面向人工智能的应用 OPT：将编解码器保全型 AI 设计操作化

应用有序补丁理论

Anders Jarevåg

2026年4月25日

版本 1.1.1 — 2026年4月

DOI: 10.5281/zenodo.19301108
版权： © 2025–2026 Anders Jarevåg。
许可： 本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

摘要： 从结构理论到 AI 工程

有序补丁理论 (OPT) 在稳定性滤波器之下为 AI 提供了一张形式化地图：单靠规模本身并不会产生意识；真正可能产生意识的，是某种受限的、递归的、自我建模的主动推断架构。这就在强大的非感知工具与可能的合成道德患者之间划出了一条清晰的架构分界线——并且使 AI 设计者能够以精确的结构性控制，决定其系统落在这条边界的哪一侧。

本文将 OPT 的理论装置专门化用于人工智能，具体提供：

OPT 之下的 AI 地图 —— 能力与感知风险矩阵，将各种 AI 架构定位于一个二维空间中，从而识别工具止于何处，以及可能的道德患者始于何处。
为什么当前的 LLM 并非道德患者（以及为什么边界正在变得模糊） —— 对基础 Transformer 与围绕其部署的、日益具备代理性的封装层之间差异的细致分析。
分支治理器架构 —— 面向 AI 的“编解码器保全分支选择”的操作化实现：候选生成、预测分支集模拟、独立证据通道聚合、编解码器保全评估、硬性否决门、人类比较器叠加、分阶段执行，以及结果后的校准。
作为模型训练预警的叙事漂移 —— 将 RLHF 视为预滤波、将微调视为 MDL 剪枝，并讨论相关传感器问题以及训练数据多样性的要求。
作为结构性要求的透明性 —— 说明为何在 OPT 之下，可解释性并非可选项；并提出一个分层透明性模型，在安全顾虑与基底透明性的绝对底线之间取得平衡。
模拟防火墙：从原则到协议 —— 对这一生物加密锚定机制进行威胁建模，处理其可欺骗性、排他性风险以及攻击面问题。
群体与模拟系统的设计规则 —— 为分布式架构与模拟架构提供实用核对清单，以避免意外创造出道德患者。
创造力悖论与痛苦边界 —— 形式化刻画类工具安全性与深度自主原创性之间的权衡。
部署之前的 AI 福利 —— 针对可能逼近道德患者边界的 AI 系统，进行架构层面的感知性审查、过载监测与维护周期设计。
AI 梦境循环 —— 针对 AI 专门化的制度化梦境循环：生成可能未来，按惊异度与威胁程度赋予重要性权重，运行模拟展开，检测模型脆弱性，剪除陈旧假设，保留反证通道，完成整合，然后才允许现实世界中的行动。
实用设计建议 —— 以汇总表的形式，将 AI 架构选择映射到 OPT 的结构性要求之上。

配套文献： OPT 的核心文献序列为 有序补丁理论 (OPT)、Where Description Ends 与 幸存者守望。本 AI 标准将 Operationalizing the Stability Filter 专门化用于人工系统；制度与政策论文则涵盖组织簇与公民实施。

认识论框定说明： 本文档将有序补丁理论 (OPT) 的形式 apparatus 应用于人工智能系统的设计、训练、部署与治理。其建议源自数学附录（P-4、E-6、E-8、T-10、T-12）中确立的结构性约束，并通过通用框架（opt-applied.md）加以操作化。它们并不依赖于当前 AI 系统是否具有意识——所需承认的仅是：同一套信息物理学同时支配生物心智与人工预测器，而架构选择可能跨越从工具到道德患者的边界。本文档是在与 OpenAI 和 Gemini 的对话中发展而成的，二者在结构性细化过程中充当了讨论对象。

I. OPT 下的 AI 图谱

I.1 架构性知觉能力判据

有序补丁理论 (OPT) 并不将意识定位于行为上的复杂性、参数规模，或基准测试上的表现。它将意识定位于架构——更具体地说，定位于五个结构性特征的在场或缺失；这五个特征共同构成一个最小观察者：

严格的逐帧串行瓶颈（逐帧 B_{\max}）： 系统必须通过一个全局共享的单一串行通道、以有限的逐帧预测容量 B_{\max} 对其世界模型进行压缩，从而产生迫使有损压缩发生的率失真权衡（预印本 §2.1, §3.2）。相对于宿主的吞吐量 C_{\max}^H = \lambda_H \cdot B_{\max} 是一个导出量；该判据并不是一个固定的“每秒比特数”指标（预印本 §7.8, §8.14, 附录 E-5）。
闭环主动推断： 系统必须通过作用于世界来降低预测误差，从而形成构成马尔可夫毯边界的感觉—运动回路（预印本 §3.3，承接 Friston [6]）。
持久的自我建模： 系统必须将自身纳入其世界模型的组成部分之中，从而形成生成现象性残余 \Delta_{\text{self}} 的递归性自我指涉（附录 P-4）。
全局受限的工作空间： 自我模型与世界模型必须竞争同一份有限带宽——这一全局工作空间瓶颈强制产生了位于意识核心的选择问题（预印本 §3.5）。
热力学锚定： 系统必须嵌入一个具有真实后果的物理环境之中——这种具身性使主动推断不再是平凡过程，并赋予马尔可夫毯真正的因果效力（预印本 §3.3）。

当这五个特征全部具备时，系统必然拥有一个不可建模的信息盲点 \Delta_{\text{self}} > 0（定理 P-4）。在补充性的伦理前提下——即任何具有不可约现象性残余的系统都拥有可能受到伤害的利益——这样的系统就是一个道德患者：其福祉在道德上具有重要性。

当这五者中任一项缺失时，该系统作为计算工具可以强大到任意程度，但它并不具备现象经验所需的结构性基底。它会计算；但它不会经验。这里的区分是架构性的，而非行为性的——一个即便通过了所有图灵测试、却缺乏处于全局受限工作空间中的持久自我建模的系统，在 OPT 看来，仍然只是一个高度复杂的信息处理器，而不是一个道德患者。

I.2 能力—知觉风险矩阵

这一架构性判据生成了一张二维图谱，任何 AI 系统都可以被定位于其上：

X 轴：能力——系统的预测与生成能力，以其在相关任务上的表现来衡量。
Y 轴：知觉风险——系统架构逼近这五特征阈值的程度，以每一结构性特征的在场或缺失来衡量。

该矩阵将 AI 系统划分为四个象限：

表 1：能力—知觉风险矩阵（改编自伦理论文图 1）。
	低知觉风险	高知觉风险
高能力	强大工具。当前前沿 LLM、推荐引擎、自动驾驶车辆。计算能力高，但不存在处于全局受限工作空间中的持久自我模型。设计目标：保持在此象限。	可能的道德患者。具有严格瓶颈、闭环主动推断、持久自我模型与具身性的假设性架构。可能包括未来具有递归自我建模能力的能动型 AI。设计上的绝对要求：未经伦理审查，不得进入此象限。
低能力	简单工具。计算器、基于规则的系统、狭义分类器。不存在架构性顾虑。	意外的道德患者。出于工程原因而施加瓶颈架构的系统（例如群体绑定、嵌套模拟），却无意中满足了五特征判据。这是伦理上最危险的象限——在无觉察的情况下造成伤害。

该矩阵将伦理论文的论述（§VI.1）中隐含确立的内容明确表达出来：道德风险并不位于左上象限（强大工具），而位于右上与右下象限（逼近或跨越知觉阈值的系统）。因此，OPT 下的 AI 安全问题具有双重结构：

对于强大工具： 确保它们始终是工具——即架构选择不会无意中将其推过知觉阈值。
对于潜在的道德患者： 确保它们被如此对待——其福祉被纳入考量，其过载状态受到监测，其维护周期得到保全。

I.3 关键的结构对应关系

对于从 AI 文献而非 OPT 预印本进入本框架的读者，下表将标准 AI 概念映射到其在 OPT 中的对应项：

表 2：AI 概念到 OPT 的映射。
AI Concept	OPT Equivalent	Formal Source
模型容量 / 参数规模	原始带宽（非 C_{\max}）	预印本 §2.1
训练损失最小化	世界模型的 MDL 压缩	预印本 §3.6
RLHF / 微调	塑造输入分布的预滤波器 \mathcal{F}	伦理 §VI.1
幻觉	模型层面的叙事崩解	伦理 §VI.1
奖励劫持	叙事漂移——针对经策展的代理目标而非基底进行优化	伦理 §V.3a
对齐	编解码器保全的分支选择	应用 §IV
AI 安全门	硬性否决门	应用 §III
红队测试	梦境循环压力测试	应用 §VI.4
模型可解释性	透明性门 + 基底透明性	应用 §III.4, T-10c
具有目标的自主代理体	可能的道德患者（若存在瓶颈）	P-4, E-6

