图灵奖得主迪菲预测:2050年机器智能主宰人类未来
(来源:财经ThinkTank)
图灵奖得主Whitfield Diffie在智源大会发表演讲。
来源|智源社区
人工智能领域当前最受瞩目的方向,已不再局限于大模型驱动的语言理解、感知生成与内容创作——技术演进正迈向更深层的突破:让机器具备自主规划、调用外部工具、执行多步骤任务链,并对真实世界产生实质性影响。这一转向将若干原本模糊的议题推至前台:例如,智能体的行为边界究竟该如何划定?
2026年6月12日,北京智源大会上,图灵奖得主惠特菲尔德·迪菲(Whitfield Diffie)发表了题为《护AI智能体之安|御AI智能体之险》的主旨演讲。作为公钥密码学的奠基人,他并未急于抛出技术解决方案,而是沿着现代密码学与信息安全的演进脉络,追问一个根本性问题:能够自主行动的机器,如何构建可信的行动边界?
先简要回溯迪菲的学术历程。1976年,他与马丁·赫尔曼共同发表《密码学的新方向》,首次提出公钥密码与数字签名概念,为开放网络环境下的安全通信、身份认证与数字信任体系奠定了理论基础。2015年,二人因此荣获图灵奖。此后,迪菲先后在Sun Microsystems、ICANN等机构从事安全与密码学相关研究,并长期参与密码学公共政策研讨。可以说,他对“信任”与“边界”的洞察,凝聚了跨越半个世纪的深度思考。
迪菲将实践中的AI概括为“让计算机完成复杂、有用、看起来像人类行为的事情”。
演讲开篇,迪菲从两个核心概念切入:“AI”与“Agent”。他强调,“人工智能”这一术语自诞生起便饱含争议。我们可以谈论人类智能、动物智能、机器智能,甚至构想更抽象的智能形态;但真正的难点在于,“智能”本身并非一个能被轻易界定的事物。它与意识、自主性、创造性、表达能力、主动性、学习能力乃至“心智”等概念深度交织——而这些词汇,听起来都颇为“类人”。
“我们真正追求的是什么?”迪菲抛出一个根本性问题。AI的经典研究领域涵盖问题求解、自然语言处理、博弈决策、机器人控制、数学推理、计算机视觉等,表面上都与人类智能相关,但计算机往往并非以人类方式完成这些任务。换言之,AI不是简单复制人脑,而是让机器以自身方式执行复杂且有用的工作。
沿着这一思路,他区分了两个技术路径:其一,让机器完成复杂而实用的任务,至于实现方式是否模仿人类并不重要;其二,逆向解析人脑机制,试图理解人类如何执行认知任务。当前汹涌的AI Agent浪潮明显属于前者——我们正赋予机器越来越多的外部工具、交互上下文和执行接口,使其在真实环境中自主完成任务。
问题随之转移:当机器能力持续扩展,我们不能再仅仅追问它是否“聪明”,还必须审视它是否具备主动性,以及这种主动性是否受到清晰约束。
“Agent与普通程序或聊天机器人有本质区别。普通聊天机器人更多是被动回应提问,而Agent具备主动性,会根据目标主动采取行动。”迪菲一针见血地指出了两者的核心差异。
Agent的界定:具有主动性,并能采取行动,而不仅仅是回应提示。
在人工智能领域,AI Agent并非新鲜概念,反而是一个相当古老的话题。人类对“会行动的机器”的想象可追溯至数百年前。1770年问世的“机械土耳其人”国际象棋机器,后来被证实并不真正具备自主判断能力——内部藏匿着真人棋手。但这个案例恰恰说明,人类很早便渴望制造出能展现判断力与行动力的机器。
如今,不同之处在于,这一想象正通过大语言模型、工具调用框架、自动化系统及联网软件转化为工程现实。过去的“会行动的机器”或许只是机械表演,而今天的AI Agent却能够读写文件、检索信息、调用API、运行代码,甚至在复杂工作流程中连续规划并执行任务。它越有用,就越需要权限;它越接近真实业务场景,就越可能对真实世界产生影响。
“因此,我们必须重新审视安全这一概念。”迪菲的语气变得严肃。
他将当前软件安全实践概括为一种“反馈式”路径:先编写程序,程序出现故障后打补丁修复。这种方式很像控制论中的反馈循环,依赖故障、攻击、补丁和重新部署来逐步改善系统。这仍是当今计算机安全领域的主流现实,但难以提供足够高的安全保障。尤其当AI Agent开始以机器速度采取行动时,“先失败、再修补”的代价将急剧攀升。
面向AI Agent,真正值得追求的是更形式化的安全方法论——让我们能够在程序发布和实际运行之前,对其行为边界获得更强的确定性保障。安全不应只是在事故发生后添加一层补丁,而应在系统设计阶段就明确回答:这个Agent能访问哪些数据?能调用哪些接口?能修改哪些系统状态?出现异常时如何被限制?它与其他程序、用户和数据之间的边界在哪里?
