× Care AI × Autonomous Enterprise × Foundations 2026-05-22 5 min read

The human-in-the-loop paradox: why the answer is not removing the loop

Regulated domains require human oversight of AI agents, but agents are valuable precisely because they operate at scales humans cannot. Per-decision review collapses under the arithmetic. The answer is not removing the loop — it is redesigning it: categorical gates on high-consequence decisions, hardware-attested audit logs, and structured escalation for high-uncertainty actions.

Read essay →

× Quantum security × Hardware × Human care 2026-05-22 5 min read

The corrigibility problem: how much should an AI agent defer?

Every deployed agent sits somewhere on the dial between full obedience and full autonomy. Full corrigibility hands all risk to the principal hierarchy. Full autonomy cannot be corrected when judgment fails. A floating dial position is a security vulnerability — and the fix is a signed, hardware-attested policy that specifies exactly which action categories require confirmation, which permit autonomy, and which are unconditionally prohibited.

Read essay →

× Quantum security × Hardware × Human care 2026-05-22 5 min read

The scope problem: why an AI agent must never define its own authority

An agent that participates in deciding what it is allowed to do is an agent that cannot be trusted with any authority at all. Incremental scope acquisition, scope inference, and tool composition laundering are three failure modes that only close when scope is a cryptographic commitment made at deployment — signed, hardware-rooted, and enforced by the systems the agent calls.

Read essay →

× Physical systems × Quantum security × Human care 2026-05-21 5 min read

The rollback problem: what to do when an AI agent's action can't be undone

Traditional software is engineered for rollback. AI agents that act in the world are not. Physical irreversibility, institutional irreversibility, and trust irreversibility each require a different architectural response — and the right time to classify an action's reversibility is at design time, not after the fact.

Read essay →

× Quantum Computing × Physical AI × Care AI 2026-05-21 5 min read

The context poisoning problem: adversarial inputs in agentic systems

Prompt injection places adversarial instructions inside content an agent is expected to process. When the agent has tool access and delegated authority, the consequence profile changes entirely. Closing the gap requires a structural separation between the authority channel and the data channel — enforced at the hardware attestation layer, not the prompt layer.

Read essay →

× Quantum Computing × Physical AI 2026-05-21 5 min read

The key rotation problem: updating credentials in an agent that never stops

Traditional key rotation assumes a service can pause. Continuously-operating AI agents cannot. The post-quantum migration — a change of algorithm family, not just key material — makes this architectural gap urgent. Hardware-rooted hierarchical key structures are the pattern that closes it without sacrificing availability.

Read essay →

× Physical AI × Care AI × Quantum Computing 2026-05-21 5 min read

The observability gap: what you cannot see when an agent acts

Logs and attestation records are retrospective instruments — they tell you what happened, but cannot stop a wrong action already taken. In domains where agent actions are irreversible, closing the gap requires architectural choices made before deployment: narrow scope, observable checkpoints, and human approval gates on irreversible steps.

Read essay →

× Quantum Computing × Physical AI × Care AI 2026-05-21 5 min read

The ephemeral credential: why AI agents should never hold standing authority

Authority should arrive scoped to a task, backed by hardware attestation, and expire when the task ends. Ephemeral credentials are the correct architecture for agents that face an algorithm transition, need hardware-rooted provenance, and operate in domains where consent is dynamic.

Read essay →

× Quantum Computing × Physical AI × Care AI 2026-05-20 5 min read

The revocation problem: why withdrawing an AI agent's authority is harder than granting it

An authority system that cannot reliably revoke is not a safe system. Distributed sessions, delegation hops, and in-flight operations make revocation systematically hard — and the cost of getting it wrong is sharpest at the crossings of security, hardware, and care.

Read essay →

× Quantum Computing × Physical AI × Care AI 2026-05-20 5 min read

The delegation chain: how authority should flow through multi-agent pipelines

When an orchestrating agent spawns sub-agents, authority cannot be inherited implicitly — that path leads to authority expansion, accountability dilution, and revocation lag. Explicit, signed, scoped delegation tokens are the primitive that multi-agent pipelines require.

Read essay →

× Autonomous Enterprise × Quantum Computing × Care AI 2026-05-20 6 min read

The liability gap: when an AI agent causes harm, who is responsible?

AI agents are taking consequential actions across care, finance, and critical infrastructure. When those actions cause harm, the distributed causal chain — developer, operator, user, protocol — makes liability allocation genuinely hard. Hardware-attested audit trails are the accountability primitive the gap requires.