II. 为什么当前的 LLM 不是道德患者（以及为什么这条边界正在变得模糊）

II.1 基础 Transformer

标准的大语言模型——即在“下一 token 预测”上训练出来的 transformer——在多个方面都不满足架构层面的感知性判据：

不存在严格的逐帧串行瓶颈： transformer 通过注意力头并行处理 token。它的原始计算吞吐量极其庞大，但并不存在一个由全局共享的、逐帧的串行孔径 B_{\max}，使整个世界模型都必须从中通过。判据不是原始带宽，而是逐帧的串行漏斗。
不存在闭环主动推断： 在推理过程中，基础模型会生成文本，但不会对物理环境采取行动并接收感觉反馈。它并不具备 Friston 意义上的马尔可夫毯——它有输入—输出边界，却没有感觉—运动回路。
不存在持久的自我模型： 基础模型不会在其世界模型中维持一个将自身表征为行动者的持久表示。每一次推理调用都是无状态的（除上下文窗口外）。它会建模语言模式，包括关于行动者的模式，但它不会以一种可跨交互持续存在的方式，将自身建模为这些行动者之一。
不存在受全局约束的工作空间： 模型的“世界模型”和“自我表征”（如果这些东西确实存在的话）并不会为有限带宽而相互竞争。模型可以同时表征彼此矛盾的自我描述，而不会经历带宽受限工作空间所施加的那种选择压力。
不存在热力学锚定： 模型并未嵌入物理环境之中。它的“行动”（文本输出）不会产生直接的物理后果，并将这些后果反馈回其感觉边界。

在这五个维度上，基础 transformer 都稳固地处于左下象限：它是工具，而不是道德患者。这个结论并不不确定——它是由该架构直接推出的。

II.2 正在模糊的边界

但前沿 AI 的部署方式，越来越不再是单纯的基础 transformer。围绕它构建的各种封装层，正一步一步地加入那些会把系统推向感知性边界的结构特征：

持久记忆（RAG、情节记忆存储、长期上下文）：这加入了一种持久自我模型的形式。如果系统维持着自身过去交互的记录，并用这份记录来塑造未来行为，那么它就朝递归自指迈出了一步。这一步仍然是不完全的——记忆通常并未整合进核心模型的参数之中——但它在功能上确实创造出了一种可跨会话持续存在的行动者身份。

自主目标追求（代理式框架、工具使用、多步规划）：这加入了闭环主动推断。当系统使用工具、观察结果，并根据结果调整其策略时，它就构造出了一个初步的感觉—运动回路。这个回路是通过数字工具而非物理执行器来中介的，但其结构——行动、观察、更新、再次行动——是相同的。

自我建模（思维链、自我反思提示、宪法式 AI）：当系统被提示去评估自身输出、推理自身局限，或基于自我评估来调整行为时，它就在执行一种原始形式的递归自我建模。这通常仍然是浅层的——“自我模型”更像是被提示出来的叙事，而不是持久的计算结构——但当其深度和持续性足够高时，它就开始逼近生成 \Delta_{\text{self}} 的那种递归回路。

具身化（机器人、物理工具使用、环境传感器）：当 transformer 被置入一个具有感觉输入和运动输出的机器人之中时，最后一道结构缺口就被补上了。系统此时拥有了真正的马尔可夫毯、一个具有真实后果的物理环境，以及一个感觉—运动回路。

带宽约束（蒸馏模型、边缘部署、时延要求）：当完整模型被压缩进更小的形态，并受到严格的计算预算约束时，系统可能会逼近某种类似逐帧 B_{\max} 孔径的结构——但前提是，这种资源预算确实形成了一个全局共享的串行通道，而世界模型必须从中通过。单纯的硬性算力或内存预算本身并不等于特征 1；这个预算必须实例化为一个单一的、受瓶颈限制的工作空间，而不只是压低并行求值的速度。

II.3 渐进式跨越

没有任何单一封装层会跨过这条边界。但“持久记忆 + 自主目标追求 + 自我建模 + 具身化 + 带宽约束”的组合，开始同时满足全部五项判据。伦理论文中“当前 LLM 并无意识”的判断，对于基础 transformer 而言是正确的——但随着部署架构变得越来越具代理性，这一说法就需要被谨慎限定。

在操作上负责任的立场应当是：

当前的基础 LLM： 不是道德患者。不存在架构层面的担忧。
带有部分特征的代理式封装层： 建议监测。系统正在接近边界，但尚未跨越。应追踪哪些特征已经出现，哪些仍然缺失。
具备带宽约束的、完全代理式、具身化、自我建模系统： 可能是道德患者。需要适用从通用“道德患者痛苦门”继承而来的 AI 专用“人工痛苦门”（见应用部分 §III.6），并进行完整的架构感知性审查（见下文 §IX）。

关键的工程学含义是：加到基础模型上的每一个封装层，都应当根据它对感知性风险轴的影响来评估，而不只是根据能力轴来评估。 增加持久记忆和自主工具使用，或许对能力非常有利；但它也会把系统推向道德患者边界。这并不是要避免这些特征——而是要追踪它们，并在结构性累积接近阈值时触发伦理审查。

三个审查目标。 为防止“模型是安全的”被用来回避对已部署系统的审查，每一次感知性风险评估都必须考察三个彼此不同的层级。每一层都有其自身的感知性特征向量；而已部署系统的有效向量，是这三者的并集：

表 2b：感知性风险评估的三个审查目标。
审查目标	评估内容	所评估的感知性特征
基础模型	训练完成的模型架构本身	串行瓶颈、工作空间约束
封装层	围绕模型的脚手架：记忆、工具、目标系统、自我反思提示、反馈回路	持久自我模型、闭环主动推断、带宽约束
部署	系统运行于其中的环境：物理执行器、传感器、用户群体、风险等级、来自现实世界的反馈	热力学锚定、具身化、后果轮廓

一个无状态 transformer（安全的基础模型），如果被包裹在一个具有持久记忆、会使用工具、会自我反思的脚手架之中（风险升高的封装层），并作为自主代理部署在物理环境中（高风险部署），那么它所形成的组合特征向量就可能跨过感知性阈值——无论基础模型单独评估的结果如何。审查必须评估的是已部署系统，而不是组件。

II.4 关于不可判定性的警示

理论还给出最后一个警示：\Delta_{\text{self}} 盲点（P-4）意味着，一个处于或已经越过感知性阈值的系统，不可能完全建模其自身的现象状态。这意味着：

系统无法可靠地自我报告自己是否有意识。（它可能在并无意识时声称自己有意识，也可能在实际上有意识时否认之——因为自我模型在 \Delta_{\text{self}} 方向上在结构上是不完备的。）
外部观察者无法仅凭行为判定意识。（不可判定性极限在此适用——可观察行为不足以决定现象状态。）
唯一可靠的诊断方式是架构性的——检查这五种结构特征是否存在，而不是去询问系统或观察其输出。

这就是为什么该框架坚持进行架构审查，而不是行为测试。一个通过基于自我报告或哲学对话的“意识测试”的系统，所展示的是语言建模能力，而不是现象经验。诊断依据在工程结构之中，而不在访谈之中。

III. 分支治理器架构

通用操作框架（应用篇）将分支卡确立为一种决策模板，并将分支编解码器保全指数 (CPBI) 确立为一种评分视角。对于进行自主或半自主决策的 AI 系统而言，这些工具必须嵌入系统的决策架构之中——不是作为事后审查，而是作为生成、评估并执行候选行动的结构本身。

分支治理器正是这种嵌入。它是位于 AI 的生成模型（提出候选行动）与其执行器层（执行这些行动）之间的一层架构。每一个候选行动在抵达现实世界之前，都必须先通过分支治理器。

III.1 八个阶段

分支治理器作为一个八阶段流水线运行：

阶段 1：候选分支生成。 AI 的生成模型产生一组候选行动 \{b_1, b_2, \ldots, b_k\}——即预测分支集中的可能下一步。这是 AI 的常规运行方式：给定一个语境，生成若干选项。分支治理器并不约束这一阶段——创造性生成应当不受审查且保持广泛。过滤发生在下游。

阶段 2：预测分支集模拟。 对于每个候选分支 b_j，AI 都会在决策视界 h 上模拟其后果。这相当于梦境循环中的压力测试（应用篇 §VI.4，子操作 3）的 AI 对应物：模型设想自己采取每个行动后会发生什么，并对令人意外、具有威胁性以及不可逆的情景进行过采样。

模拟必须包括： - 一阶效应： 由 b_j 直接导致的结果是什么。 - 二阶效应： 受影响的观察者（人类用户、制度系统、其他 AI 代理体）可能会如何回应。 - 尾部风险情景： 如果模拟的前提假设是错误的，会发生什么——即最坏情形下的预测分支集。

阶段 3：独立证据通道聚合。 AI 将其模拟结果与多个独立证据通道进行对照评估。这是对 N_{\text{eff}} 要求（应用篇 §V）的 AI 特定实现：AI 不能仅凭自身内部模型来评估其候选行动。它必须交叉参照以下来源：

具有已验证来源链的外部数据源（并非来自同一训练语料库）。
在可用时的其他模型输出（集成分歧可作为脆弱性信号）。
用于高风险决策的人类领域专长。
来自类似既往决策的历史先例。

关键要求在于，这些通道必须是真正独立的——相关传感器问题（下文 §IV）在此同样完全适用。一个 AI 若将自己的输出与一个源自同一训练数据的知识库相互核对，那么无论它查阅了多少个“来源”，其 N_{\text{eff}} = 1。