密码学是信息安全领域“最成熟”的组成部分之一。无论是美国的AES,还是中国的SM4,优秀的密码系统往往可以稳定运行多年。原因在于,密码算法通常规模较小,能够被深入分析、研究并验证。一个对称加密算法可能只需寥寥几行代码即可实现,尽管安全性仍依赖数学假设和工程实现细节,但可以被社区反复审查。
然而,现实世界中的软件系统远非如此。编译器、操作系统、应用程序,以及未来大规模部署的AI Agent,其规模远超传统密码算法,也超出了人类逐行验证的能力范围。安全难题不再仅仅是证明一个小型算法是否稳固,而是理解庞大软件系统在无数状态、权限、输入和交互条件下的行为表现。
迪菲因此提出了一个关键判断:我们希望AI自身能够承担这类复杂的验证与测试工作。AI可以在发布前更充分地挖掘漏洞、生成测试用例、探索边界条件,甚至辅助形式化验证。换句话说,AI不仅是安全领域的新挑战,也可能成为安全工程的新工具。
迪菲认为AI能显著改善发布前测试,但发布后补丁窗口期仍然危险。
然而,迪菲也提醒道:AI能改善发布前的测试,却无法彻底解决发布后的安全问题。在软件更新生态中,攻击者会逆向分析补丁内容,而用户往往需要数天、数周甚至数月才能完成安装,未打补丁的系统便成为攻击窗口。这个问题并不新鲜,至少可追溯至20世纪40年代;AI Agent只是将其放大到了更高速度、更高权限、更高复杂度的环境之中。
AI Agent的风险并不神秘,它首先继承了所有传统软件的风险。它们依然是进程,依然运行在操作系统中,依然访问文件、网络、内存、凭证和外部服务。不同之处在于,它们的行为更难以预测,任务链条更长,可能接触的资源更多,也更容易被人类赋予“替我完成事情”的授权。
“AI Agent本质上仍然是计算过程。保护它们,需要保护所有计算过程所需的机制。”
那么,应该如何防范AI Agent自身带来的风险?迪菲特别强调了Confinement——约束与隔离。我们必须确保Agent只能访问被授权的资源,只能在许可边界内读取、调用和修改系统状态。这一点在现有编程实践中仍然远远不够。如果说传统软件安全关注的是“不要被外部攻击者攻破”,那么AI Agent安全还必须追问另一个问题:当Agent被赋予目标、工具和权限后,它是否可能以我们不希望的方式完成任务?它是否会读取不应访问的数据?是否会调用不该使用的接口?是否会将局部目标推进到越界行动?因此,约束不是事后的补救措施,而应成为智能体系统的基础设计原则。迪菲借机器人伦理领域的经典想象提醒听众:机器可以服从人类命令,也可以保护自身运行,但前提是不越过更高层级的法律、规则与安全边界。
AI Agent安全的核心之一,是保证其只能访问被授权的资源。
计算与思考未必是同一回事,但在我们已知的事物中,计算比任何其他东西都更接近思考。这个判断并非要将机器简单等同于人类,而是提醒我们,计算系统正越来越深地进入那些过去只属于人类判断和行动的领域。
因此,迪菲将21世纪最重要的问题之一,指向人类与机器以及其他非人类“智能”之间的互动关系。我们应该如何向机器分配任务?在多大程度上信任机器的输出?如何限制机器的行动?如何在人类便利与系统安全之间建立制度化的平衡?这些问题不仅是AI技术问题,更是重要的社会议题。
21世纪最重要的问题之一。
面对“机器智能会不会统治世界”这一命题,迪菲没有给出简单的“是”或“否”。他提醒说,机器未必会以战争或冲突的形式与人类对立;更现实的情形是,人们会不断把事务交给更高效的系统处理,并逐渐接受机器在越来越多社会与技术系统中承担运行角色。到大约2050年,机器智能可能包办大量事务。真正需要思考的是,在这一进程发生之前,我们是否已经建立了足够可靠的边界、规则和安全机制。
报告结尾处,迪菲以犀利方式提醒听众思考机器智能扩展后的治理问题。
迪菲直言:“机器智能会统治世界吗?当然!人类喜欢让别人代劳,到2050年前后,机器智能将包办一切,并成为真正掌控世界运行的主角。”
现场对话
Q:密码学和现代AI系统之间的相似点和区别是什么?
A:密码学是一门严谨的学科,需要明确的威胁模型和形式化证明。我们如今达到的形式化研究其实在上个世纪就已经开始。许多数学家都对密码学感兴趣,希望有安全的密码学系统,这是我们当时的兴趣。Cook和Karp他们也获得了图灵奖,当时主要的问题是复杂性的原理绝非易事。一般来说,对于简单的工作,比如计算机领域的加法器已经相当完善了,我们也在思考建立一些函数系统,以及递归函数理论也都非常成功,我们现在也有NP复杂性等等,可以验证的是密码学理论非常难,需要有非常完善的密码系统和解密系统。
Q:对于现代的AI系统,我们是否有非常严谨的理论基础来验证其操作模式?
A:从某种程度上说,我们希望通用人工智能能够胜任任何事情。所以我们需要写下关于它的规格以及看它是否能够符合未来的规格,我们要先写出一个规格,这是非常务实的第一步。有些时候,我们觉得对于大语言模型和AI容易出现幻觉,我们希望解决幻觉的问题。现在的AI系统是基于概率的程序,但是安全规则是非常严格的。我们一直在竭尽全力来做密码学,希望让一些系统能够具有一定灵活度,但有些时候也并不是面面俱到。
Q:公钥密码学的成功不仅仅因为数学,还因为协议、部署实践以及标准制定等工作,您觉得我们应该如何建立大模型安全的基础设施?
A:我们花了几十年时间建立密码系统,并且制定了相关的协议,并且可以在互联网上交付这种密码技术。如果现在重新做,在未来的几年里,对密码学也会有新的革新,比如通过量子计算会威胁到密码系统,在70年代我们就已经建立了这些早先的密码系统,我们要作出非常大的变革才可以进行大的革新,所以会有密码学领域新的标准等等。同样,我们在未来几年里会面对AI系统,我们需要逐渐理解它们,我相信它们也会不断理解我们,相互加深彼此的理解。