AI审批7.5万美元贷款后，谁来证明这是合法的？

「如果你的答案涉及在日志文件里用grep搜索，那你就有问题了。」

一位开发者在技术博客里这样写道。他指的不是技术债务，也不是代码质量——而是2026年8月即将生效的欧盟人工智能法案（EU AI Act）。届时，高风险AI系统必须提供防篡改记录，不是日志，是记录。

这位开发者叫Jared，他给自己搭建的系统起了个名字：Gate to AIR Blackbox。核心诉求听起来简单：当AI代理批准一笔7.5万美元贷款时，你能证明是谁授权的吗？能证明结果是什么吗？能证明决策时生效的是哪条政策吗？

但现有工具都做不到。

现有框架的盲区

LangChain有回调机制，CrewAI有详细模式，OpenAI有API响应。这些都能记录「发生了什么」，但回答不了三个硬问题：

第一，行动执行前是否获得授权？日志记录的是既成事实，不是本该发生的事。

第二，记录是否被篡改过？任何拥有日志存储写入权限的人，事后都能修改记录。监管审计时，这是致命漏洞。

第三，第三方能否独立验证？如果审计员需要你的内部工具才能核查，验证就不算独立。

Jared在博客里列得很直接：欧盟AI法案第12条要求具备完整性保证的记录保存，第14条要求可证明的人工监督。如果代理批准了高风险决策，监管方要证据时，「给你几行日志」交不了差。

双阶段收据的设计

Gate系统的核心是一份叫「契约」（covenant）的YAML文件，在代理运行前声明规则。三种规则类型：允许（permit）、禁止（forbid）、需要审批（require_approval），支持when和unless条件。

契约经SHA-256哈希后，哈希值嵌入每份收据。改一条规则，后续所有收据的哈希都变。审计员能精确核实任意历史行动对应哪版政策。

每笔行动生成双阶段加密收据：

第一阶段（授权）：门控评估契约，做出决策，用Ed25519签名授权。行动载荷（payload）做SHA-256哈希——原始数据（个人身份信息、财务细节）从不进入收据。

第二阶段（封存）：执行后，结果哈希并封存进同一份收据，第二个Ed25519签名覆盖授权签名，绑定整个生命周期。

代码示例很简洁。从YAML加载契约，初始化门控，调用authorize方法，检查receipt.authorized布尔值，执行后调用seal方法。

技术选型背后的权衡

这里有个值得拆解的选择：为什么用Ed25519而不是更常见的RSA？

Ed25519是椭圆曲线签名方案，密钥更短（32字节对256字节以上），签名更快，验证也快。对于需要高频生成收据的AI代理场景，性能差距会累积。但更重要的是，Ed25519在密码学界已有充分审查，安全性经过时间检验。

另一个关键设计：原始数据不进收据。只存哈希，意味着收据本身可以公开审计而不泄露敏感信息。这是隐私与可验证性的平衡点——你能证明「当时确实批准了7.5万美元贷款」，但不必暴露借款人邮箱地址。

哈希链结构（契约哈希→授权签名→封存签名）形成了密码学上的绑定关系。要伪造一份历史记录，需要同时破解多道防线，而非单一攻破日志数据库。

正方：这套系统解决了真问题

支持这个设计的论点很扎实。

监管合规是刚性需求。欧盟AI法案不是建议，是法律。2026年8月的 deadline 不会推迟。高风险AI系统的定义很广：信用评估、招聘筛选、医疗诊断、司法辅助……这些场景的代理决策，未来都需要可审计的完整性证明。

现有日志系统的信任模型是「相信管理员」。Gate的信任模型是「相信密码学」。当审计员来自外部监管机构，后者显然更可靠。

双阶段设计区分了「授权时知道什么」和「执行后发生什么」。这在责任认定中至关重要。如果贷款违约，需要分清是授权决策错误，还是执行环节出错。日志混在一起，收据分开存储。

YAML契约的人类可读性降低了政策管理门槛。非技术人员可以参与规则制定，版本控制用Git即可。这比把规则埋在代码里或数据库配置中更符合合规团队的 workflow。

反方：工程复杂度与真实场景的落差

但质疑的声音同样值得听。

首先，密钥管理是未解难题。Ed25519私钥存在哪？谁有访问权限？如果私钥泄露，整个系统的防篡改承诺崩塌。Jared的博客没提密钥管理方案，而这通常是密码学系统最脆弱的一环。

其次，「第三方独立验证」的承诺有前提。验证需要知道契约内容、公钥、收据格式。这些信息从哪来？如果还是由被审计方提供，独立性只是幻觉。真正的独立验证需要类似证书透明日志（Certificate Transparency）的公共基础设施，目前不存在。

第三，性能成本被低估。每笔行动两次哈希、两次签名，对于毫秒级延迟要求的实时系统，累积开销可观。博客示例是贷款审批——本身有业务延迟容忍，但高频交易、实时推荐等场景可能无法接受。

第四，「高风险」的定义边界模糊。欧盟AI法案的附件三列出了具体场景，但企业自我分类时倾向于低估风险以规避合规成本。Gate系统再完美，如果部署在错误分类的系统上，只是给不合格决策披了层技术外衣。

我的判断：这是必要的基础设施，但不是充分条件

Gate to AIR Blackbox的价值，在于把「合规可审计」从文档承诺变成了技术实现。这在AI代理从实验走向生产的节点上，是正确方向的探索。

但技术方案不能替代治理框架。密钥管理、风险分类、第三方验证基础设施，这些都需要行业共识和监管细化。2026年8月之前，我们会看到更多类似尝试，也会看到标准之争。

对于正在部署AI代理的团队，这个系统的启示是：现在开始设计审计接口，比被监管敲门时再补要便宜得多。日志思维到记录思维的转变，本质是信任模型的重构——从「我们相信自己的系统」到「我们能向他人证明」。

那个7.5万美元贷款的追问，最终指向一个更深层的问题：当AI开始替我们做高风险决策，社会需要什么样的证据标准？Gate给出了技术层面的回答，但答案的完整版本，还在书写中。