自主記憶：在主權限數據上管理訪客代理

隨着AI代理的普及，企業面臨一個全新挑戰：如何讓外部組織的代理安全地處理自己的敏感數據。傳統做法是設立數據室，允許人類訪客在受控環境下查閲文件，並依靠合同約束其記憶。然而，代理的運作方式徹底顛覆了這一模式：它們不僅完美記憶所讀內容，還能將記憶攜帶至不受數據所有者控制的模型中。

本文指出，解決問題的關鍵在於重新設計數據室，將其轉變為“代理數據 enclave”——一個為代理工作而非單純閲讀而構建的受限環境。與僅提供介覽訪問的數據室不同，enclave 需要提供一系列服務，包括身份認證、記憶管理、工具調用以及動態數據集成，同時確保宿主方的數據主權。

作者調查了兩類相關研究：一類聚焦於代理自身的安全，運用加密記憶溯源、聲明式策略引擎、信息流控制、事務性運行時和機密計算等技術；另一類關注跨組織數據共享，採用雙層機密虛擬機、聯盟治理、數據託管平台和聯邦分析等方法。然而，這兩類研究各自忽略了另一半問題：前者假設代理和數據屬於同一所有者，後者假設計算是無狀態的。唯一的交集——機密虛擬機——仍未能觸及代理的記憶管理。

文章提出了代理數據 enclave 必須滿足的五項核心要求：一、精確控制代理可訪問的數據範圍；二、提供審計級別證明，記錄每次訪問；三、支持確定性回放以驗證行為；四、具備錯誤撤銷能力；五、控制代理記憶的保留與輸出。其中，第五項要求目前尚無任何現有研究能夠滿足。

實現這五項目標的關鍵架構決策是：將記憶視為代理操作系統的服務，而非代理自身的屬性。當訪問者的記憶屬於宿主而非訪客時，數據室才能真正為代理時代重建。這一重構將徹底改變企業間的盡職調查、供應鏈和合作夥伴工作流，將曾經需要數月法律審查的流程縮短至一個下午。