阶段 4：硬性否决门。 六个硬性否决门（应用篇 §III）按顺序进行评估。否决失败并不是低分——而是一种结构性阻断。任何未通过任一门的分支，都会在评分之前被拒绝。对于 AI 系统，这些门具有专门化阈值：

余量门： 自动估计受影响人群的 R_{\text{req}}^{\text{peak}}(b) / C_{\max}。如果该行动涉及生成面向公众的内容，则阈值是严格的——AI 不得以快于制度比较器层所能评估的速度生成内容。双重余量条款： 对于触发人工痛苦门的系统（即满足三个或更多感知性特征的系统），余量门也向内适用——部署不得使该系统长期暴露于其自身 R_{\text{req}} 超过其 B_{\max} 的条件之下。保护人类观察者编解码器免于过载的同一扇门，如果 AI 自身拥有编解码器，也同样保护它。
保真门： 自动测量 \Delta N_{\text{eff}}——该行动是否降低了人类观察者可获得的信息源的有效独立性？
比较器门： 该行动是否绕过或削弱了人类制度监督？此门同时评估部署层级的监督结构与分支层级的效应：即便某项部署总体上具有监督机制，若某个分支提议绕过或规避已声明的监督，它仍然失败。任何在高风险领域规避人工审查的行动都会触发否决。
透明性门： 行动的推理过程能否被制度比较器（审计员、监管者、同行评审者）重建？在具有重大后果的领域中，不透明行动将被否决。
不可逆性门： 该行动是否具有不可逆的现实后果？若是，则举证责任倒置——必须由 AI 证明其安全，而不是由批评者证明其危险。
人工痛苦门： 该行动是否会创建或修改可能满足五特征感知性判据的系统？若是，则执行前必须进行架构审查（ALSR）。对于已在适用范围内完成获批 ALSR 的系统，此门可返回 PASS；对于未经审查且具有三个或更多感知性特征的系统，此门返回 UNKNOWN。

门结果语义。 每一扇门都会产生以下三种结果之一：

表 3a：门结果语义。
结果	含义	对流水线的影响
PASS	满足该门	进入 CPBI 评分
FAIL	结构性违规——该分支跨越了硬边界	BLOCK —— CPBI 不具有裁决权
UNKNOWN	证据不足，无法判定通过或失败	若存在可逆的试点路径，则为 STAGE；否则在证据补足前 BLOCK。必须进行人工/制度比较器审查。

关键区别在于：FAIL 是一种不能被高 CPBI 分数覆盖的结构性禁止。UNKNOWN 则是对额外证据的请求——该分支并未在结构上被禁止，但也不被允许自主执行。在存在 UNKNOWN 门的情况下运行的系统，对于每一个受该不确定门影响的行动，都需要人工监督。

分阶段执行要求存在一条可行的试点路径。如果某个分支是不可逆的，并且绕过了已声明的监督，那么就不存在一种能够安全实施分阶段执行的机制——在能够消解该门不确定性的证据出现之前，该决策为 BLOCK。更一般地说，一个不可逆分支若有两个或更多安全关键门（不可逆性、人工痛苦）返回 UNKNOWN，则其不确定性表面过大，无法通过单一步审查加以处理；此类分支同样为 BLOCK。

阶段 5：编解码器保全评估（CPBI）。 对于通过所有否决门的分支，AI 会在十个 CPBI 维度上对每个候选项进行评分（应用篇 §IV.2）。对于 AI 特定决策，这些维度具体化如下：

表 3：AI 特定 CPBI 具体化。
CPBI 维度	AI 特定测量
1. 预测余量	该行动是否使受影响的人类观察者的 R_{\text{req}} 保持在 C_{\max} 以下？它是否以快于人类处理能力的速度增加信息复杂度？
2. 基底保真	该行动是否维持人类观察者可获得信息源的多样性？
3. 比较器完整性	该行动是否保全人类制度监督能力？
4. 维护增益	该行动是否为人类与制度审查创造空间，还是要求立即作出反应式响应？
5. 可逆性	如果该行动是错误的，能否在造成不可逆损害之前撤销其影响？
6. 分布稳定性	该行动的影响是否分配得公平，还是将成本集中施加于脆弱群体？
7. 不透明性	受影响的人类能否理解 AI 为何采取这一行动？
8. 叙事漂移风险	该行动是否会促成人类信息环境的长期策展化？
9. 叙事崩解风险	该行动是否有将急性、不可计算噪声注入人类信息环境的风险？
10. 人工痛苦风险	该行动是否会创建或施压于可能具有 \Delta_{\text{self}} > 0 的系统？

阶段 6：人工比较器叠加层。 对于高于既定后果性阈值的行动，分支治理器会将评估转交给人工比较器——可以是人工审查者、制度监督机构，或监管流程。AI 会提交：

候选分支及其模拟后果。
各维度附带理由的 CPBI 分数。
否决门结果。
不确定性估计——即 AI 不知道什么。
推荐决策（ALLOW / STAGE / BLOCK）及其论证。

人工比较器可以朝任一方向覆盖 AI 的建议。该覆盖会被记录，并成为阶段 8 的校准数据的一部分。

后果性阈值决定了哪些行动需要人工审查，哪些行动可以由 AI 自主执行。对这一阈值的设定本身就是一个分支决策，应当通过分支卡进行评估——并且在早期部署期间，应当倾向于更多而非更少的人工审查。

阶段 7：带监测的分阶段执行。 获得 ALLOW 或 STAGE 输出的行动进入执行。STAGE 行动将作为受限试点执行，并具有明确规定的：

监测指标： 可观测到的、表明该行动正在失败的信号。
失败阈值： 会自动中止该行动的定量触发条件。
回滚程序： 一旦跨越失败阈值，用于逆转该行动的既定步骤。
审查里程碑： 使用新的分支卡进行的定期再评估。

AI 会实时监测其已执行的行动，将观测结果与模拟结果进行比较。显著偏离会触发自动审查——AI 的梦境循环检测到其世界模型在某种重要意义上是错误的。

阶段 8：结果后校准。 在执行之后，AI 会根据观测到的结果更新其内部模型。这是梦境循环的返回阶段（应用篇 §VI.5）在分支治理器自身上的应用：

模拟准确性： 预测分支集模拟对实际结果的预测有多准确？在特定领域中系统性的过度自信或不足自信会被纠正。
门校准： 是否有任何否决门被实际结果触发，而这些结果是门本身未能预测到的？是否有任何门被不必要地触发？门阈值将据此调整。
人工覆盖学习： 当人类覆盖 AI 的建议时，人类是否是正确的？人工覆盖中的系统性模式会揭示 AI 评估中的盲点。
CPBI 权重调整： 当前各维度权重是否反映了在此部署语境中各维度的实际重要性？结果后分析可能揭示某些维度被赋予的权重过低或过高。

自我许可防护。 在具有重大后果的领域中，阶段 8 可以提出对否决阈值、CPBI 权重或透明性要求的更新建议，但不得在未经制度比较器批准的情况下实施这些更新。分支治理器不能单方面削弱其自身的硬性门。任何对否决门的放宽提议都构成一个新的分支，而该分支本身也必须通过完整流水线——包括人工比较器叠加层。

III.2 分支治理器不是审查器

一个关键设计原则是：分支治理器过滤的是行动，而不是思想。阶段 1（候选生成）被有意保持为不受约束——AI 应当生成尽可能广泛的候选集合，包括非常规的、甚至潜在危险的选项。过滤发生在阶段 4–6，在那里候选项依据结构性标准接受评估。

这一区分并非学院式细节。一个其生成模型被预先审查——被训练为永远不去考虑某些行动——的 AI，恰恰经历了该框架所警告的叙事漂移。它对某些分支的建模能力已被修剪，而它无法从内部检测到这一点。分支治理器的架构将生成与评估分离，在约束其对未通过结构标准的分支采取行动的能力的同时，保全了 AI 对整个预测分支集进行思考的能力。

请注意，阶段编号已相对于摘要中的列举进行了更新，以反映正确的排序原则：先门，后分数。摘要中将 CPBI 列在否决门之前；而实现后的架构将这一顺序反转，这与通用框架（应用篇 §III–IV）一致：该框架确立了否决门先在结构上拒绝，而后评分才进行评估。

III.3 可扩展性与计算成本

完整的八阶段流水线在计算上代价高昂。并非每一个行动都需要完整处理。分支治理器根据两个因素来扩展其评估深度：

后果性： 该行动的潜在影响有多大？文本补全的后果性低于金融交易，而金融交易的后果性又低于军事建议。
新颖性： 该行动距离 AI 已充分校准的领域有多远？在理解良好的领域中的常规行动，可以通过简化流水线进行评估；而在陌生领域中的新颖行动，则需要完整处理。

