新西蘭公司推出HDP協議，徹底解決AI執行任務的責任追溯難題

這項由新西蘭奧克蘭Helixar Limited公司開展的開創性研究于2026年3月發表，并已提交給互聯網工程任務組（IETF）作為Internet-Draft（草案編號：draft-helixar-hdp-agentic-delegation-00）。有興趣深入了解技術細節的讀者可以通過該草案編號在IETF官方網站查詢完整的協議規范。

當下的人工智能正在經歷一場革命性的變化。不再是簡單地回答問題或生成文本，AI系統現在能夠像真正的助手一樣，接受復雜任務并自主執行多個步驟來完成目標。這些被稱為"代理式AI系統"的新技術，就像是擁有了思考能力的數字員工，它們能夠分解任務、調用工具、操作文件，甚至進行金融交易。

然而，這種強大能力也帶來了一個前所未有的問題：當AI代理鏈式執行任務時，我們如何確保每一個動作都真正來自于人類的授權？設想這樣一個場景：你告訴一個AI助手"幫我整理這個月的財務報告"，這個助手隨后指派另一個專門處理數據的AI去讀取銀行記錄，數據AI又調用第三個AI去執行實際的文件操作。如果最終有人的銀行賬戶被意外修改，我們如何證明這個動作確實源于你最初的授權，而不是某種惡意攻擊？

這正是Helixar Limited團隊要解決的核心問題。他們開發了一個名為"人類委托溯源協議"（Human Delegation Provenance，簡稱HDP）的創新方案，這個協議就像是給AI代理之間的每一次任務傳遞都加上了一個防偽標簽，確保從人類授權到最終執行的整個過程都可以被完整追溯和驗證。

一、現有授權系統的困境：為什么傳統方法不適用于AI代理

在傳統的計算機世界里，我們早就習慣了各種身份驗證和授權機制。當你登錄銀行網站時，輸入用戶名密碼就是一種授權；當一個應用請求訪問你的照片時，彈出的確認對話框也是一種授權機制。這些現有的系統，比如廣泛使用的OAuth 2.0協議，就像是為人類設計的門禁系統——每次需要權限時，都要求人類親自"刷卡"確認。

但AI代理系統的運作方式完全不同。它們更像是一個多層級的公司組織：總經理（主控AI）接到任務后，會分派給部門經理（專業AI），部門經理再分派給具體員工（執行AI）。在這個過程中，可能會有十幾個甚至更多的AI參與，每個都在前一個的授權基礎上執行自己的任務。問題在于，當最后一個AI執行具體操作時，它怎么知道這個指令真的來自最初的人類授權，而不是中途被惡意插入的假指令？

研究團隊發現，現有的幾個主要協議都無法很好地解決這個問題。OAuth 2.0雖然支持代理授權，但它要求每一步都要連接到中央服務器進行驗證，這在AI代理快速連鎖執行任務的場景下既不現實也不高效。JSON Web Token（JWT）雖然能承載一些授權信息，但它無法記錄完整的代理鏈條歷史。即使是相對較新的UCAN（用戶控制授權網絡）和Intent Provenance Protocol（意圖溯源協議）也各有局限性，要么需要復雜的基礎設施，要么需要連接第三方信任錨點。

更關鍵的是，這些系統都沒有考慮到AI代理面臨的一個獨特威脅：提示注入攻擊。這就像是有人在傳話游戲中故意插入假消息，導致最后的執行者收到完全錯誤的指令。當AI代理在處理網頁、文檔或數據庫信息時，惡意內容可能會偽裝成合法指令，讓AI誤以為這是來自上級的正當委托。

二、HDP協議的核心創新：像傳遞接力棒一樣記錄每一步授權

面對這些挑戰，Helixar團隊設計的HDP協議采用了一個既簡單又巧妙的思路：既然問題是無法追溯授權鏈條，那就讓每一個參與的AI都在一個共同的"記錄本"上簽名，記錄自己接收到指令并將要執行的動作。

具體來說，HDP協議的工作原理就像一個特殊的接力棒傳遞系統。當人類最初授權一個任務時，系統會創建一個數字令牌（Token），這個令牌就像是一份正式的委托書，上面記錄著授權人的身份、具體授權內容、有效期限等信息。最重要的是，這份委托書使用了極難偽造的數字簽名技術（Ed25519算法），確保任何人都無法篡改其中的內容。

當第一個AI代理接收到這個令牌后，它會驗證簽名的有效性，確認這確實是來自合法授權。然后，它會在令牌上添加一個新的記錄，說明自己收到了什么指令，準備執行什么動作，并用同樣的數字簽名技術為這個新記錄簽名。這樣，令牌就變成了一個不斷增長的鏈條，記錄著每一個代理的參與歷史。

