审计轨迹与溯源

捕获到足以重建任何单个决策。

检验一条审计记录的标准是重建：仅凭这条记录，复盘者就必须能解释智能体为什么这么做，无需重跑任何东西。这意味着要捕获决策输入（发给模型的渲染后提示词，不是模板）、决策（原始模型输出、解析出的工具调用、参数）、溯源（模型 id 与构建、提示词版本、检索到的文档 id 与哈希、工具版本）、上下文（生效的是哪个策略版本、主体是谁、委派了什么权限），以及效果（工具实际做了什么、外部回执或交易 id）。为调试而建的轨迹（见「评估与可观测性」）是底料；审计轨迹是在那条轨迹上加了溯源与完整性保证，使它经得起一个并不信任你的人的审视。

要防篡改可察觉，而不只是被存了下来。

一条你能悄悄改动的审计轨迹在争议中一文不值——对方只会径直主张你改过它。防篡改可察觉意味着任何修改或删除都能在事后被检测到。标准原语是哈希链：每条记录携带前一条的哈希，于是改动一条旧记录会打断其后每一个链环。仅追加、写一次的存储，以及一个外部锚点（一份周期性签名的摘要，发布在你无法重写的地方），把门槛抬得更高。目标不是不可破解的密码学——而是没有人，包括你，能悄无声息地重写历史。

# hash-chained, append-only audit record
prev = store.last_hash()
rec = {
  "ts": now, "actor": "agent:fin-ops",
  "decision": decision, "provenance": prov,
  "policy_version": "pol@2026-05-12",
  "prev_hash": prev,
}
rec["hash"] = sha256(canonical(rec))
store.append(rec)  # WORM; never update in place

溯源：模型、提示词、工具、数据——四者缺一不可。

一个决策只有在你能说出塑造它的每一个输入时才可解释。智能体溯源有四条线，任何一条断了整条链就断。模型：确切的构建或快照 id，不是「GPT 那一类」。提示词：版本化的系统提示词与确切组装出的上下文，按哈希做内容寻址。工具：当时哪些工具版本可被调用、哪些被调用了。数据：对每一份检索到的文档，留一个稳定 id 与内容哈希，使你能证明智能体实际读到了什么——而不是那个来源今天说什么。模型卡与数据卡这类文档约定之所以存在，正是为了让模型与数据集这两条线以可比的形式被记录下来，而非每个团队各自重新发明。

• 对上下文做内容寻址——对组装出的提示词取哈希，使「它当时看到了什么」能逐字节回答，而非从模板重建。
• 固定检索到的来源——在读取时存下文档版本／哈希；知识库会变，「它现在说什么」不是证据。
• 每次运行都打上三元组戳——记录上的（模型、提示词、工具）把一个决策绑到一个具体、可复现的行为。

保留期是策略决定，不是磁盘空间决定。

审计记录保留多久由义务决定，不由便利决定。受监管领域有法定下限（常以年计）；数据保护法则朝相反方向拉，要求最小化与被遗忘权。两者会冲突：你可能被要求保留某个决策曾被作出的证据，同时又被要求删除其中的个人数据。解法是结构性分离——把不可变的决策骨架（做了什么、何时、哪条策略、哪个模型）按长法定期保留，而把关联的个人数据置于一个更短、单独治理的生命周期下，使它能被脱敏或墓碑化而不打断哈希链。

为那个并不信任你的人设计这条轨迹。

审计轨迹的受众默认是对抗性的：一个外部审计师、一次事故后的监管者、对方律师、一个争议扣款的客户。这重塑了每一个设计选择。记录必须对一个没有你代码库的人也可理解——稳定标识符、人类可读的决策摘要、当时生效的策略原文，而不只是一个版本号。这条轨迹必须沿着他们会问的问题可被查询：影响此人的每一个行动、此策略下的每一个决策、此智能体在此时间窗内做的一切。如果回答「智能体对账户 X 做了什么、为什么」需要一个取证工程项目，那这条轨迹已经没通过它唯一真正的检验。

诚实的取舍。

证据级轨迹要花真金白银：完整上下文的存储增长很快，内容可能携带需要在边界脱敏的 PII 与密钥，防篡改可察觉给写路径加了复杂度。捕获得少更便宜——一直便宜到你需要证明一个决策却证明不了的那天，那一刻，记录的缺失本身就是那项不利发现。刻意决定哪些决策是审计级的（不可逆、受监管、高后果），并让那些可重建、防篡改可察觉；别假装一份调试日志就是一条审计轨迹。