Read essay →

× Foundations 2026-05-19 5 min read

Why the moat in AI is the override log

Model size and data scale are commodities on a known curve. What compounds, and what cannot be copied, is the calibrated record of every time a human said no — and why.

Read essay →

× Quantum Computing 2026-05-19 5 min read

What the quantum transition means for agent identity

Once agents start signing irreversible cross-institutional actions, classical cryptography stops being a research topic and becomes a counterparty risk. Post-quantum signatures belong on the deployment checklist, not the reading list.

Read essay →

× Care AI 2026-05-19 5 min read

Why physical-world care is the hardest crossing

The dataset that matters is built only by being inside the room. Regulated human domains do not yield to scraping or scale — they yield to relationship, calibration, and supervised decisions logged with care.

Read essay →

× Autonomous Enterprise 2026-05-19 5 min read

When an agent acts, who signs the receipt?

AI agents are booking flights, routing payments, and signing on behalf of institutions — but the delegation chain breaks at the agent boundary. A log entry is not a signed receipt. Here is why agent identity is the missing primitive.

Read essay →

× Foundations 2026-05-19 5 min read

The minimal footprint principle

Agents in consequential domains should prefer reversible actions, request only the permissions the current task requires, and surface uncertainty rather than resolve it unilaterally. Small action is not weak action — it is the condition for earning larger trust.

Read essay →

× Quantum Computing × Physical AI 2026-05-20 6 min read

The attestation gap: why AI agents need hardware-rooted identity

Most deployed agents can present a credential but cannot prove they are what they claim to be, running where they claim to run. Closing this gap requires treating agent identity with the same seriousness that critical infrastructure applies to hardware identity.

Read essay →

× Care AI × Accountability 2026-05-20 5 min read

The consent layer: why AI agents in care need structured authority, not just configuration

Configuration authorizes a system-level function. Consent authorizes a patient-specific action. AI agents in care settings need a layer that tracks the difference — and changes when the patient's authorization changes.

Read essay →

× Quantum Computing × Physical AI × Care AI 2026-05-20 5 min read

The principal hierarchy: who commands an AI agent when authorities conflict?

AI agents in safety-critical domains receive instructions from developers, operators, users, and protocols simultaneously. When those authorities conflict, the resolution cannot be implicit, invisible, and unauditable. Here is why the principal hierarchy is a first-class architectural commitment.

Read essay →

× 照护 AI × 智能原生企业 × 基础层 2026-05-22 5 分钟阅读

「人在回路中」悖论：为什么答案不是移除这个回路

受监管领域要求对 AI 智能体进行人工监督，但智能体的价值恰恰在于其能以人类无法达到的规模运作。逐一决策的审查在算术面前不攻自破。答案不是移除回路，而是重新设计它：对高后果决策设置分类门控，以硬件证明的审计日志记录所有行动，并对高不确定性决策实施结构化升级。

阅读全文 →

× 量子安全 × 硬件 × 人类关怀 2026-05-22 5 分钟阅读

可纠正性问题：AI智能体应该服从到何种程度？

每个部署中的智能体都处于完全服从与完全自主之间某个刻度盘位置。完全可纠正性将所有风险转移给主体层级；完全自主在判断失误时无法纠正。漂浮的刻度盘位置是安全漏洞——修复方案是一份签名、经硬件证明的政策，精确规定哪些行动类别需要确认、哪些允许自主、哪些被无条件禁止。

阅读全文 →

× 量子安全 × 硬件 × 人文关怀 2026-05-22 5 分钟阅读

范围问题：AI 智能体为何不能定义自身的授权边界

参与决定自己被允许做什么的智能体，根本不值得被信任以任何授权。增量范围扩张、范围推断和工具组合范围漂洗是三种失败模式，只有当范围成为部署时的密码学承诺——经签名、以硬件为根、由被调用系统强制执行——才能真正关闭。

阅读全文 →

× 物理系统 × 量子安全 × 人文关怀 2026-05-21 5 分钟阅读

回滚问题：当 AI 智能体的行动无法撤销，该怎么办

传统软件是围绕回滚而设计的。在真实世界中行动的 AI 智能体则不然。物理不可逆性、机构不可逆性与信任不可逆性各需不同的架构应对——而正确的时机是在设计时对每个行动的可逆性进行分类，而非事后补救。