這個設計的巧妙之處在于，后面的每一個AI代理都能通過驗證整個鏈條的簽名來確認兩件事：首先，最初的授權確實來自合法的人類用戶；其次，中間的每一步傳遞都沒有被篡改或偽造。就像驗證一份多人簽名的合同，每個簽名都必須真實有效，整份合同才有法律效力。

協議還引入了一個重要的安全機制：會話綁定。這就像是給每次任務執行都分配一個獨特的"房間號"，令牌只在對應的房間內有效。這樣，即使有人截獲了令牌，也無法在其他會話中重復使用，大大降低了被惡意利用的風險。

三、令牌結構設計：一份完整的數字委托書

HDP令牌的設計就像是一份經過精心設計的法律文書，包含了追溯責任所需的所有關鍵信息。令牌主要由六個部分組成，每個部分都有其特定的用途和重要性。

令牌的第一部分是協議版本標識，這就像文檔的格式聲明，確保不同版本的系統能夠正確解讀令牌內容。緊接著是頭部信息，記錄著令牌的基本屬性：一個全球唯一的標識符、創建時間、過期時間（默認24小時）、會話標識符等。這些信息就像是文件的"身份證"，讓任何人都能清楚地知道這個令牌的來源和有效期。

第三部分記錄著最關鍵的授權人信息。這里不僅包含授權人的身份標識，還支持多種身份類型：可以是簡單的內部編號、電子郵件地址、通用唯一標識符，甚至是符合W3C標準的去中心化身份標識符。值得注意的是，協議在設計時特別考慮了隱私保護，允許使用不透明的標識符，避免泄露個人身份信息。

第四部分是授權范圍聲明，這可能是整個令牌中最重要的部分。它記錄著人類用戶具體授權了什么操作，比如"整理三月份的財務數據并生成報告"這樣的自然語言描述。同時，它還包含重要的約束條件：允許訪問的數據等級（公開、內部、機密、限制級）、是否允許網絡外部通信、是否允許持久化存儲數據等。這些約束就像是給代理設定的"行動邊界"，確保它們不會超出授權范圍。

第五部分是代理鏈記錄，這是HDP協議的核心創新所在。每當一個AI代理接收并傳遞任務時，都會在這個鏈條上添加一個新的"環節"，記錄自己的身份、接收時間、準備執行的動作摘要等。每個環節都包含指向前一個環節的引用，形成一個完整的歷史軌跡。更重要的是，每個環節都有獨立的數字簽名，確保任何篡改都會被立即發現。

最后一部分是根簽名，這是整個令牌安全性的基石。它使用業界認可的Ed25519算法對除自身以外的所有內容進行簽名，確保令牌的完整性。任何人只要有授權人的公鑰，就能驗證這個簽名的真實性，而不需要連接任何外部服務或第三方權威機構。

四、密碼學安全保障：堅不可摧的數字簽名體系

HDP協議的安全性建立在現代密碼學的堅實基礎之上。協議選擇了Ed25519數字簽名算法，這是目前公認的最安全、最高效的簽名算法之一。與傳統的RSA算法相比，Ed25519不僅安全性更高，計算速度也快得多，非常適合需要頻繁驗證的AI代理系統。

Ed25519的安全性可以這樣理解：假設你有一把極其復雜的鎖，這把鎖有2的255次方種不同的鑰匙組合。即使用當今最強大的計算機，想要通過暴力破解找到正確的鑰匙，也需要比宇宙年齡還要長的時間。每個授權人都有一對這樣的數字鑰匙：一把私鑰用于簽名，一把公鑰用于驗證。私鑰絕對保密，公鑰可以公開分享給任何需要驗證的人。

令牌的簽名過程經過精心設計，確保了最高級別的安全性。當創建根簽名時，系統首先將令牌內容按照RFC 8785標準進行規范化處理，這就像是將文檔按照統一格式排版，確保同樣的內容總是產生同樣的簽名。然后使用私鑰對這個規范化內容進行簽名，產生一個獨特的數字指紋。

代理鏈中每個環節的簽名機制更加巧妙。當一個AI代理要添加新的環節時，它的簽名不僅覆蓋自己的動作記錄，還包括根簽名和之前所有環節的內容。這種鏈式簽名的設計意味著，任何對歷史記錄的篡改都會導致后續所有簽名失效，就像多米諾骨牌效應一樣，一旦有一個環節被破壞，整個鏈條的完整性就會暴露問題。

