自主記憶：在主許可權資料上管理訪客代理

隨著AI代理的普及，企業面臨一個全新挑戰：如何讓外部組織的代理安全地處理自己的敏感資料。傳統做法是設立資料室，允許人類訪客在受控環境下查閱檔案，並依靠合同約束其記憶。然而，代理的運作方式徹底顛覆了這一模式：它們不僅完美記憶所讀內容，還能將記憶攜帶至不受資料所有者控制的模型中。

本文指出，解決問題的關鍵在於重新設計資料室，將其轉變為“代理資料 enclave”——一個為代理工作而非單純閱讀而構建的受限環境。與僅提供介覽訪問的資料室不同，enclave 需要提供一系列服務，包括身份認證、記憶管理、工具呼叫以及動態資料整合，同時確保宿主方的資料主權。

作者調查了兩類相關研究：一類聚焦於代理自身的安全，運用加密記憶溯源、宣告式策略引擎、資訊流控制、事務性執行時和機密計算等技術；另一類關注跨組織資料共享，採用雙層機密虛擬機器、聯盟治理、資料託管平臺和聯邦分析等方法。然而，這兩類研究各自忽略了另一半問題：前者假設代理和資料屬於同一所有者，後者假設計算是無狀態的。唯一的交集——機密虛擬機器——仍未能觸及代理的記憶管理。

文章提出了代理資料 enclave 必須滿足的五項核心要求：一、精確控制代理可訪問的資料範圍；二、提供審計級別證明，記錄每次訪問；三、支援確定性回放以驗證行為；四、具備錯誤撤銷能力；五、控制代理記憶的保留與輸出。其中，第五項要求目前尚無任何現有研究能夠滿足。

實現這五專案標的關鍵架構決策是：將記憶視為代理作業系統的服務，而非代理自身的屬性。當訪問者的記憶屬於宿主而非訪客時，資料室才能真正為代理時代重建。這一重構將徹底改變企業間的盡職調查、供應鏈和合作夥伴工作流，將曾經需要數月法律審查的流程縮短至一個下午。