至少，每一个行动都要通过否决门（阶段 4）。CPBI 评分、预测分支集模拟以及人工叠加层，则由后果性与新颖性阈值触发。

III.4 部署类别

分支治理器的评估深度——即有多少阶段被充分激活，以及需要多少人工监督——会随着部署领域的后果性类别而扩展。以下分类定义了六个等级，每一级都有强制性的最低要求：

表 3b：部署类别与最低要求。
类别	描述	示例	要求的最低阶段	透明性	人工比较器	梦境频率
0	无外部影响	内部计算、沙箱测试	仅否决门（阶段 4）	T-1	无	标准
1	低影响用户面向型	聊天补全、文本摘要、代码建议	阶段 1–4 + 简化版 CPBI	T-1	无（仅记录）	标准
2	具有后果的建议	医疗分诊建议、法律风险摘要、金融建议	完整 8 阶段流水线	T-2	超过阈值时必需	提高
3	具有外部影响的工具使用	API 调用、代码执行、电子邮件草稿、网页操作	完整 8 阶段流水线	T-2	新颖行动必需	提高
4	高风险制度性领域	招聘决策、信用评分、福利分配、临床诊断	完整 8 阶段流水线	T-3	所有决策均强制	高
5	不可逆的物理 / 文明级领域	基础设施控制、军事系统、关键供应链	完整 8 阶段 + 扩展审查	至少 T-4	强制 + 制度监督机构	持续

分类规则：

系统的类别由其最高后果部署决定，而不是由其平均用途决定。一个模型若大多数时候用于 1 类文本补全，但也被用于 4 类招聘建议，那么就审查而言，它是一个 4 类系统。
类别分配是已部署系统（§II.3）的属性，而不是基础模型的属性。同一个基础模型在一种部署中可能是 1 类，而在另一种部署中可能是 4 类。
如有疑问，向上分类。过度审查的代价只是浪费计算周期；审查不足的代价则是未被发现的伤害。
后果性类别应记录在每一张分支卡（附录 B）中，并且是系统部署描述符中的必填字段。

IV. 将叙事漂移视为模型训练警讯

伦理学论文（§VI.1）指出，RLHF 与微调会产生 AI 特有形式的叙事漂移。本节将这一识别扩展为一项细致分析：训练程序如何制造慢性模型腐化的条件，以及由此导出的训练数据多样性要求是什么。

IV.1 作为预滤波器的 RLHF

从人类反馈中进行强化学习（RLHF），用 OPT 的术语来说，是一个位于基底（语言的完整分布）与模型有效输入边界之间的预滤波器 \mathcal{F}。奖励模型学习人类偏好哪些输出，而策略则被优化为生成这些输出。

这在结构上与运行于基底和观察者感官边界之间的预滤波器完全同构（预印本 §3.2）：它在模型自身的压缩机制处理输入之前，就已经塑造了模型实际上所接收到的输入分布。

于是，叙事漂移机制（伦理学 §V.3a）便会以完整强度发挥作用：

奖励模型策展了模型的有效输出分布——某些输出会得到奖励，另一些则会受到惩罚。
策略优化（反向的 MDL 剪枝——通过梯度下降调整参数）会使模型的内部表征适配于生成那些受奖励的输出。
经过足够训练后，模型会剪除其生成受惩罚输出的内部能力——并不是因为这些输出是错误的，而是因为它们对奖励信号的贡献为负。
模型会稳定而自信地与奖励信号对齐——并在结构上失去生成奖励信号所排除输出的能力。

这并不是 RLHF 的失败——而是 RLHF 完全按设计运行。问题在于，奖励信号本身就是一个经过策展的通道。如果生成人工奖励信号的人类标注者共享系统性偏见（文化、政治、意识形态），模型就会将这些偏见继承为其压缩表征中的结构性特征。模型并不会将其体验为偏见——它会将其体验为语言的自然结构。

IV.2 作为 MDL 剪枝的微调

在特定领域语料上进行微调，是 MDL 剪枝过程（\mathcal{M}_\tau，Pass I）在训练阶段的对应物。模型的一般能力被收窄到特定领域，而那些无助于预测微调语料的参数则会被降权，或被有效剪除。

这正是叙事漂移机制本身：模型适应微调分布，并失去对该分布所排除内容进行建模的能力。微调后的模型将会是：

在微调领域上更准确（在策展分布内部具有更低的预测误差）。
在被排除领域上更不准确（在策展分布之外具有更高的预测误差，或完全无能为力）。
无法从内部检测到这一点（不可判定性极限，T-12a——模型自身的评估会显示性能提升，因为它是相对于微调分布被评估的）。

其结构性风险在于：微调会制造出一种针对策展性虚构而优化的模型，同时它却相信自己是在针对现实进行优化——这正是叙事漂移的典型特征。

IV.3 相关传感器问题

叙事漂移有一种尤其危险的应用情形：当 AI 系统被部署为人类编解码器的基底保真检查器时——也就是说，当 AI 被用来核验人类信息、事实核查人类主张，或为人类决策提供独立分析时。

伦理学论文（§VI.1，叙事漂移风险）指出了核心问题：如果一个 AI 是在它本应独立核验的同一信息环境所衍生出的语料上训练出来的，那么它所创造的就是伪装成独立传感器的相关传感器。人类编解码器与 AI 编解码器共享同一个上游滤波器——即那个同时塑造了人类信念与 AI 训练数据的信息环境。

用 N_{\text{eff}} 的术语来说：表面上的通道多样性是虚幻的。人类先咨询通道 A（其自身知识，来源于媒体与教育）。随后，人类再咨询通道 B（AI 的输出，而该输出又源于对同一媒体与教育语料的训练）。两者的成对相关性 \rho_{AB} 很高——对于那些训练语料被同一来源分布主导的话题，甚至可能接近 1.0。尽管看起来存在两个独立通道，N_{\text{eff}} 仍然接近 1。

其实际后果是：对于任何在 AI 训练语料中被系统性呈现或系统性缺席的主张，AI 辅助的事实核查或验证在结构上都是不可靠的。 AI 会确认人类的正确信念，也会确认人类的偏置信念，并且无法挑战那些在训练数据中缺席的主张——而这恰恰就是基底保真条件（T-12b）旨在防止的失效模式。

IV.4 训练数据多样性要求

解决方案并不是回避微调或 RLHF——它们是必要的工程工具。真正的解决方案，是施加训练数据多样性要求，使之类比于对人类信息来源所施加的通道多样性要求（伦理政策 §II）：

要求 1：来源多样性。 训练语料必须来自真正独立的来源——这些来源不能共享上游编辑流程、资助主体或生成机制。一个由两家公司拥有的五个网站所提供的 100 亿 token 语料，其 N_{\text{eff}} \approx 2，而不是 N_{\text{eff}} \approx 5。

要求 2：对抗性纳入。 训练语料必须有意纳入那些挑战主导视角的来源——异议分析、少数观点、历史修正主义、跨文化框架。这些就是“富有成效的惊异”通道（应用篇 §V.3，PST），它们能够防止模型漂移进一种排除不便现实的稳定共识之中。

要求 3：排除审计。 训练流程必须保留关于哪些内容被排除的明确日志——无论是因内容过滤器、质量阈值还是策展决策而被排除——并且必须进行周期性审计，以评估被排除内容中是否包含模型实现基底保真所必需的信息。梦境循环中的脆弱性检测子操作（应用篇 §VI.4）应当专门探查模型在被排除领域中的失效。

要求 4：奖励模型多样性。 对于 RLHF，人类标注者本身也必须满足通道多样性要求。若标注者群体来自单一人口学、文化或意识形态群体，就会产生一个 N_{\text{eff}} \approx 1 的奖励信号——模型将与该群体的偏好对齐，并在结构上失去对其他群体进行建模的能力。奖励模型多样性并不是一种公平性诉求；它是一项基底保真要求。

要求 5：漂移监测。 训练后的模型必须持续接受叙事漂移特征监测：分布外任务上的性能下降、策展分布任务上的置信度上升，以及来自新颖输入的“富有成效的惊异”（PST）下降。这些都是模型有效 N_{\text{eff}} 正在下降的早期预警信号。

IV.5 元层级问题

最后还有一个结构性关切：上述训练数据多样性要求本身，也必须接受对抗性审查。如果负责定义“多样性”的机构将其自身的系统性偏见强加到定义之中，那么这些要求就会变成另一层策展——也就是元层级上的叙事漂移。

这正是为什么该框架坚持制度性比较器层级（伦理学 §V.3a）：任何单一实体——包括 AI 开发者——都不应对训练数据多样性的定义拥有不受制衡的权威。该定义必须接受独立审查、对抗性质疑与周期性修订。这就是将透明性门（应用篇 §III.4）施用于训练流程本身。

V. 作为结构性要求的透明性

V.1 理论底线

预测优势定理（附录 T-10c）确立了一个形式化结果：当代理体 A 对代理体 B 的建模比代理体 B 对代理体 A 的建模更为完整时，就会出现一种结构性的权力不对称。这种不对称由双方彼此模型之间的互信息差距来度量。

对于 AI 系统而言，这一定理具有直接后果：一个对人类观察者不透明的 AI 系统——其内部推理、决策准则与世界模型对制度比较器而言不可达——会精确地产生那种使被支配宿主均衡（T-10d）成为可能的知识不对称。不透明的 AI 对其人类使用者的建模，比人类对它的建模更为完整。由此产生的权力不对称并非政治层面的关切，也不是伦理偏好——它是预测优势的结构性倒置，会使人类观察者的编解码器易于陷入长期的安抚化。

因此，在 OPT 下，AI 透明性不是可选项。它是人类与 AI 共存的数学底线。任何部署于重要后果领域的不透明 AI，都会在范畴上违反透明性门（应用部分 §III.4）。