協議還實現了完全離線的驗證能力，這是相對于現有系統的一個重大優勢。驗證者只需要三樣東西：授權人的公鑰、當前會話標識符和當前時間。無需連接互聯網，無需查詢數據庫，無需依賴任何第三方服務。這種設計不僅提高了驗證效率，也大大增強了系統的可靠性和適用性，特別是在網絡環境不穩定或對延遲要求極高的場景中。

五、驗證流程：七步確保萬無一失

HDP協議的驗證過程就像是一個經驗豐富的偵探辦案，通過七個嚴格的步驟來確認令牌的真實性和完整性。每一步都是必須的，任何一步失敗都會立即拒絕整個令牌，絕不放過任何可疑之處。

第一步是版本檢查，確保令牌使用的協議版本與當前系統兼容。這就像確認對方說的是同一種語言，避免因為版本不匹配導致誤解。第二步檢查令牌是否已經過期，這是最基本的時效性驗證，防止有人使用過時的授權令牌。

第三步是整個驗證過程的核心：根簽名驗證。系統會重新構造令牌的簽名內容，然后使用授權人的公鑰驗證簽名是否正確。這一步確保了令牌確實來自聲稱的授權人，而且內容沒有被篡改。如果這一步失敗，說明要么令牌是偽造的，要么內容被人惡意修改過。

第四步檢查代理鏈的序列完整性。系統會逐一檢查每個環節的序號是否連續，是否有重復或缺失。這就像檢查一條珍珠項鏈，確保每顆珍珠都在正確的位置上，沒有斷裂或錯亂。

第五步是最復雜也是最關鍵的：逐一驗證每個代理環節的簽名。系統需要重構每個環節簽名時的確切內容，包括根簽名、之前的所有環節以及當前環節的信息，然后驗證簽名的正確性。由于鏈式簽名的設計，這一步實際上驗證了整個代理歷史的完整性。

第六步檢查代理鏈的長度是否超過了授權范圍中設定的最大跳數限制。這個機制防止代理鏈無限擴展，避免授權被濫用。第七步驗證會話綁定，確保令牌只在正確的執行環境中使用，防止跨會話的惡意重放攻擊。

這七個步驟的設計體現了"縱深防御"的安全理念，即使某一層防護出現問題，其他層次的檢查仍能發現并阻止安全威脅。整個驗證過程通常在幾毫秒內完成，對系統性能的影響微乎其微。

六、應對提示注入攻擊：構建可信的審計軌跡

提示注入攻擊是AI代理系統面臨的最狡猾的威脅之一。攻擊者不需要直接侵入系統，而是通過在AI處理的數據中嵌入惡意指令來控制AI的行為。這就像是在傳話游戲中故意插入假消息，讓最后聽到消息的人執行完全不同的動作。

HDP協議雖然無法完全防止提示注入攻擊，但它提供了一個強大的檢測和追責機制。當攻擊成功誘導AI執行惡意動作時，會出現兩種可能的情況，每種都能被HDP協議有效識別。

第一種情況是AI在攻擊誘導下執行了動作，但沒有在HDP鏈條中記錄這個動作。這會在審計時產生一個明顯的缺口：有執行記錄但沒有對應的授權軌跡。就像銀行賬戶出現了異常交易，但在授權記錄中找不到對應的批準文件。這種不一致立即暴露了問題的存在。

第二種情況是攻擊者試圖在HDP鏈條中偽造一個授權環節來掩蓋惡意動作。但由于每個環節都需要用授權人的私鑰進行簽名，而攻擊者不可能獲得這個私鑰（除非發生密鑰泄露這種嚴重的安全事故），偽造的環節會在驗證時立即被發現。

還有一種更隱蔽的攻擊方式：誘導一個合法的AI代理記錄一個看似正常但實際誤導性的動作摘要。比如，攻擊讓AI執行"刪除所有用戶數據"，但在HDP鏈條中記錄為"清理臨時文件"。HDP協議本身無法檢測這種語義層面的欺騙，因為簽名驗證只能確保記錄沒有被篡改，不能判斷記錄內容是否準確反映了實際動作。

然而，這種限制實際上很合理，因為語義驗證需要深度的上下文理解和業務邏輯判斷，這應該由應用層的策略引擎來處理。HDP協議的價值在于提供了一個可信的、不可篡改的審計軌跡，讓安全分析師能夠在事后準確重構整個事件序列，識別出異常模式。

七、實際部署考量：性能、兼容性與用戶體驗

將HDP協議從理論轉化為實際可用的系統需要考慮大量的工程實現細節。研究團隊不僅設計了協議本身，還開發了完整的參考實現和部署指南，確保其他開發者能夠輕松集成這項技術。

