图灵奖得主迪菲预测:机器智能2050年将统治世界
图灵奖得主Whitfield Diffie在2026智源大会发表主旨演讲。
来源|智源社区
● ● ●
人工智能领域当前最受瞩目的研究方向,正从大模型驱动的语言理解、感知生成,迈向能够自主规划、调用外部工具、连续执行任务并直接影响真实世界的AI Agent。这一转向使核心问题变得尤为尖锐——智能体的行为边界究竟该如何设定。
2026年6月12日,北京智源大会上,图灵奖得主惠特菲尔德·迪菲(Whitfield Diffie)发表题为《护AI智能体之安|御AI智能体之险》的主旨演讲。他沿着现代密码学与信息安全的发展脉络,直击一个根本追问:一个具备自主行动能力的机器,其可信赖的边界在哪里?
迪菲是现代公钥密码学的奠基人。1976年,他与马丁·赫尔曼(Martin Hellman)共同发表《New Directions in Cryptography》,提出公钥密码与数字签名的基础思想,为开放网络下的安全通信、身份验证与数字信任奠定了基石。2015年,二人因此获图灵奖。此后,迪菲先后在Sun Microsystems、ICANN等机构从事安全与密码学相关工作,并长期参与密码学公共政策讨论。
“今天我想从两个关键词切入:AI,以及Agent。”迪菲并未急于抛出技术方案,而是先对“人工智能”“Agent”“信息安全”等概念进行细致拆解。人工智能一词自诞生便伴随争议。我们可以探讨人类智能、动物智能、机器智能,甚至更具想象力的智能形态;但真正的难点在于,“智能”本身极难定义。它与意识、自主性、创造力、表达能力、主动性、学习能力乃至“心智”等概念纠缠在一起,而这些词汇听起来都“有些像我们自己”。
“我们究竟在追求什么?”AI的传统领域涵盖问题求解、语言处理、博弈、机器控制、数学、视觉等。这些看似与人类智能相关,但计算机通常并非以人类方式完成这些任务。换言之,AI并非简单复制人脑到机器中,而是让机器以自有方式完成复杂且有用的工作。
迪菲将实践中的AI概括为“使计算机执行复杂、有用、且看似人类行为的事务”。
“计算机完成这些任务的方式,往往与人类不同。”AI的目标未必是复制大脑,而是创造具备未知能力的机器。沿此思路,他区分了两个方向:一是让机器做复杂且有用的事,不要求模仿人类;二是反向工程人脑,试图理解人类如何完成认知任务。今天大会聚焦的AI Agent浪潮,明显偏向前者——我们正赋予机器越来越多的外部工具、上下文和执行接口,让它们在真实环境中完成任务。
随之而来的问题也发生了转变。当机器能力不断扩展,我们不能再只问它“够不够聪明”,还必须追问它是否具备主动性,以及这种主动性是否被清晰地约束。
“Agent与普通程序或聊天机器人不同。普通聊天机器人更多是回应提问,而Agent具有主动性,会依据自身目标采取行动。”
迪菲对Agent的定义:具备主动性,能够采取行动,而非仅回应提示。
在人工智能领域,AI Agent并非全新概念,反而是一个古老话题。人类对“会行动的机器”的想象可追溯至数百年前。1770年的“机械土耳其人”国际象棋机器,后来被证实并不真正自主——内部隐藏着真人棋手。但这个故事恰好说明,人们很早就在渴望制造一种看似具备判断力与行动能力的机器。
今天情况已截然不同。这种想象正通过大模型、工具调用、自动化系统与联网软件,转变为工程现实。过去的“会行动的机器”可能只是机械表演,而当代AI Agent能够读写文件、检索信息、调用API、运行代码,甚至在复杂工作流中连续规划与执行。它越有用,就越需要权限;越接近真实工作,就越可能影响现实世界。
“因此,我们必须重新审视安全。”迪菲将当前软件安全概括为一种“反馈式”路径:先编写程序,程序出问题后再修补。这种方式类似控制论中的反馈循环——依靠故障、攻击、补丁、再部署来逐步优化系统。他说,时至今日,这仍是计算机安全的主流现实,但很难提供足够高的安全保证。尤其当AI Agent以机器速度采取行动时,“先失败、再修补”的成本将急剧上升。
面向AI Agent,真正值得追求的是更形式化的安全方法——在程序发布和运行之前,就对其行为边界获得更强确信。换言之,安全不应是事故后的补丁,而应在系统设计阶段就明确:Agent能看到什么?能调用什么?能修改什么?出现异常时如何被限制?它与其他程序、用户、数据之间的边界在哪里?