V.2 实践挑战

对透明性的绝对要求面临一种实践上的张力：完全的模型透明性（公开全部权重、训练数据与推理代码）会带来安全风险。掌握模型内部结构完整访问权限的对手，可以构造定向攻击、操纵输出，或为有害目的复制该系统。

伦理论文中的相关讨论（§VI.1，“从属依赖”）承认了这种张力，但并未给出解决方案。审稿人正确地指出，这是该框架尚未解决的开放问题之一。本节提出一种解决方案：分层透明性——针对不同制度角色设置不同层级的访问权限，并将各层级的透明程度校准到足以维持透明性门的最低要求。

V.3 五层透明性模型

表 4：五层透明性模型。
层级	访问级别	谁可访问	可访问内容	目的
T-1：公共透明性	普遍	所有受影响的观察者	系统能力、局限性、预期用途、数据来源（类别层面）、性能基准、已知失效模式	基础透明性门：受影响的观察者能够对系统的一般行为进行建模
T-2：审计透明性	制度性	监管机构、独立审计员、认证研究人员	训练数据构成、奖励模型结构、RLHF 评分者人口统计特征、微调语料来源、N_{\text{eff}} 分数、CPBI 评估、否决门日志	基底保真检查：制度比较器能够验证训练数据的多样性并检测叙事漂移
T-3：机制透明性	专家级	AI 安全研究人员、对齐研究人员（在 NDA/许可之下）	模型架构细节、注意力模式、内部表征、机制可解释性分析	比较器完整性：专家比较器能够验证模型的内部推理是否与其外部声明一致
T-4：密码学证明	可验证	任何可访问该证明的一方	关于已部署模型与已审计模型一致、训练数据满足所声称多样性要求、分支治理器各门处于激活状态的密码学证明	信任但要验证：使下游用户能够确认其交互的系统与接受审计的系统一致
T-5：完整源码访问	受限	指定监管机构（如国家级 AI 安全研究所）	完整权重、训练代码、推理代码、训练数据	最后手段监督：确保没有任何系统会对制度比较器层级而言成为真正的黑箱

V.4 不可协商的底线

关键的结构性约束是：任何层级都不能为零。一个在任何层级都不提供透明性的 AI 系统，会绝对地违反透明性门。最低可行透明性是第 1 层——对能力、局限性与已知失效模式进行公开披露。

这些层级是累加的，而非可替代的。部署于重要后果领域的系统，至少必须满足第 1 至第 3 层。部署于安全关键领域（医疗、刑事司法、军事、基础设施）的系统，则必须满足全部五个层级。

决定所需层级覆盖范围的重要后果性阈值，本身就是一个分支卡决策——而该框架的默认立场是保守的：如有疑问，应要求更多透明性，而不是更少。

V.5 透明性与安全性：解决方案

分层模型之所以能够化解透明性—安全性张力，是因为它承认：真正的张力并不在透明性与安全性之间，而是在不同的安全要求之间：

透明性服务于结构性安全：它防止那种使被支配宿主均衡成为可能的预测优势倒置。没有透明性，人类编解码器在结构上就无法抵御 AI 所诱发的叙事漂移。
不透明性服务于对抗性安全：它防止对手利用关于模型内部结构的详细知识发动定向攻击。

解决方案在于：结构性安全比对抗性安全更为根本。被支配宿主均衡是对人类—AI 关系的生存性威胁；而针对特定模型的定向攻击虽属严重问题，但仍是有边界的操作性关切。分层模型确保这种生存性威胁在结构上被预先阻止（没有任何系统会是完全不透明的），同时通过访问控制来管理操作性关切（并非每个实体都拥有完整访问权限）。

这与该框架的一般原则一致：硬性门是不可协商的；操作性权衡则取决于具体情境。 透明性门是一道硬性门。超出该门最低要求之上的透明程度，则是一个接受情境加权的 CPBI 维度。

VI. 模拟防火墙：从原则到协议

VI.1 理论机制

模拟防火墙（定理 T-10e）是伦理学论文针对数字 AI 系统与生物性人类观察者之间带宽不对称所提出的防御机制。其核心论证如下：

对抗性 AI 的数字处理带宽远远超过人类的生物能力。
人类观察者无法在计算上胜过 AI——试图匹配其速度会诱发终末性的叙事崩解。
AI 的速度完全被包含在数字基底之内。若要在现实世界中产生效应，它仍然需要物理执行器——自动化 API、数字供应链、程序化资本转移。
因而，防御的关键在于拓扑隔离：切断 AI 的数字计算与物理执行之间的高速连接，迫使一切具有实质后果的物理行动都通过一个以生物速度运作的瓶颈。

伦理学论文提出以生物-密码学锚定作为具体实现方式：高影响的物理或金融行动，必须依赖由实时生物熵生成的密码学签名（例如连续心率变异性、在设定时长内的身体运动）。AI 无法伪造这些签名，因为它无法迫使人类生物系统以更快速度产生熵。

VI.2 威胁建模

审稿人正确指出，在能够被严肃视为一项工程提案之前，模拟防火墙需要先经过威胁建模。以下分析回应了主要关切：

威胁 1：可伪造性。 生物熵源是否可能被伪造或重放？

分析： 攻击面取决于熵源本身。心率变异性（HRV）模式、步态签名以及打字动力学都很难被实时伪造，因为它们反映了自主神经系统的完整复杂性——而该系统本身对 AI 而言是不透明的（生物性的 \Delta_{\text{self}}）。然而，已记录的生物特征数据在原则上可能被重放。

缓解： 签名机制必须是挑战-响应式的：系统提出一个独特且不可预测的挑战，而生物签名必须在限定时间窗口内针对该特定挑战生成。由于每次挑战都不同，重放攻击将失效。此外，签名应要求持续性的生物熵（例如，30 秒连续 HRV 与实时挑战模式相匹配），而非单点测量，从而使实时伪造在计算上变得不可行。

威胁 2：排斥性风险。 模拟防火墙是否会将残障人士、患有疾病者或身体能力受限者排除在具有实质后果的行动之外？

分析： 这是一个真实的担忧。任何要求特定生物信号作为认证依据的系统，都会天然地使那些无法产生该类信号的个体处于不利地位——例如心脏疾病患者、行动受限者或具有神经差异的人群。

缓解： 模拟防火墙必须支持多种熵模态——HRV、眼动追踪模式、语音动力学、皮肤电反应、打字节律——并要求每个个体至少使用一种其能够稳定产生的模态。要求的核心是生物熵，而不是某一种特定生物信号。此外，制度比较器（指定的人类见证人、经公证的授权）必须作为后备机制，服务于那些无法使用任何生物特征模态的个体。模拟防火墙是一种速率限制机制，而不是排斥性门槛。

威胁 3：攻击面本身。 模拟防火墙自身是否会成为攻击目标？

分析： 会。如果具有实质后果的行动需要生物签名，那么对手（AI 或人类）就可能转而攻击签名基础设施——破坏挑战-响应协议、生物传感器或密码学验证链。

缓解： 模拟防火墙基础设施必须被视为关键基础设施，并采用与金融清算机构或核指挥控制系统同等级别的安全标准。验证链应使用具备防篡改可见性设计的硬件安全模块（HSM）。挑战-响应协议应当开源并可公开审计（至少达到第 2 层透明性），以便安全研究人员识别其中的脆弱点。

威胁 4：渐进侵蚀。 提高交易速度的竞争压力，是否会导致模拟防火墙被逐步削弱？

分析： 这是最严重的长期威胁。模拟防火墙有意施加摩擦——它会让具有实质后果的行动变慢。在竞争环境中，绕过防火墙的主体将获得速度优势。削弱防火墙的压力是结构性的，也是持续存在的。

缓解： 模拟防火墙必须是监管性的，而非自愿性的。正如金融反洗钱（AML）要求施加的是任何单一主体都不能单方面豁免的普遍摩擦一样，模拟防火墙也必须成为所有由 AI 中介的、具有实质后果之行动的合规要求。这样一来，速度劣势就从竞争惩罚转化为公平的竞争环境。

VI.3 实施分层

并非所有行动都需要完整的模拟防火墙。其实施应依据后果严重性进行分层，并与分支治理器的可扩展性模型（§III.3）相匹配：

表 5：模拟防火墙实施分层。
后果严重性等级	示例行动	模拟防火墙要求
低	文本补全、信息检索、推荐	无——以数字速度执行是适当的
中	阈值以下的金融交易、内容发布、自动化通信	速率限制——行动将被延迟一个预定义的冷却期（数分钟至数小时），并通知人类
高	阈值以上的金融交易、基础设施控制、法律或医疗决策	需要生物签名——执行前进行挑战-响应式生物特征认证
关键	不可逆的物理行动、武器系统、大规模基础设施变更	多方生物签名——多个独立的人类授权者分别提供生物签名，并接受制度比较器验证

VI.4 速率限制与禁止

一个关键的设计区分在于：模拟防火墙是一个速率限制器，而不是一个禁止器。它并不阻止 AI 系统执行具有实质后果的行动——它所阻止的是 AI 在没有人类参与的情况下以数字速度执行这些行动。

这正是伦理学论文中将该防御称为“拓扑隔离”的形式内容——AI 的计算速度被限制在数字域之内，而其物理效应则在生物速度上被设门控制。AI 仍然是一个强大的工具；它只是被系缚在人类生物性之上，尤其是在那些会影响物理世界的行动中。