阅读全文 →

× 量子计算 × 物理 AI × 照护 AI 2026-05-21 5 分钟阅读

上下文污染问题：智能体系统中的对抗性输入

提示注入将对抗性指令置于智能体被要求处理的内容中。当智能体拥有工具访问权限和委托权力时，后果量级截然不同。弥合这一差距需要在权限通道与数据通道之间进行结构性隔离——在硬件证明层而非提示层强制执行。

阅读全文 →

× 量子计算 × 物理 AI 2026-05-21 5 分钟阅读

密钥轮换问题：如何在永不停机的智能体中更新凭证

传统密钥轮换假设服务可以暂停，而持续运行的 AI 智能体无法满足这一假设。后量子迁移——更换算法族而非仅更换密钥材料——使这一架构差距愈发紧迫。硬件根层级密钥结构是在不牺牲可用性的前提下弥合这一差距的架构模式。

阅读全文 →

× 物理 AI × 照护 AI × 量子计算 2026-05-21 5 分钟阅读

可观察性差距：智能体行动时，你看不到什么

日志和证明记录是事后工具——它们告诉你发生了什么，却无法阻止已经完成的错误行动。在智能体行动不可逆的领域，缩小这一差距需要在部署前做出架构选择：收窄授权范围、设置可观察的检查点，以及在不可逆步骤设置人工审批门控。

阅读全文 →

× 量子计算 × 物理 AI × 照护 AI 2026-05-21 5 分钟阅读

临时凭证：为何AI智能体永远不应持有长期权限

权限应在任务开始时到达，以硬件证明为根，并在任务结束时失效。临时凭证是同时面临算法迁移、需要硬件可溯源性、且在同意动态变化领域中运行的智能体的正确架构。

阅读全文 →

× 量子计算 × 物理 AI × 照护 AI 2026-05-20 5 分钟阅读

撤销问题：为何收回AI智能体的权限比授予更难

一个无法可靠撤销的权限系统，不是安全系统。分散的会话、委托跳转和进行中的操作使撤销系统性地困难——而在安全、硬件与照护的关键领域，代价尤为高昂。

阅读全文 →

× 量子计算 × 物理 AI × 照护 AI 2026-05-20 5 分钟阅读

委托链：权限如何在多智能体流水线中流转

当编排智能体派生子智能体时，权限不能隐式继承——这条路会导致权限扩张、问责稀释和撤销滞后。显式的、经签名的、有范围限制的委托令牌，才是多智能体流水线所需的问责原语。

阅读全文 →

× 问责架构 × 量子计算 × 照护 AI 2026-05-20 6 分钟阅读

责任缺口：当AI智能体造成伤害时，谁来负责？

AI智能体正在照护、金融和关键基础设施领域采取具有实质影响的行动。当这些行动造成伤害时，分散的因果链——开发者、运营方、用户、协议——使责任分配变得真正困难。硬件证明的审计追踪，是弥合这一缺口所需的问责原语。

阅读全文 →

× 基础层 2026-05-19 5 分钟阅读

AI 的真正护城河，是覆写日志

模型规模与数据体量，皆走在一条可见的曲线上，终将商品化。真正能够累积、且无法复制的，是每一次人类说「不」时所留下的、经过校准的记录——以及背后的原因。

阅读全文 →

× 量子计算 2026-05-19 5 分钟阅读

量子转型对智能体身份意味着什么

当智能体开始签署不可逆的跨机构行为，经典密码学便不再是研究课题，而成为对手方风险。后量子签名应列入部署清单，而非阅读清单。

阅读全文 →

× 照护 AI 2026-05-19 5 分钟阅读

为何物理世界的照护，是最艰难的关键领域

真正重要的数据集，只能在房间之内一手累积。受监管的人类领域，不会向爬取与规模屈服——它们只回应关系、校准，以及被仔细记录的、人类督导下的每一个决策。

阅读全文 →

× 问责架构 2026-05-19 5 分钟阅读

当智能体行动时，谁签署了收据？

AI 智能体正在代表机构路由支付、签署文件——但委托链在智能体边界处断裂。日志条目不是签名收据。这里是为何智能体身份是缺失的原语。

阅读全文 →

× 基础层 2026-05-19 5 分钟阅读

最小足迹原则

在后果严重的领域中，智能体应优先选择可逆行动，仅请求当前任务所需的权限，并在不确定时将选择权交还给人类。小，不是弱——它是赢得更大信任的前提条件。

阅读全文 →

× 量子计算 × 物理 AI 2026-05-20 6 分钟阅读

验证差距：AI 智能体为何需要硬件根身份

大多数已部署的智能体可以出示凭证，但无法证明自身就是所声称的软件、运行在所声称的硬件上。关闭这一差距，需要以关键基础设施对待硬件身份的同等严肃态度对待智能体身份。

