中使用,防止跨会话的恶意重放攻击。
这七个步骤的设计体现了"纵深防御"的安全理念,即使某一层防护出现问题,其他层次的检查仍能发现并阻止安全威胁。整个验证过程通常在几毫秒内完成,对系统性能的影响微乎其微。
六、应对提示注入攻击:构建可信的审计轨迹
提示注入攻击是AI代理系统面临的最狡猾的威胁之一。攻击者不需要直接侵入系统,而是通过在AI处理的数据中嵌入恶意指令来控制AI的行为。这就像是在传话游戏中故意插入假消息,让最后听到消息的人执行完全不同的动作。
HDP协议虽然无法完全防止提示注入攻击,但它提供了一个强大的检测和追责机制。当攻击成功诱导AI执行恶意动作时,会出现两种可能的情况,每种都能被HDP协议有效识别。
第一种情况是AI在攻击诱导下执行了动作,但没有在HDP链条中记录这个动作。这会在审计时产生一个明显的缺口:有执行记录但没有对应的授权轨迹。就像银行账户出现了异常交易,但在授权记录中找不到对应的批准文件。这种不一致立即暴露了问题的存在。
第二种情况是攻击者试图在HDP链条中伪造一个授权环节来掩盖恶意动作。但由于每个环节都需要用授权人的私钥进行签名,而攻击者不可能获得这个私钥(除非发生密钥泄露这种严重的安全事故),伪造的环节会在验证时立即被发现。
还有一种更隐蔽的攻击方式:诱导一个合法的AI代理记录一个看似正常但实际误导性的动作摘要。比如,攻击让AI执行"删除所有用户数据",但在HDP链条中记录为"清理临时文件"。HDP协议本身无法检测这种语义层面的欺骗,因为签名验证只能确保记录没有被篡改,不能判断记录内容是否准确反映了实际动作。
然而,这种限制实际上很合理,因为语义验证需要深度的上下文理解和业务逻辑判断,这应该由应用层的策略引擎来处理。HDP协议的价值在于提供了一个可信的、不可篡改的审计轨迹,让安全分析师能够在事后准确重构整个事件序列,识别出异常模式。
七、实际部署考量:性能、兼容性与用户体验
将HDP协议从理论转化为实际可用的系统需要考虑大量的工程实现细节。研究团队不仅设计了协议本身,还开发了完整的参考实现和部署指南,确保其他开发者能够轻松集成这项技术。
性能方面的表现令人印象深刻。Ed25519签名验证在现代硬件上只需要不到100微秒,即使是一个包含10个代理环节的复杂令牌,完整的验证过程也能在2毫秒内完成。这个速度足以支持高频率的AI代理交互,不会成为系统性能的瓶颈。令牌的大小也控制得很好,一个典型的10步代理链令牌大约只有4-8KB,在网络传输和存储方面都很高效。
协议的集成模式经过精心设计,能够无缝融入现有的AI代理框架。典型的集成流程是这样的:人类用户在会话开始时通过专门的SDK创建初始授权令牌,这个令牌被附加到传递给主控AI的任务上下文中。每个参与的AI代理在接收任务时都会验证令牌的有效性,然后添加自己的动作记录并将更新后的令牌传递给下游代理。最终的执行代理在实际执行操作前会进行最后一次完整的链条验证。
为了降低部署门槛,研究团队提供了多种编程语言的SDK实现。TypeScript版本已经在npm包管理器上发布,Python集成也针对流行的CrewAI和Model Context Protocol(MCP)框架进行了优化。这些工具使开发者能够用几行代码就完成HDP集成,而不需要深入了解底层的密码学细节。
令牌的传输机制也经过仔细考虑。协议支持通过HTTP头部字段传输完整的令牌内容,也支持通过引用方式传输令牌标识符并在服务端存储实际内容。为了安全起见,协议明确禁止在URL查询参数中传输令牌,因为这可能导致敏感信息在日志文件中泄露。
八、隐私保护与合规考量:平衡透明度与隐私需求
在设计HDP协议时,研究团队深刻意识到隐私保护的重要性。虽然追溯责任需要记录授权轨迹,但这不应该以牺牲用户隐私为代价。协议在多个层面实现了隐私保护机制,确保在满足审计需求的同时最大化保护个人隐私。
授权人身份信息的处理特别值得关注。协议支持使用完全不透明的标识符,这些标识符对外部观察者来说没有任何意义,但在需要时仍能被授权系统正确关联到具体用户。当AI代理不需要知道具体的人类身份时,可以完全省略显示名称等可识别信息。这种设计让组织能够根据自己的隐私政策灵活调整信息披露程度。
更进一步,协议的结构化设计允许在转发令牌时有选择地移除敏感信息。比如,某些内部AI代理可能只需要验证授权的有效性,而不需要知道具体的授权人身份。在这种情况下,可以创建一个"审计专用"版本的令牌,移除身份信息但保留验证所需的其他内容。当然,这样的令牌必须明确标记为已修改,且不能用于完整的签名验证。
在数据保护法规遵循方面,协议的设计考虑了GDPR等现代隐私法规的要求。当令牌包含个人身份信息时,它可能构成个人数据,需要按照相应法规进行处理。协议建议实施适当的数据保留控制,确保令牌在不再需要时能够被安全删除或匿名化。
密钥管理是整个系统安全性的基石,协议对此提出了严格的要求。授权人的私钥必须存储在安全管理器、硬件安全模块或等效的安全环境中,绝对不能以明文形式出现在源代码、配置文件或环境变量中。协议还支持密钥轮换机制,允许在不影响现有令牌验证的情况下更新密钥,为长期安全运营提供了必要的灵活性。
