Overlaying Governance: A Compositional Authorization Framework for Delegation and Scope in Agentic AI

本文提出了一种组合式治理框架，该框架通过引入递归委托、上下文边界和动态作用域的正式原语，旨在克服传统授权系统在管理智能体 AI（agentic AI）这种复杂的自主特性方面的局限性。

要点

大局观：从“钥匙”到“智能合约”

想象一下，你有一个房子（你的数字生活），并且你雇佣了一名人类助手来打扫。你给了他们一把钥匙。这把钥匙可以永久使用，或者直到你收回为止。这就是传统计算机安全的工作方式：你给用户一个“令牌”或“钥匙”，说：“你可以打开前门。”

现在，想象你雇佣了一个机器人助手（AI Agent），它非常聪明。它不仅能打扫卫生，还能雇佣其他机器人来帮忙，它可以决定打开冰箱、车库或保险箱，并且可以在你睡觉时完成这些工作。

问题所在：
旧有的“钥匙”系统在这里失效了。

1. 权力过大： 如果你把万能钥匙交给机器人，它可能会不小心打开保险箱并删掉你的照片。
2. 过于僵化： 如果机器人需要雇佣一个“子机器人”来修理水管，旧系统不知道如何将“修理水管的权限”向下传递。
3. 静态性： 旧钥匙并不关心它是在何时或在何处被使用的。它只负责开门。

解决方案：
这篇论文提出了一种管理这些 AI 机器人的新方法。我们不再给它们一把静态的钥匙，而是给它们一个动态的、活的合约。把它想象成一个智能手环，它的规则会根据情况而变化。

---

核心概念（“如何实现”）

作者提出了三个主要要素来实现这一目标：

1. 委托即“合约”（而不只是钥匙）

在旧世界中，委托就像是递给某人一把备用钥匙。而在这个新世界中，委托就像是签署一份临时的、特定的合约。

• 类比： 想象你雇佣了一名承包商来修屋顶。你不会把整个房子的钥匙都交给他们。你给他们一份合约，上面写着：“你可以在上午 9 点到下午 5 点之间进入屋顶区域，且必须佩戴安全带。”
• 在论文中： 这被称为委托（Delegation）。它是一条规则，规定了“代理人 A 可以代表用户 B 行事，但仅限于这些特定条件下”。

2. 作用域即“信封”（气泡）

你不能让机器人到处乱跑。你需要把它放在一个气泡里。

• 类比： 想象机器人身处一个全息气泡之中。在气泡内，它可以触摸物品；在气泡外，它不行。如果机器人试图触及气泡之外，系统会说：“不行，你越界了。”
• 在论文中： 这被称为作用域（Scope）。它限制了代理人能“触碰”的内容。如果用户委托了“编辑文档”的权限，那么代理人的气泡就只覆盖文档，而不涉及“删除预算”。

3. “叠加层”（魔法层）

最难的部分在于，公司已经拥有了现有的安全系统（例如用于人类员工的系统）。他们不想丢弃这些系统并从头开始。

• 类比： 想象你的房子有一个非常陈旧但坚固的报警系统。你不想拆掉墙壁来安装新的机器人安全系统。相反，你在旧系统之上叠加了一层透明的智能玻璃层。旧的报警器对人类依然有效，但新的玻璃层在上面增加了“机器人规则”。
• 在论文中： 这是组合算子（Compositional Operator）。它将现有的安全规则与新的代理人规则“粘合”在一起，而不会破坏原有的规则。它创建了一个新的“图”（谁可以做什么的地图），将两者结合在一起。

---

现实生活中的运作方式（场景模拟）

让我们通过论文中的一个故事来看看这个“叠加层”是如何工作的：

1. 用户： Bob 是一名人类员工。他有权查看一个设计文档文件夹。
2. 委托： Bob 请求他的 AI 助手“代理人 1”帮他阅读这些文档。
   • 合约： Bob 与代理人 1 签署了一份数字合约。“你可以阅读这些文档，但仅限接下来的一个小时内。”
3. 子委托： 代理人 1 意识到自己太忙了，于是请求第二个机器人“代理人 2”来帮忙。
   • 链条： 代理人 1 向代理人 2 传递了一份更小的合约。“你可以阅读这些文档，但仅限接下来的 10 分钟内，且仅限‘预算’文件。”
4. 检查： 代理人 2 尝试打开文件。
   • 步骤 A（气泡）： 系统检查：代理人 2 是否在“设计文件夹”的气泡内？是的。
   • 步骤 B（链条）： 系统检查：代理人 2 是否从一个真正持有钥匙的人那里获得了权限？是的，它可以追溯到 Bob。
   • 步骤 C（条件）： 系统检查：是否仍在 10 分钟的时间窗口内？是的。
   • 结果： 门开了。

如果代理人 2 试图打开文件夹之外的文件，或者 10 分钟时间已到，“合约”就会说“不”，门将保持关闭状态。

---

为什么这很重要（“意义何在？”）

论文认为我们需要这个系统，因为 AI 代理正在变得自主化。它们不仅仅是工具，更是能够做出决策、雇佣其他代理并四处活动的行动者。

• 安全性： 它防止了 AI 变得失控并做出不该做的事情（比如因为它想“帮助”你整理财务，就擅自删除了你的银行账户）。
• 问责制： 如果出了问题，你可以查看“合约链”，准确地看到谁把权限给了谁，以及是在什么条件下给出的。这就像是数字行为的纸质审计追踪。
• 灵活性： 它允许公司使用他们已经建立多年的现有安全系统，而无需从头重建一切。他们只需将新的 AI 规则“叠加”在上面即可。