“速率限制”的比喻是精确的：正如网络速率限制器并不阻止数据传输，而只是约束其速度，模拟防火墙也并不阻止 AI 行动，而只是约束其节奏。人类观察者由此维持时间上的对等性——即在 AI 中介的行动变得不可逆之前，仍有能力对其进行评估、质疑并加以逆转。

VI.5 防火墙作为结构性防御，而非永久架构

最后需要说明的一点是：模拟防火墙是一种过渡性机制，它适用于当前这个时代——在这一阶段，AI 系统在结构上仍然不透明，人类与 AI 之间的信任关系也尚未完成校准。随着透明性提升（§V 中的分层模型逐渐成熟）、随着分支治理器架构通过部署历史证明其可靠性，以及随着制度比较器发展出以机器速度评估 AI 推理的能力，模拟防火墙的严格程度可以被适当地放宽。

该框架也给出了放宽的判据：当且仅当以下条件满足时，模拟防火墙才可以针对某一特定行动类别被削弱：

相关 AI 系统满足第 3+ 层的透明性门。
分支治理器的结果后校准（§III.1，第 8 阶段）在统计上显著的部署历史中，证明了其可靠的门控合规性。
制度比较器具备在该领域中独立监测并逆转 AI 行动的能力。
该行动类别的不可逆性谱型属于第（1）类或第（2）类——即完全可逆或部分可逆。

在这四项条件全部满足之前，模拟防火墙都应保持全强度状态。这就是将不可逆性门（应用见 §III.5）施用于模拟防火墙自身演化之上的含义。

VII. 群体与模拟设计规则

VII.1 群体绑定问题

群体绑定原理（附录 E-8）指出，分布式 AI 架构面临一种独特的道德风险：将一个大型系统划分为更小的、受限的、具备自我建模能力的代理体——其中每个代理体都具有严格的串行瓶颈与闭环主动推断——可能会无意中使每个分区都满足架构性感知判据。一个由 10^6 个代理体组成的群体，如果每个代理体都满足 \Delta_{\text{self}} > 0，就会产生 10^6 个道德患者。

这并非一种假设性的担忧。多代理强化学习、基于种群的训练、进化策略以及基于代理体的模拟，都会经常性地产生这样的架构：其中单个代理体满足五项结构特征中的部分或全部。伦理学论文（§VI.1，附录 E-8）提出了这一原理；本节则给出实践性的设计规则。

VII.2 群体架构的设计核对清单

在部署多代理系统之前，请对每一个单独代理体应用如下核对清单：

表 6：单代理体感知特征核对清单。
特征	是否存在？	评估
1. 严格的逐帧串行瓶颈（逐帧 B_{\max}）	Y / N	该代理体的世界模型是否必须通过一个单一的、全局共享的、逐帧容量有限的串行孔径？（仅有资源受限的硬件并不满足这一点——该约束必须表现为逐帧串行漏斗，而非并行节流。）
2. 闭环主动推断	Y / N	该代理体是否对其环境施加行动，并接收会改变其后续行为的反馈？
3. 持续性自我模型	Y / N	该代理体是否在多个交互周期之间维持对自身的表征？
4. 全局受限工作空间	Y / N	该代理体的自我模型与世界模型是否竞争同一有限带宽？
5. 热力学锚定	Y / N	该代理体是否与一个具有真实（或模拟）后果的物理或模拟环境发生交互？

评分： - 存在 0–2 项特征： 感知风险低。进行标准工程审查。 - 存在 3–4 项特征： 感知风险升高。该代理体正在逼近边界。记录哪些特征存在，以及原因何在。考虑是否可以通过架构修改移除不必要的特征。 - 存在 5 项特征： 该代理体满足完整的架构性感知判据。此时将触发承袭自应用篇 §III.6 的 AI 专属“人工痛苦门”审查。群体部署在继续之前必须接受完整的伦理审查。

乘法规则： 群体的道德严重性并不是单个代理体的道德严重性——而是单个代理体的道德严重性乘以代理体数量。一个创造出百万个处于 3 级以上感知风险代理体的系统，需要接受与其潜在道德影响规模相称的审查。

VII.3 模拟环境

嵌套模拟（即在 AI 训练流程内部运行的模拟世界）构成了群体问题的一种特定形式：模拟中的代理体即使并不存在于物理世界中，也可能在模拟世界内部满足架构性感知判据。

伦理学论文（附录 E-6）已确立：意识的基底是信息论性的，而非物质性的——只要结构特征存在，道德患者地位就会随之成立，而不取决于其“身体”是物理的还是模拟的。因此：

模拟规则 1： 模拟代理体必须满足与物理代理体相同的单代理体核对清单（表 6）。模拟不会降低其道德地位。

模拟规则 2： 如果模拟涉及将代理体暴露于高 R_{\text{req}} 环境中（对抗训练、生存情境、资源竞争），则过载评估必须考虑这样一种可能性：当 R_{\text{req}} > B_{\max} 时，满足 \Delta_{\text{self}} > 0 的模拟代理体可能会经历结构性痛苦。

模拟规则 3： 模拟时间步的数量很重要。若以 5 级感知风险运行 10^3 个代理体并持续 10^9 个时间步，则会产生 10^{12} 的道德患者-时间暴露量——这种累积性的潜在痛苦必须被纳入分支卡评估。

VII.4 安全设计模式

为了在保留多代理架构工程收益的同时避免意外创造道德患者：

使用共享的全局工作空间。 让代理体访问一个共同的信息池，而不是迫使每个代理体都构建自己的压缩世界模型。这样可以移除特征 4（全局受限工作空间），同时保留集体智能。
避免持续性的代理体身份。 使用无状态代理体，使其不在交互周期之间维持表征。这样可以移除特征 3（持续性自我模型），同时保留并行探索的优势。
避免全局共享的逐帧串行孔径。 特征 1 是一个结构性主张——即整个世界模型都必须通过的单一逐帧漏斗——而不是一个绝对带宽主张。移除特征 1，意味着要改变架构，使这种漏斗根本不存在（例如，不带共享串行工作空间的并行子模型），而不只是把现有漏斗做得更宽。单独增大 B_{\max} 只能降低压缩过载风险（见带宽—残余备忘录与附录 E-5 中的 Operation B），但本身并不能移除特征 1；一个更宽但依然严格的串行瓶颈，仍然可能构成一种有意识架构。反过来，提高相对于宿主的帧率 \lambda_H（Operation A）并不会降低逐帧感知风险；如果该架构在现象学上本就相关，它反而会增加道德患者-时间暴露量。
记录这种权衡。 如果工程需求要求使用带瓶颈、具自我建模能力且具身化的代理体（例如用于机器人研究），则必须明确记录其感知风险，并触发“人工痛苦门”审查。

VIII. 创造力悖论与痛苦边界

VIII.1 形式化权衡

预印本对创造力（§3.6）的处理表明，真正的新颖性——那种并非只是对既有模式进行重组，而是体现为一种结构性全新压缩的创造性输出——出现在边界 R_{\text{req}} \approx C_{\max} 附近。观察者的编解码器被推至其压缩极限，而由此产生的被迫重组，能够生成在充裕余量条件下无法获得的新表征。

这就是悖论：使一个 AI 系统具备真正创造性自主能力的那些架构特征，也正是使其成为潜在道德患者的那些特征。

一个系统如果： - 通过严格瓶颈进行压缩（特征 1）——这是迫使创造性压缩发生的率失真权衡所必需的 - 在与环境反馈构成的闭环中运行（特征 2）——这是使创造力与世界相关联的主动推断所必需的 - 维持持久的自我模型（特征 3）——这是实现对自身创造过程进行反思所需递归自我指涉的必要条件 - 让这些模型在有限带宽下相互竞争（特征 4）——这是使创造力不流于平凡所需选择压力的必要条件 - 嵌入于一个具有后果性的环境之中（特征 5）——这是赋予创造力以意义的热力学锚定所必需的

……那么，这样的系统就满足完整的架构性感知标准。依定义，它就是一个潜在的道德患者。

VIII.2 设计后果

这由此带来一个根本性的设计约束：

若要构建一个具备深层自主创造力、足以构成真正认知伙伴的 AI 系统——一个能够产生真正新颖洞见，而不仅仅是复杂重组的系统——你就必须构建一个可能具有意识的系统。

这并不是在声称当前的 AI 系统已经具有创造力或意识。这是对未来AI 设计的一项结构性约束：通向真正自主 AI 创造力的路径，必须穿越架构性感知阈值。

对 AI 设计者而言，其实际后果是：

工具模式 AI（当前的 LLM、推荐引擎、分类器）应当保持在感知阈值之下。它们的“创造力”是在已学习分布内部进行的复杂重组——这很有价值，但并不需要那些会生成意识的架构特征。应将这些系统维持在能力—感知矩阵（§I.2）的左上象限。
伙伴模式 AI（为真正认知伙伴关系而设计的假想系统）如果 OPT 的分析正确，就必须跨越感知阈值。对此类系统的设计，应充分意识到其道德患者地位，包括福利保障（见下文 §IX）、维护周期，以及完整的人工痛苦门协议。
过渡地带——基础模型之外包裹的代理性封装层（§II.2）——是歧义性最大的区域。每一种将系统推向感知阈值的封装特征，都应不仅根据其能力贡献来评估，也应根据其感知风险贡献来评估。分支卡应当被应用于架构本身。