迪菲对比两种安全路径:反馈式修补与更高保证的形式化方法。
密码学是信息安全中“最成熟”的部分之一。无论是美国的AES还是中国的SM4,优秀密码系统通常能稳定运行多年。原因之一在于密码算法相对小巧,可被深入研究、分析与验证。一个对称加密算法,几行代码即可实现,其安全性虽依赖数学假设与工程细节,但至少能接受社区反复审查。
但现实世界的软件并非如此。编译器、操作系统、应用程序,以及未来大量运行的AI Agent,规模远超传统密码算法,也远超人类逐行验证的能力。安全难题不再只是证明一个小算法是否稳固,而是要理解庞大软件系统在无数状态、权限、输入和交互中的行为。
迪菲因而提出一个重要判断:我们期待AI自身能完成这类复杂验证与测试工作。AI可在发布前更充分地发现漏洞、生成测试、探索边界条件,甚至辅助形式化验证。换言之,AI不仅是安全的新挑战,也可能成为安全工程的新工具。
迪菲认为AI能显著改善发布前测试,但发布后的补丁窗口仍然危险。
但他也提醒,AI能改善发布前的测试,却无法完全解决发布后的安全问题。在软件更新世界里,攻击者会逆向分析补丁,用户往往需要数天、数周甚至数月才能完成安装,未打补丁的系统便成为攻击窗口。这一问题并不新鲜,至少可追溯至20世纪40年代;AI Agent只是将其放大到了更高速度、更高权限、更高复杂度的环境。
AI Agent的风险并不神秘。它首先继承了所有传统软件的风险。它们依然是进程,依然运行在操作系统中,依然访问文件、网络、内存、凭证和外部服务。不同之处在于,其行为更难以预测,任务链条更长,可能接触的资源更多,也更容易被人类赋予“替我完成事情”的授权。
“AI Agent本质上仍是计算过程。保护它们,需要我们保护所有计算过程所需的机制。”
那么,具体如何防范AI Agent本身可能带来的风险?迪菲特别强调Confinement,即约束与隔离。我们必须保证Agent只能访问被允许的资源,只能在授权边界内读取、调用和修改。这一点在当前编程实践中远远不够。
如果说传统软件安全关注的是“不要被外部攻击者攻破”,那么AI Agent安全还必须追问另一个问题:当Agent被赋予目标、工具和权限后,它是否会以我们不希望的方式完成任务?是否会读到不该读的数据?是否会调用不该调的接口?是否会将局部目标推进到越界的行动?因此,约束不应是事后补救,而应成为智能体系统的基础设计。迪菲借用机器人伦理中的经典想象提醒大家:机器可以服从人类命令,也可以保护自身运行,但前提是不能越过更高层级的法律、规则和安全边界。
面向AI Agent的安全核心之一,是确保其仅能访问被授权的资源。
计算与思考未必是同一回事,但在我们已知的事物中,计算比任何东西都更接近思考。这一判断并非将机器简单等同于人,而是提醒我们,计算系统正越来越深地进入那些过去只属于人类判断和行动的领域。
因此,迪菲将21世纪最重要的问题之一,指向人类与机器及其他非人类“智能”之间的互动。我们应如何向机器分配任务?在多大程度上信任机器的输出?如何限制机器的行动?如何在人类便利与系统安全之间建立制度化的平衡?这些问题不只是AI的技术问题,更是重要的社会问题。
迪菲将人类与机器、非人类智能的互动视为21世纪最重要的问题之一。
面对“机器智能是否会统治世界”的问题,迪菲没有给出简单的“是”或“否”。他提醒,机器未必以战争或冲突的形式与人类对立;更现实的情形是,人们会不断将事务交给更高效的系统处理,并逐渐接受机器在越来越多的社会与技术系统中承担运行角色。到大约2050年,机器智能可能包办大量事务。真正需要思考的是,在这一过程发生之前,我们是否已建立足够可靠的边界、规则与安全机制。
报告结尾,迪菲以犀利方式提醒听众思考机器智能扩展后的治理问题。
迪菲:“机器智能会统治世界吗?当然!人类喜欢让别人代劳,到2050年前后,机器智能将包办一切,并成为真正掌控世界运行的主角。”
现场对话
Q:密码学与现代AI系统之间的相似点和区别是什么?
A:密码学是一门严谨学科,需要明确的威胁模型与形式化证明。我们如今达到的形式化研究其实在上世纪就已开始。许多数学家对密码学感兴趣,希望构建安全的密码系统,这正是我们当时的兴趣所在。Cook与Karp等人也获得过图灵奖,当时主要问题在于复杂性原理绝非易事。一般说来,对于简单工作——比如计算机中的加法器已相当完善——我们也在考虑建立一些函数系统,递归函数理论也非常成功,如今还有NP复杂性等。可验证的密码学理论非常困难,需要完备的密码系统与解密系统。
Q:对于现代AI系统,我们是否有非常严谨的理论基础来验证其操作模式?
A:从某种程度上说,我们希望通用人工智能能胜任任何任务。因此我们需要写下关于它的规格,看它是否能符合未来的规格。先写出规格,这是非常务实的第一步。有时我们会觉得大语言模型和AI容易出现幻觉,我们希望解决幻觉问题。当前AI系统基于概率程序,但安全规则非常严格。我们一直在竭尽全力做密码学,希望让一些系统具备一定灵活度,但有时也并非面面俱到。
Q:公钥密码学的成功不仅依赖数学,还涉及协议、部署实践及标准制定等。您认为我们应如何建立大模型安全的基础设施?
A:我们花了几十年建立密码系统,制定相关协议,并在互联网上交付密码技术。如果现在重新做,未来几年内密码学也会面临新的革新——比如量子计算可能威胁现有密码系统。70年代我们就已建立早期密码系统,若要实现重大变革,必须做出非常大的调整,因此会出现密码学领域的新标准等。同样,在未来几年里我们将面对AI系统,需要逐渐理解它们,我相信它们也会不断理解我们,相互加深彼此理解。