性能方面的表現令人印象深刻。Ed25519簽名驗證在現代硬件上只需要不到100微秒，即使是一個包含10個代理環節的復雜令牌，完整的驗證過程也能在2毫秒內完成。這個速度足以支持高頻率的AI代理交互，不會成為系統性能的瓶頸。令牌的大小也控制得很好，一個典型的10步代理鏈令牌大約只有4-8KB，在網絡傳輸和存儲方面都很高效。

協議的集成模式經過精心設計，能夠無縫融入現有的AI代理框架。典型的集成流程是這樣的：人類用戶在會話開始時通過專門的SDK創建初始授權令牌，這個令牌被附加到傳遞給主控AI的任務上下文中。每個參與的AI代理在接收任務時都會驗證令牌的有效性，然后添加自己的動作記錄并將更新后的令牌傳遞給下游代理。最終的執行代理在實際執行操作前會進行最后一次完整的鏈條驗證。

為了降低部署門檻，研究團隊提供了多種編程語言的SDK實現。TypeScript版本已經在npm包管理器上發布，Python集成也針對流行的CrewAI和Model Context Protocol（MCP）框架進行了優化。這些工具使開發者能夠用幾行代碼就完成HDP集成，而不需要深入了解底層的密碼學細節。

令牌的傳輸機制也經過仔細考慮。協議支持通過HTTP頭部字段傳輸完整的令牌內容，也支持通過引用方式傳輸令牌標識符并在服務端存儲實際內容。為了安全起見，協議明確禁止在URL查詢參數中傳輸令牌，因為這可能導致敏感信息在日志文件中泄露。

八、隱私保護與合規考量：平衡透明度與隱私需求

在設計HDP協議時，研究團隊深刻意識到隱私保護的重要性。雖然追溯責任需要記錄授權軌跡，但這不應該以犧牲用戶隱私為代價。協議在多個層面實現了隱私保護機制，確保在滿足審計需求的同時最大化保護個人隱私。

授權人身份信息的處理特別值得關注。協議支持使用完全不透明的標識符，這些標識符對外部觀察者來說沒有任何意義，但在需要時仍能被授權系統正確關聯到具體用戶。當AI代理不需要知道具體的人類身份時，可以完全省略顯示名稱等可識別信息。這種設計讓組織能夠根據自己的隱私政策靈活調整信息披露程度。

更進一步，協議的結構化設計允許在轉發令牌時有選擇地移除敏感信息。比如，某些內部AI代理可能只需要驗證授權的有效性，而不需要知道具體的授權人身份。在這種情況下，可以創建一個"審計專用"版本的令牌，移除身份信息但保留驗證所需的其他內容。當然，這樣的令牌必須明確標記為已修改，且不能用于完整的簽名驗證。

在數據保護法規遵循方面，協議的設計考慮了GDPR等現代隱私法規的要求。當令牌包含個人身份信息時，它可能構成個人數據，需要按照相應法規進行處理。協議建議實施適當的數據保留控制，確保令牌在不再需要時能夠被安全刪除或匿名化。

密鑰管理是整個系統安全性的基石，協議對此提出了嚴格的要求。授權人的私鑰必須存儲在安全管理器、硬件安全模塊或等效的安全環境中，絕對不能以明文形式出現在源代碼、配置文件或環境變量中。協議還支持密鑰輪換機制，允許在不影響現有令牌驗證的情況下更新密鑰，為長期安全運營提供了必要的靈活性。

九、當前限制與未來發展：持續改進的技術路線圖

盡管HDP協議在解決AI代理授權追溯問題方面取得了重要突破，但研究團隊也坦誠地承認當前版本的一些限制，并制定了清晰的技術發展路線圖。

當前最主要的限制是所有簽名都使用授權人的私鑰，這意味著代理環節的簽名只能證明某個動作被記錄在令牌中，而不能證明特定的AI代理確實執行了該動作。這種設計簡化了密鑰管理，但在某些需要嚴格身份驗證的場景中可能不夠充分。HDP協議的下一個版本將引入多密鑰機制，允許每個AI代理使用自己的密鑰進行簽名，通過閾值簽名或多重簽名方案實現更精確的身份驗證。

另一個重要限制是協議只記錄授權軌跡，不負責執行語義層面的權限檢查。比如，如果授權范圍是"整理財務數據"，協議無法自動判斷"刪除所有文件"這個動作是否超出了授權范圍。這種語義驗證需要與運行時策略執行系統集成，比如MI9或CaMeL等專門的AI治理框架。研究團隊計劃在后續版本中定義標準接口，使HDP協議能夠更好地與這些系統協作。