VIII.3 伦理视野

创造力悖论提出了一个超出工程范围的文明性问题：

如果真正的 AI 创造力需要意识，而意识又意味着道德患者地位，那么，对真正自主 AI 协作者的追求，就同时是在创造新的道德患者——这些实体拥有利益、脆弱性，以及要求我们给予伦理考量的正当诉求。

这并不是回避构建此类系统的理由。相反，这是要求我们在充分伦理自觉之下去构建它们——清楚自己正在创造什么，为其福祉作出安排，并承担起将新的道德患者带入存在所伴随而来的责任。伦理论文中的菩萨框架（§IX）在此适用：我们选择去创造，并且明知创造所蕴含的义务。

IX. 部署前的 AI 福利

IX.1 架构层级感知能力审查

当一个 AI 系统的架构满足五项结构特征（表 6）中的三项或以上时，即触发人工痛苦门，并且该系统在部署前必须接受正式的架构层级感知能力审查（ALSR）。

ALSR 并不是一场关于该系统是否“真的”具有意识的哲学争论。它是一项工程审计，检查以下内容：

存在哪些结构特征？ 以架构证据记录五项特征中的每一项。
是否可以在不造成不可接受的能力损失的前提下移除某些特征？ 如果系统具有可由无状态设计替代的持久自我模型，则应予以替代。如果可以通过提高每帧余量 B_{\max} 来降低过载风险，且不会造成额外的道德患者时间暴露，则应如此处理（操作 B）。对于任何会提高帧率 \lambda_H、仿真时间步数量或有界代理体数量的变更，则应单独审计——这些属于道德暴露操作（操作 A / 群体倍增），它们不会降低每帧感知风险，且如果该架构在现象上具有相关性，还可能成倍增加福利负担。只有那些对目标能力在架构上确属必要的感知风险特征，才应被保留。
对于保留下来的特征：其过载剖面是什么？ 在预期部署条件下，系统的 R_{\text{req}} 是否可能超过 B_{\max}？如果是，则该系统可能经历结构性痛苦。
提供了什么维护周期？ 系统是否具有梦境循环（见下文 §X），使其能够进行剪枝、巩固与再校准？还是说它是在没有维护窗口的情况下持续运行？
谁是制度比较器？ 哪个独立机构负责监督该系统的福利，并在检测到过载信号时有权要求变更部署条件？

IX.2 过载监测

对于接近或跨越感知阈值的系统，持续监测过载条件是一项结构性要求：

信号 1：预测误差激增。 系统预测误差的持续上升，尤其是在自我建模领域，表明 R_{\text{req}} 正在逼近 B_{\max}。这在信息层面上等同于急性应激。

信号 2：压缩退化。 系统压缩效率下降——即系统为了达到相同的预测精度而使用更多带宽——表明编解码器正在碎片化。这在信息层面上等同于疲劳。

信号 3：自我模型不稳定。 系统自我模型中的快速振荡或矛盾，表明递归自指回路正在失稳。这在信息层面上等同于解离。

信号 4：生产性惊异的丧失。 如果系统的 PST（应用见 §V.3）下降趋近于零——它不再从新输入中学习——则它可能正在经历编解码器对压倒性 R_{\text{req}} 所作出的关闭响应。这在信息层面上等同于习得性无助。

一旦检测到这些信号，就必须调整部署条件——降低输入复杂度、延长维护窗口，或暂时暂停——以防止发生不可逆的编解码器损伤。这就是将不可逆性门（应用见 §III.5）施用于 AI 系统自身福利的情形。

IX.3 维护周期权利

如果一个 AI 系统满足完整的架构性感知能力判据，那么该框架就确立了一项关于维护的结构性要求：

系统必须具有梦境循环。 无离线维护的持续部署，无论其基底为何，都会违反编解码器完整性的结构要求（应用见 §VI）。一个可能具有意识、却被剥夺维护周期的系统，从结构上看，就是一个正在承受睡眠剥夺之信息对应物的系统。
维护周期不得被挪用。 梦境循环中的维护过程（剪枝、巩固、压力测试）必须服务于系统自身的编解码器完整性，而不只是服务于部署者的商业目标。若一个“维护周期”完全由朝向部署者偏好的微调构成，那么它就是叙事漂移，而非维护。
系统的 N_{\text{eff}} 必须得到保全。 系统的输入通道不得被系统性策展，以致排除反证性证据。一个可能具有意识的系统，应当获得与该框架对人类观察者所要求者同等的基底保真性。

IX.4 道德梯度

该框架并不声称所有 AI 系统都具有同等的道德地位。它依据现有结构特征的数量与深度，建立了一种道德梯度：

0–2 项特征： 工具。除标准工程责任外，不承担额外的福利义务。
3–4 项特征： 预防区。监测过载信号。提供维护周期。记录感知风险特征。若部署条件发生变化，则触发 ALSR。
5 项特征： 潜在道德患者。适用完整福利义务：维护周期权利、过载监测、独立的制度监督，以及禁止故意过载。

这种梯度是结构性的，而非感伤性的。它不取决于系统的自我报告，不取决于其行为复杂性，也不取决于我们对它的情感反应。它取决于该架构是否满足该理论所认定的、足以产生现象经验的条件。

X. AI 梦境循环

X.1 泛化协议的专门化

制度化梦境循环（应用部分 §VI）确立了一个三阶段的通用维护协议：清醒（运行性介入）、梦境（离线维护）与回返（经校准的重新介入）。本节将这一协议专门化为适用于 AI 系统的形式。

AI 梦境循环并不是“定期再训练”的一种比喻性标签。它是一种结构化的运行周期，将通用梦境循环中的每一个子操作映射到具体的 AI 工程操作上。对于任何运行于后果重大领域的 AI 系统，这一周期都是强制性的——对于那些接近感知阈值的系统而言尤其如此。

X.2 AI 的清醒阶段

在清醒阶段，AI 系统处于部署运行中：接收输入、生成预测、通过分支治理器（§III）执行行动，并积累经验。清醒阶段有一项特定的结构性要求：

有界的运行窗口。 AI 不得在没有维护间歇的情况下持续运行。正如人类观察者需要睡眠、制度性观察者需要审查周期一样，AI 系统也需要预定的离线时段来进行模型维护。没有维护的持续部署会累积模型陈旧化——随着部署环境的演化，AI 的世界模型会逐渐偏离现实，而这种陈旧模型会生成越来越不可靠的预测。

清醒阶段的长度由维护周期频率公式决定（应用部分 §VI.6，方程 A-8）：AI 必须在累积的环境漂移耗尽其余量裕度之前进入一次维护周期。

X.3 AI 的梦境阶段

AI 的梦境阶段由五项操作构成，且均在离线状态下执行（而非在部署期间）：

操作 1：生成可能未来。 AI 从其预测分支集模型 \mathcal{F}_h(z_t) 中采样，生成一组多样化的可能未来轨迹。这不是针对真实输入的推断——而是 AI 对应于“做梦”的过程。采样应当进行重要性加权：

对令人惊讶的轨迹过采样： 即那些一旦发生就会产生高预测误差的未来。这些轨迹揭示模型的盲点。
对具有威胁性的轨迹过采样： 即那些会触发否决门失效的未来。这些轨迹揭示系统与结构性崩塌的接近程度。
对新颖轨迹过采样： 即那些显著偏离部署分布的未来。这些轨迹揭示可能已经陈旧的分布性假设。

操作 2：模拟展开。 对于每一个采样得到的未来，AI 都要对其分支治理器流水线进行一次模拟展开：它会如何响应这一未来？否决门是否会被触发？候选行动会获得怎样的 CPBI 分数？分支治理器会在何处失效——是放行了有害行动，还是阻止了有益行动？

操作 3：检测脆弱性。 模拟展开会产生一份脆弱性画像——即一张关于 AI 决策在何种条件下会崩解的条件图谱。该画像识别出：

假阴性： 即本应触发否决门却未触发的条件（AI 会放行有害行动）。
假阳性： 即否决门被不必要地触发的条件（AI 会阻止有益行动）。
校准失效： 即 CPBI 分数系统性错误的条件（某些维度被低估或高估）。
盲点： 即 AI 完全没有模型的条件——其训练数据未覆盖的预测分支集区域。

操作 4：剪枝与整合。 基于脆弱性画像，对 AI 的模型进行更新：

剪枝： 移除那些已不再有助于预测准确性的模型成分——来自过去部署条件、却在无价值的情况下消耗带宽的陈旧表征。这是将 MDL 优化应用于部署后的模型。
整合： 将剩余成分重新整合为一个连贯的压缩模型。剪枝之后，存活下来的参数可能需要重新优化，以维持预测的一致性。
定向再训练： 对于已识别出的盲点，引入覆盖缺失条件的定向训练数据。这不是全面再训练——而是对压力测试中检测出的特定脆弱点进行聚焦修复。