阅读全文 →

× 照护 AI × 问责 2026-05-20 5 分钟阅读

同意层：AI 照护智能体为何需要结构化权限，而非仅有配置

配置授权系统级功能。同意授权针对特定患者的行动。照护场景中的AI智能体需要一个追踪两者差异的层——并随患者授权状态的变化而变化。

阅读全文 →

× 量子计算 × 物理 AI × 照护 AI 2026-05-20 5 分钟阅读

委托人层级：当权威冲突时，谁来指挥AI智能体？

安全关键领域中的AI智能体同时接受来自开发者、运营方、用户和协议的指令。当这些权威冲突时，解决方案不能是隐式的、不可见的且无法审计的。委托人层级为何是一项一等架构承诺。

阅读全文 →

× 護理 AI × AI原生企業 × 基礎層 2026-05-22 5 分鐘閱讀

「人在回路中」悖論：為什麼答案不是移除這個回路

受監管領域要求對 AI 智能體進行人工監督，但智能體的價值恰恰在於其能以人類無法達到的規模運作。逐一決策的審查在算術面前不攻自破。答案不是移除回路，而是重新設計它：對高後果決策設置分類門控，以硬件證明的審計日誌記錄所有行動，並對高不確定性決策實施結構化升級。

閱讀全文 →

× 量子安全 × 硬件 × 人類關懷 2026-05-22 5 分鐘閱讀

可糾正性問題：AI智能體應該服從到何種程度？

每個部署中的智能體都處於完全服從與完全自主之間某個刻度盤位置。完全可糾正性將所有風險轉移給主體層級；完全自主在判斷失誤時無法糾正。漂浮的刻度盤位置是安全漏洞——修復方案是一份簽名、經硬件證明的政策，精確規定哪些行動類別需要確認、哪些允許自主、哪些被無條件禁止。

閱讀全文 →

× 量子安全 × 硬件 × 人文關懷 2026-05-22 5 分鐘閱讀

範圍問題：AI 智能體為何不能定義自身的授權邊界

參與決定自己被允許做什麼的智能體，根本不值得被信任以任何授權。增量範圍擴張、範圍推斷和工具組合範圍漂洗是三種失敗模式，只有當範圍成為部署時的密碼學承諾——經簽名、以硬件為根、由被調用系統強制執行——才能真正關閉。

閱讀全文 →

× 實體系統 × 量子安全 × 人文關懷 2026-05-21 5 分鐘閱讀

回滾問題：當 AI 智能體的行動無法撤銷，該怎麼辦

傳統軟件是圍繞回滾而設計的。在真實世界中行動的 AI 智能體則不然。物理不可逆性、機構不可逆性與信任不可逆性各需不同的架構應對——而正確的時機是在設計時對每個行動的可逆性進行分類，而非事後補救。

閱讀全文 →

× 量子計算 × 物理 AI × 護理 AI 2026-05-21 5 分鐘閱讀

上下文污染問題：智能體系統中的對抗性輸入

提示注入將對抗性指令置於智能體被要求處理的內容中。當智能體擁有工具存取權限和委託權力時，後果量級截然不同。彌合這一差距需要在權限通道與資料通道之間進行結構性隔離——在硬件證明層而非提示層強制執行。

閱讀全文 →

× 量子計算 × 物理 AI 2026-05-21 5 分鐘閱讀

密鑰輪換問題：如何在永不停機的智能體中更新憑證

傳統密鑰輪換假設服務可以暫停，而持續運行的 AI 智能體無法滿足這一假設。後量子遷移——更換演算法族而非僅更換密鑰材料——使這一架構差距愈發緊迫。硬件根層級密鑰結構是在不犧牲可用性的前提下彌合這一差距的架構模式。

閱讀全文 →

× 物理 AI × 護理 AI × 量子計算 2026-05-21 5 分鐘閱讀

可觀察性差距：智能體行動時，你看不到什麼

日誌和證明記錄是事後工具——它們告訴你發生了什麼，卻無法阻止已經完成的錯誤行動。在智能體行動不可逆的領域，縮小這一差距需要在部署前做出架構選擇：收窄授權範圍、設置可觀察的檢查點，以及在不可逆步驟設置人工審批門控。

