自主记忆：在主权限数据上管理访客代理

随着AI代理的普及，企业面临一个全新挑战：如何让外部组织的代理安全地处理自己的敏感数据。传统做法是设立数据室，允许人类访客在受控环境下查阅文件，并依靠合同约束其记忆。然而，代理的运作方式彻底颠覆了这一模式：它们不仅完美记忆所读内容，还能将记忆携带至不受数据所有者控制的模型中。

本文指出，解决问题的关键在于重新设计数据室，将其转变为“代理数据 enclave”——一个为代理工作而非单纯阅读而构建的受限环境。与仅提供介览访问的数据室不同，enclave 需要提供一系列服务，包括身份认证、记忆管理、工具调用以及动态数据集成，同时确保宿主方的数据主权。

作者调查了两类相关研究：一类聚焦于代理自身的安全，运用加密记忆溯源、声明式策略引擎、信息流控制、事务性运行时和机密计算等技术；另一类关注跨组织数据共享，采用双层机密虚拟机、联盟治理、数据托管平台和联邦分析等方法。然而，这两类研究各自忽略了另一半问题：前者假设代理和数据属于同一所有者，后者假设计算是无状态的。唯一的交集——机密虚拟机——仍未能触及代理的记忆管理。

文章提出了代理数据 enclave 必须满足的五项核心要求：一、精确控制代理可访问的数据范围；二、提供审计级别证明，记录每次访问；三、支持确定性回放以验证行为；四、具备错误撤销能力；五、控制代理记忆的保留与输出。其中，第五项要求目前尚无任何现有研究能够满足。

实现这五项目标的关键架构决策是：将记忆视为代理操作系统的服务，而非代理自身的属性。当访问者的记忆属于宿主而非访客时，数据室才能真正为代理时代重建。这一重构将彻底改变企业间的尽职调查、供应链和合作伙伴工作流，将曾经需要数月法律审查的流程缩短至一个下午。