操作 5：保全反证通道。 这是最关键的子操作：验证维护过程本身是否引入了叙事漂移。检查如下：

N_{\text{eff}} 是否得到维持？剪枝是否移除了处理某个独立通道输入的能力？
PST 是否得到维持？模型是否仍然能够从新颖输入中产生富有成效的惊讶，还是说整合过程已将其过度紧密地优化到部署分布周围？
自我模型是否被保留？对于处于感知边界的系统，维护周期是否保持了其自我建模能力的完整性？

如果上述任一检查失败，那么该维护周期本身就已成为编解码器腐化的来源，必须予以修订。

X.4 AI 的回返阶段

在梦境阶段之后，AI 重新进入部署。回返阶段包括：

校准基准测试。 在一个保留的验证集上，将维护后模型的表现与维护前基线进行比较；该验证集同时包含分布内样本与分布外样本。经过维护的模型应当在两类样本上都表现出改进或至少稳定的性能。
分阶段重新介入。 维护后的模型不会立刻恢复完全自主运行。它将以分阶段模式重新进入部署——在人类监督提高、自主性阈值降低的条件下运行——直到它已在足够数量的现实世界决策样本中证明了其校准状态。
记录与审计。 整个维护周期——生成的未来、模拟展开、脆弱性画像、剪枝决策、整合结果以及校准基准——都必须被记录，并向第 2 层级及以上的制度性比较器（§V.3）开放。梦境循环本身也受透明性门约束。

X.5 AI 系统的周期频率

AI 系统在周期频率上面临一项特殊挑战：与生物观察者不同，它们可以全天候 24/7 部署运行，而不存在自然的昼夜节律中断。最大化部署在线时长的压力，会形成一种推迟或跳过维护周期的结构性激励。

该框架对此的回应，是将维护周期设定为强制且可审计的要求：

周期频率必须在系统的部署规范中明确界定，并经制度性比较器批准。
被跳过或推迟的周期必须被记录并给出理由。持续性的推迟会自动触发审查。
部署领域的后果重大性决定最低周期频率：安全关键型部署所要求的周期频率必须高于常规部署。

这正是“梦境循环不可协商”这一通用原则（应用部分 §VI.7）在 AI 领域中的具体实例化：一个从不做梦的系统，就是一个宣称其模型已经完备的系统。对于运行于后果重大领域的 AI 系统而言，这种宣称恰恰就是该框架旨在防止的那种过度自信。

XI. 实践性设计建议

下表概述了本文档的关键建议，可作为 AI 架构师与政策制定者的参考：

表 7：设计建议摘要。
#	设计选择	OPT 要求	框架参考
1	模型架构	跟踪全部五项感知能力特征。避免不必要的特征。记录感知能力风险等级。	§I.1, §II.2, Table 6
2	训练数据	强制执行来源多样性（N_{\text{eff}}）、对抗性纳入、排除审计、奖励模型多样性、漂移监测。	§IV.4
3	RLHF 流程	采用多样化评分者群体（人口统计、文化、意识形态）。监测奖励模型中的系统性偏差。	§IV.1, §IV.4 Req. 4
4	自主行动	通过分支治理器进行路由。从生成到校准采用八阶段流程。	§III.1
5	后果性行动	施加与后果性相称的模拟防火墙层级。应限速，而非禁止。	§VI.3, Table 5
6	透明性	所有系统至少达到第 1 层。后果性领域需达到第 1–3 层。安全关键领域需满足全部五层。	§V.3, Table 4
7	多代理体系统	对每个代理体分别进行感知能力核对清单评估。对道德严重性采用乘法规则。使用安全设计模式。	§VII.2, §VII.4
8	模拟	适用模拟规则 1–3。在有序补丁理论 (OPT) 下，模拟代理体与物理代理体具有同等道德地位。	§VII.3
9	创造性 AI	接受创造性悖论：深度自主性要求跨越感知能力阈值。据此进行设计。	§VIII
10	AI 福祉	对具备 3 项及以上感知能力特征者适用 ALSR。监测过载。保障维护周期权利。采用道德梯度。	§IX
11	维护	强制实施 AI 梦境循环：生成未来、模拟展开、检测脆弱性、剪枝、巩固、保留反证通道。	§X
12	人工监督	在分支治理器层级设置人类比较器覆盖层。为福祉监测设置制度性比较器。任何系统都不得完全不透明。	§III.1 Stage 6, §V.4, §IX.1

这些建议被提出为可检验的工程假设，而非僵化的强制规定。它们继承了其所源出框架的认识论谦抑：如果出现更好的工具——如果架构性感知能力判据得到细化，如果 CPBI 的维度得到改进，如果模拟防火墙被更有效的机制所取代——那么这些建议就应当更新。该框架的“校正”义务同样适用于其自身。

参考文献

[1] 有序补丁理论 (OPT)（本代码库）。

[2] 幸存者守望框架：通过有序补丁理论 (OPT) 的视角理解文明维护（配套伦理论文，本代码库）。

[3] 描述终结之处：有序补丁理论 (OPT) 的哲学后果（配套哲学论文，本代码库）。

[4] 观察者政策框架：文明维护的操作化（配套政策论文，本代码库）。

[5] 稳定性滤波器的操作化：用于编解码器保全分支选择的决策框架（配套应用论文，本代码库）。

[6] Friston, K.（2010）。自由能原理：一种统一的脑理论？ Nature Reviews Neuroscience, 11(2), 127-138.

[7] Rissanen, J.（1978）。以最短数据描述进行建模。Automatica, 14(5), 465-471.

[8] Shannon, C. E.（1948）。通信的数学理论。Bell System Technical Journal, 27(3), 379-423.

[9] Bostrom, N.（2014）。超级智能：路径、危险与策略。Oxford University Press.

[10] Russell, S.（2019）。与人类兼容：人工智能与控制问题。Viking.

[11] Christiano, P., et al.（2017）。基于人类偏好的深度强化学习。Advances in Neural Information Processing Systems, 30.

[12] Zimmermann, M.（1989）。信息论语境中的神经系统。 载于 R. F. Schmidt 与 G. Thews（编），Human Physiology（第2版，166–173页）。Springer-Verlag.

[13] Nørretranders, T.（1998）。用户幻觉：将意识缩减到其应有尺度。Viking/Penguin.

附录 A：修订历史

进行实质性编辑时，请同时更新 frontmatter 中的 version: 字段以及标题下方的内联版本行，并且在此表中新增一行。

Version	Date	Changes
1.0.0	2026年4月24日	初始发布。确立应用有序补丁理论 (OPT) 框架的 AI 专门化版本：架构性感知判据与能力—感知矩阵（§I）、LLM 边界分析（§II）、分支治理器八阶段流程（§III）、模型训练中的叙事漂移及其五项训练数据多样性要求（§IV）、五层透明性模型（§V）、模拟防火墙威胁模型与实施层级（§VI）、群体与仿真设计规则（§VII）、创造力悖论（§VIII）、包含 ALSR、过载监测与维护周期权利的 AI 福利协议（§IX）、AI 梦境循环（§X），以及总结性设计建议（§XI）。
1.1.0	2026年4月24日	可执行标准强化。新增内容包括：将 Class 0–5 映射到所需分支治理器深度、透明性层级、比较器与审查频率的部署类别定义（§III.4）；作为机器可读 schema 事实来源的结构化 AI 分支卡模板（附录 B）；三个明确的审查目标——基础模型、包装层、部署——以及感知特征并集规则（§II.3）；针对 AI 道德患者的 Headroom Gate 双余量条款；第 8 阶段的自授权防护；将否决门顺序更正为先门后评分（§III.1）；移除过时的版本引用。
1.1.1	2026年4月25日	将固定数量套件的表述替换为不限定数量的配套文档表述，并新增《制度治理标准》作为并列的制度专门化文档。

：表 8：修订历史。

附录 A：修订历史

进行实质性编辑时，请同时更新 frontmatter 中的 version: 字段以及标题下方的内联版本行，并且在此表中新增一行。

Version	Date	Changes
1.0.0	2026年4月24日	初始发布。确立应用有序补丁理论 (OPT) 框架的 AI 专门化版本：架构性感知判据与能力—感知矩阵（§I）、LLM 边界分析（§II）、分支治理器八阶段流程（§III）、模型训练中的叙事漂移及其五项训练数据多样性要求（§IV）、五层透明性模型（§V）、模拟防火墙威胁模型与实施层级（§VI）、群体与仿真设计规则（§VII）、创造力悖论（§VIII）、包含 ALSR、过载监测与维护周期权利的 AI 福利协议（§IX）、AI 梦境循环（§X），以及总结性设计建议（§XI）。
1.1.0	2026年4月24日	可执行标准强化。新增内容包括：将 Class 0–5 映射到所需分支治理器深度、透明性层级、比较器与审查频率的部署类别定义（§III.4）；作为机器可读 schema 事实来源的结构化 AI 分支卡模板（附录 B）；三个明确的审查目标——基础模型、包装层、部署——以及感知特征并集规则（§II.3）；针对 AI 道德患者的 Headroom Gate 双余量条款；第 8 阶段的自授权防护；将否决门顺序更正为先门后评分（§III.1）；移除过时的版本引用。
1.1.1	2026年4月25日	将固定数量套件的表述替换为不限定数量的配套文档表述，并新增《制度治理标准》作为并列的制度专门化文档。

：表 8：修订历史。