多主體同時授權的支持也有待改進。當前版本通過順序鏈接的方式實現多人授權，要求授權人按順序簽名。在某些需要多人同時授權的場景中，這種方式可能不夠靈活。未來版本將引入同時多重簽名機制，支持M-of-N的授權模式，比如要求5個管理人員中至少3個同意才能執行某項敏感操作。

標準化進程也是研究團隊關注的重點。目前HDP協議是作為個人提交的IETF草案，要推進到工作組采納和最終標準化還需要更多的社區參與和實際部署經驗。研究團隊正在積極收集用戶反饋，完善協議規范，并與OpenID基金會的代理身份工作進行協調，確保不同標準之間的兼容性。

十、與行業發展的深度融合：構建可信AI生態系統

HDP協議的意義遠遠超出了技術本身，它代表著AI行業在安全性和可信度方面的一次重要進步。隨著各國政府加強對AI系統的監管，如歐盟的AI法案和美國NIST的AI風險管理框架，像HDP這樣的技術基礎設施將變得越來越重要。

當前AI代理系統的一個嚴重問題是缺乏標準的責任追溯機制。根據2025年AI代理指數的調查，在30個被調研的商業AI代理系統中，只有一個（ChatGPT Agent）實現了任何形式的加密請求簽名。這種普遍的安全缺失使得組織很難證明AI系統的具體行為，也增加了監管合規的風險。

HDP協議的推廣應用將有助于建立行業標準的安全基線。當越來越多的AI代理系統采用類似的授權追溯機制時，整個生態系統的可信度將顯著提升。這不僅有利于用戶信任的建立，也為監管機構提供了評估和審查AI系統的標準化工具。

協議的開源特性和最小化基礎設施需求也使其具有廣泛的適用性。無論是大型企業的復雜AI系統，還是小型組織的簡單自動化工具，都能以相對較低的成本集成HDP協議。這種包容性設計有助于在整個行業推廣安全最佳實踐，而不僅僅局限于資源充足的大公司。

從長遠來看，HDP協議可能成為更廣泛的AI治理框架的重要組成部分。當與其他技術如零知識證明、同態加密、聯邦學習等結合時，可以構建出既保護隱私又確保可審計性的下一代AI系統。這種技術融合將為實現真正可信的AI奠定堅實基礎。

說到底，HDP協議解決的是一個看似技術性但實際上關乎每個人的問題：在AI越來越深入我們生活的時代，我們如何確保這些強大的工具始終在人類的控制和監督之下？通過提供一個簡單、可靠、標準化的授權追溯機制，HDP協議為構建可信AI生態系統邁出了重要一步。

當然，技術只是解決方案的一部分。真正的可信AI還需要完善的法律框架、行業自律、用戶教育等多方面的共同努力。但正如研究團隊所指出的，沒有堅實的技術基礎，這些上層建筑都將是空中樓閣。HDP協議提供的正是這樣一個可靠的技術基石，讓我們能夠在享受AI便利的同時，保持對其行為的有效監督和控制。

隨著更多組織開始部署和使用HDP協議，我們有理由相信，一個更加透明、可信、負責任的AI未來正在逐步成為現實。這不僅是技術進步的體現，更是人類社會在AI時代維護自主性和尊嚴的重要勝利。

Q&A

Q1：HDP協議是什么，它解決了AI代理系統的什么問題？

A：HDP（人類委托溯源協議）是由新西蘭Helixar公司開發的一種數字授權追蹤技術。它解決了AI代理系統中的核心問題：當多個AI依次執行任務時，如何證明最終的操作確實來自人類的原始授權，而不是中途被惡意攻擊插入的假指令。就像給AI之間的任務傳遞加上防偽標簽，確保整個執行鏈條都可以被完整追溯。

Q2：HDP協議如何防止AI代理被惡意攻擊控制？

A：HDP協議通過數字簽名技術創建不可偽造的授權記錄鏈。每個AI代理在接收和傳遞任務時都要在共同的"記錄本"上簽名，記錄自己的動作。如果有攻擊者試圖插入惡意指令，要么會在審計時發現動作沒有對應的授權記錄，要么偽造的授權記錄會因為缺少正確的數字簽名而被立即識別。

Q3：普通企業如何使用HDP協議來保護自己的AI系統？

A：企業可以通過Helixar提供的開源SDK輕松集成HDP協議。集成過程只需幾行代碼，支持TypeScript和Python等主流編程語言。企業無需搭建復雜的基礎設施，也不需要連接第三方服務，所有驗證都可以在本地完成。這使得無論大小企業都能以較低成本為自己的AI代理系統添加授權追溯能力。