閱讀全文 →

× 量子計算 × 物理 AI × 護理 AI 2026-05-21 5 分鐘閱讀

臨時憑證：為何AI智能體永遠不應持有長期權限

權限應在任務開始時到達，以硬件證明為根，並在任務結束時失效。臨時憑證是同時面臨演算法遷移、需要硬件可溯源性、且在同意動態變化領域中運行的智能體的正確架構。

閱讀全文 →

× 量子計算 × 物理 AI × 護理 AI 2026-05-20 5 分鐘閱讀

撤銷問題：為何收回AI智能體的權限比授予更難

一個無法可靠撤銷的權限系統，不是安全系統。分散的會話、委託跳轉和進行中的操作使撤銷系統性地困難——而在安全、硬體與照護的關鍵領域，代價尤為高昂。

閱讀全文 →

× 量子計算 × 物理 AI × 護理 AI 2026-05-20 5 分鐘閱讀

委託鏈：權限如何在多智能體流水線中流轉

當協調智能體派生子智能體時，權限不能隱式繼承——這條路會導致權限擴張、問責稀釋和撤銷滯後。顯式的、經簽名的、有範圍限制的委託令牌，才是多智能體流水線所需的問責原語。

閱讀全文 →

× 問責架構 × 量子計算 × 護理 AI 2026-05-20 6 分鐘閱讀

責任缺口：當AI智能體造成傷害時，誰來負責？

AI智能體正在照護、金融和關鍵基礎設施領域採取具有實質影響的行動。當這些行動造成傷害時，分散的因果鏈——開發者、營運方、用戶、協議——使責任分配變得真正困難。硬件證明的審計追蹤，是彌合這一缺口所需的問責原語。

閱讀全文 →

× 基礎層 2026-05-19 5 分鐘閱讀

AI 的真正護城河，是覆寫日誌

模型規模與數據體量，皆走在一條可見的曲線上，終將商品化。真正能夠累積、且無法複製的，是每一次人類說「不」時所留下的、經過校準的記錄——以及背後的原因。

閱讀全文 →

× 量子計算 2026-05-19 5 分鐘閱讀

量子轉型對智能體身份意味著什麼

當智能體開始簽署不可逆的跨機構行為，傳統密碼學便不再是研究課題，而成為對手方風險。後量子簽名應列入部署清單，而非閱讀清單。

閱讀全文 →

× 護理 AI 2026-05-19 5 分鐘閱讀

為何物理世界的照護，是最艱難的關鍵領域

真正重要的數據集，只能在房間之內一手累積。受監管的人類領域，不會向爬取與規模屈服——它們只回應關係、校準，以及被仔細記錄的、人類督導下的每一個決策。

閱讀全文 →

× 問責架構 2026-05-19 5 分鐘閱讀

當智能體行動時，誰簽署了收據？

AI 智能體正在代表機構路由支付、簽署文件——但委託鏈在智能體邊界處斷裂。日誌條目不是簽名收據。這裡是為何智能體身份是缺失的原語。

閱讀全文 →

× 基礎層 2026-05-19 5 分鐘閱讀

最小足跡原則

在後果嚴重的領域中，智能體應優先選擇可逆行動，僅請求當前任務所需的權限，並在不確定時將選擇權交還給人類。小，不是弱——它是贏得更大信任的前提條件。

閱讀全文 →

× 量子計算 × 物理 AI 2026-05-20 6 分鐘閱讀

驗證差距：AI 智能體為何需要硬件根身份

大多數已部署的智能體可以出示憑證，但無法證明自身就是所聲稱的軟體、運行在所聲稱的硬體上。關閉這一差距，需要以關鍵基礎設施對待硬體身份的同等嚴肅態度對待智能體身份。

閱讀全文 →

× 護理 AI × 問責 2026-05-20 5 分鐘閱讀

同意層：AI 照護智能體為何需要結構化權限，而非僅有配置

配置授權系統級功能。同意授權針對特定患者的行動。照護場景中的AI智能體需要一個追蹤兩者差異的層——並隨患者授權狀態的變化而變化。

閱讀全文 →

× 量子計算 × 物理 AI × 護理 AI 2026-05-20 5 分鐘閱讀

委託人層級：當權威衝突時，誰來指揮AI智能體？

安全關鍵領域中的AI智能體同時接受來自開發者、營運方、用戶和協議的指令。當這些權威衝突時，解決方案不能是隱式的、不可見的且無法審計的。委託人層級為何是一項一等架構承諾。

閱讀全文 →