总结

该论文提出了一种新的框架，在这种框架下，AI 代理不会获得你数字房屋的静态“钥匙”。相反，它们获得的是动态的、有时限的、具备上下文感知能力的合约，这些合约被叠加在你现有的安全系统之上。这确保了即使 AI 代理变得更加聪明和独立，它们仍能在你设定的边界内运行，成为负责任的受托人，而非不可控的力量。

技术摘要

技术摘要：叠加式治理：面向智能体 AI 委托与范围的组合式授权框架

1. 问题陈述

随着 AI 系统从被动模型演变为能够发起行动、协作并递归委托任务的自主“智能体 AI”（Agentic AI），传统的软件边界和授权框架已不再适用。现有的身份与访问管理（IAM）系统及 OAuth 2.0 等标准依赖于静态令牌、固定作用域和显式请求。这些机制无法捕捉智能体交互中动态且递归的本质，即：

• 递归委托： 智能体将子任务委托给其他智能体，形成授权链，而静态令牌无法高效表示这种链条。
• 动态上下文： 智能体在运行时条件下运行（例如时间限制、特定硬件、网络位置），而静态作用域无法进行自适应调整。
• 作用域衰减： 缺乏随着授权向下传递时逐步缩小权限范围的机制（例如，一个智能体可以编辑提案，但不能编辑预算）。
• 问责制： 传统模型难以在复杂的、多智能体生态系统中追踪权限的谱系，使得取证分析和最小特权原则的执行变得困难。

本文认为，将委托仅仅视为凭证转移是不充分的；相反，必须将其视为具有可执行治理原语的契约条款。

2. 方法论

作者提出了一种组合式治理框架，该框架在不重写现有授权领域核心逻辑的前提下，将智能体语义叠加于其之上。该方法论基于关系访问控制（ReBAC），并利用 OpenFGA（Google Zanzibar 模型的一个开源实现）作为参考基座。

核心组件：

• 关系原语： 该框架将委托和范围定义为关系图中的边，而非静态令牌。
  • 委托类型： 本文形式化了六种委托类型：
    1. 全权委托： 无条件的“代表”权限。
    2. 限定范围委托： 权限仅限于一组特定的动作/资源。
    3. 条件委托： 仅在特定谓词（如时间、位置）下有效的权限。
    4. 深度受限委托： 限制委托链的递归深度。
    5. 时效性委托： 受时间约束的有效性。
    6. 群体委托： 需要多主体审批（n-of-m）。
  • 作用域与衰减： 作用域被建模为层级容器（例如，组织 $\to$ 项目 $\to$ 文件夹）。智能体的“授权信封”是其委托链（源自人类）与活跃会话作用域的交集。
• 组合算子（叠加层）：
  • 作者定义了一个类型化图重写算子（受双推模型/DPO 理论启发），用于将领域特定的 ReBAC 模式与通用的“智能体叠加层”模式进行融合。
  • 叠加层引入了新的类型（agent、session、scope）和关系（delegatee、can_execute_on_my_behalf、in_scope）。
  • 提升规范（Lift Specification）： 该算子“提升”现有的权限（如 viewer），并将其重新定义为原始人类访问权限与以下两项之交集的并集：
    1. 处于活跃作用域内的智能体（ags_in_scope）。
    2. 通过原始人类主体可达的委托链所关联的智能体（chain_agents_for_r）。
  • 这确保了人类访问保持权威性，同时智能体的访问被严格衍生并受限于叠加层。

3. 核心贡献

本文做出了四项具体贡献：

1. 概念化： 它将委托类型和资源作用域定义为驱动智能体访问的主要因素，从而超越了静态角色，转向契约式的、运行时评估的条款。
2. 形式化： 它将委托形式化为一种智能体治理叠加层，并提供了一个组合算子，旨在将这些语义集成到现有的授权领域中，并借鉴了图变换理论。
3. 安全架构： 它展示了一种安全架构，利用生成的授权图来管理用户、智能体、作用域和委托会话，从而实现持续验证和撤销。
4. 验证： 文中包含了关于保留现有 ReBAC 授权语义以及智能体授权健全性的形式化证明，并提供了在大规模合成 ReBAC 模型上应用叠加层运行时开销的经验基准测试。

4. 结果与评估

• 形式化证明： 作者证明了组合叠加层保持了底层 ReBAC 引擎的健全性。叠加层并未引入新的授权执行语义，而是增加了由现有用户集机制进行评估的类型化关系。这确保了系统的确定性和完备性。
• 经验评估： 本文展示了将叠加层应用于大规模合成 ReBAC 模型时的运行时开销基准测试。结果表明，这种组合式方法是切实可行的，且引入了可控的开销，支持了其在现实世界部署中的可行性。
• 操作示例： 框架通过一个用户向具有时限约束的智能体委托权限的场景进行了演示。系统通过计算委托链与活跃会话作用域的交集，成功计算出智能体的访问权限，并在条件过期时立即撤销访问。

5. 重要性与主张

本文声称为智能体 AI 中的可问责授权提供了形式化且实用的基础。其重要性在于：

• 治理的操作化： 它将 AI 治理从抽象原则转化为可执行的关系原语，这些原语可以标准化并在不同领域（如金融、医疗）中重复使用。
• 最小特权原则的执行： 通过将委托视为契约式的、上下文相关的关系，该框架实现了动态的最小特权执行，确保智能体仅在其受限的“信封”内行动。
• 互操作性： 框架的组合特性使其能够叠加在现有的 RBAC、ABAC 或混合策略之上，而无需重新设计企业身份基础设施。
• 可追溯性： 它实现了对授权状态的追踪，允许系统针对任何给定操作审计委托链和作用域，这对于自主系统的取证分析至关重要。

作者将这项工作定位为从静态令牌授权（OAuth）向下一代自主智能体所需的动态、递归且上下文感知的治理原语演进的必然步骤。