九、当前限制与未来发展:持续改进的技术路线图
尽管HDP协议在解决AI代理授权追溯问题方面取得了重要突破,但研究团队也坦诚地承认当前版本的一些限制,并制定了清晰的技术发展路线图。
当前最主要的限制是所有签名都使用授权人的私钥,这意味着代理环节的签名只能证明某个动作被记录在令牌中,而不能证明特定的AI代理确实执行了该动作。这种设计简化了密钥管理,但在某些需要严格身份验证的场景中可能不够充分。HDP协议的下一个版本将引入多密钥机制,允许每个AI代理使用自己的密钥进行签名,通过阈值签名或多重签名方案实现更精确的身份验证。
另一个重要限制是协议只记录授权轨迹,不负责执行语义层面的权限检查。比如,如果授权范围是"整理财务数据",协议无法自动判断"删除所有文件"这个动作是否超出了授权范围。这种语义验证需要与运行时策略执行系统集成,比如MI9或CaMeL等专门的AI治理框架。研究团队计划在后续版本中定义标准接口,使HDP协议能够更好地与这些系统协作。
多主体同时授权的支持也有待改进。当前版本通过顺序链接的方式实现多人授权,要求授权人按顺序签名。在某些需要多人同时授权的场景中,这种方式可能不够灵活。未来版本将引入同时多重签名机制,支持M-of-N的授权模式,比如要求5个管理人员中至少3个同意才能执行某项敏感操作。
标准化进程也是研究团队关注的重点。目前HDP协议是作为个人提交的IETF草案,要推进到工作组采纳和最终标准化还需要更多的社区参与和实际部署经验。研究团队正在积极收集用户反馈,完善协议规范,并与OpenID基金会的代理身份工作进行协调,确保不同标准之间的兼容性。
十、与行业发展的深度融合:构建可信AI生态系统
HDP协议的意义远远超出了技术本身,它代表着AI行业在安全性和可信度方面的一次重要进步。随着各国政府加强对AI系统的监管,如欧盟的AI法案和美国NIST的AI风险管理框架,像HDP这样的技术基础设施将变得越来越重要。
当前AI代理系统的一个严重问题是缺乏标准的责任追溯机制。根据2025年AI代理指数的调查,在30个被调研的商业AI代理系统中,只有一个(ChatGPT Agent)实现了任何形式的加密请求签名。这种普遍的安全缺失使得组织很难证明AI系统的具体行为,也增加了监管合规的风险。
HDP协议的推广应用将有助于建立行业标准的安全基线。当越来越多的AI代理系统采用类似的授权追溯机制时,整个生态系统的可信度将显著提升。这不仅有利于用户信任的建立,也为监管机构提供了评估和审查AI系统的标准化工具。
协议的开源特性和最小化基础设施需求也使其具有广泛的适用性。无论是大型企业的复杂AI系统,还是小型组织的简单自动化工具,都能以相对较低的成本集成HDP协议。这种包容性设计有助于在整个行业推广安全最佳实践,而不仅仅局限于资源充足的大公司。
从长远来看,HDP协议可能成为更广泛的AI治理框架的重要组成部分。当与其他技术如零知识证明、同态加密、联邦学习等结合时,可以构建出既保护隐私又确保可审计性的下一代AI系统。这种技术融合将为实现真正可信的AI奠定坚实基础。
说到底,HDP协议解决的是一个看似技术性但实际上关乎每个人的问题:在AI越来越深入我们生活的时代,我们如何确保这些强大的工具始终在人类的控制和监督之下?通过提供一个简单、可靠、标准化的授权追溯机制,HDP协议为构建可信AI生态系统迈出了重要一步。
当然,技术只是解决方案的一部分。真正的可信AI还需要完善的法律框架、行业自律、用户教育等多方面的共同努力。但正如研究团队所指出的,没有坚实的技术基础,这些上层建筑都将是空中楼阁。HDP协议提供的正是这样一个可靠的技术基石,让我们能够在享受AI便利的同时,保持对其行为的有效监督和控制。
随着更多组织开始部署和使用HDP协议,我们有理由相信,一个更加透明、可信、负责任的AI未来正在逐步成为现实。这不仅是技术进步的体现,更是人类社会在AI时代维护自主性和尊严的重要胜利。
Q&A
Q1:HDP协议是什么,它解决了AI代理系统的什么问题?
A:HDP(人类委托溯源协议)是由新西兰Helixar公司开发的一种数字授权追踪技术。它解决了AI代理系统中的核心问题:当多个AI依次执行任务时,如何证明最终的操作确实来自人类的原始授权,而不是中途被恶意攻击插入的假指令。就像给AI之间的任务传递加上防伪标签,确保整个执行链条都可以被完整追溯。
Q2:HDP协议如何防止AI代理被恶意攻击控制?
A:HDP协议通过数字签名技术创建不可伪造的授权记录链。每个AI代理在接收和传递任务时都要在共同的"记录本"上签名,记录自己的动作。如果有攻击者试图插入恶意指令,要么会在审计时发现动作没有对应的授权记录,要么伪造的授权记录会因为缺少正确的数字签名而被立即识别。
Q3:普通企业如何使用HDP协议来保护自己的AI系统?
A:企业可以通过Helixar提供的开源SDK轻松集成HDP协议。集成过程只需几行代码,支持TypeScript和Python等主流编程语言。企业无需搭建复杂的基础设施,也不需要连接第三方服务,所有验证都可以在本地完成。这使得无论大小企业都能以较低成本为自己的AI代理系统添加授权追溯能力。