PACT 核心论文(完整文本)
PACT:核心论文
Section titled “PACT:核心论文”PACT(受约束信任的原则性架构,Principled Architecture for Constrained Trust)
为什么组织架构是规模化受治理 AI 中缺失的一层
作者:洪博士(Dr. Jack Hong),新加坡管理大学
状态:泰睿基金会正式标准(v1.0;于 2026 年 6 月 21 日由工作架构晋升;晋升记录见第 16 节)
版本:1.0 | 2026 年 6 月
许可:CC BY 4.0
企业 AI 治理已具备哲学、信任协议和知识方法论。它所缺失的,是当数百个代理跨多级组织层级运行时,让”被治理的 AI”仍可处理的组织架构。本文提出 PACT,一份用于在任意部署自主代理的有组织群体中构建可问责委派的规范。
我提出四项机制。问责语法(Accountability Grammar)将组织建模约束为三种节点类型(部门、团队、角色),并要求每一个容器都必须有一位具名的、对其负责的人类。递归式包络委派允许主管仅为直接下属定义运行边界;包络通过交集组合,沿委派链只能收紧。知识许可框架借鉴新加坡政府的密级体系,将信息访问与组织职级分离。位置寻址为每一个实体赋予一个可遍历的唯一地址,同时编码容器关系与问责链条。
这些机制抽取自三类实现:一项生产级企业代理平台部署、人力资源领域的 Arbor(开源),以及面向新加坡金融管理局(MAS)基础设施设计的金融合规架构。形式化是本文的设计贡献;其底层模式在军队指挥、政府行政、医院治理与金融监管中本就可观察到。我把 PACT 置于近期 AI 代理委派框架(Kolt, 2025;South 等, 2025;Tomasev 等, 2026)的语境中,将其定位为处理组织架构层面的工作,而不是委派机制或身份认证协议。
我开发了 PACT,并构建了从中抽取它的那些实现。这些模式起源于一项生产级企业代理平台的建设过程,并在以下系统上得到验证:Arbor(一款开源 HRIS 平台)、PACT 的实现(kailash-pact 作为治理引擎原语,PACT Platform 作为人类判断界面;合计 133 个以上源代码模块、4,191 个以上测试,Apache 2.0 许可),以及为金融服务设计的合规架构。
来源与独立性:PACT 中的架构模式抽取自一项生产级企业部署。PACT 规范本身独立于任何商业实现,采用 CC BY 4.0 许可。发布本规范的泰睿基金会是一个主权、独立的实体,与任何商业实体均无结构性关系。基金会拥有全部开源知识产权(已完全转让,不可撤销)。章程防止任何一方(包括创始人)从事开源洗白、寻租或谋取私利的行为。
实现:PACT 分两层实现,对应整个生态架构:
- kailash-pact(第 1 层原语):治理引擎。提供 GovernanceEngine、D/T/R 寻址、约束包络传播、验证梯度,以及面向 MCP 的 PACT 中间件。确定性运行;不依赖 LLM。可通过 Kailash Python SDK monorepo(github.com/terrene-foundation/kailash-py)以
pip install kailash-pact(v0.12.0)安装。信任基础设施已集成到 kailash-py v2.28.1(kailash.trust命名空间),其 MCP 治理服务器在运行时强制执行验证梯度:eatp_verify工具返回四级裁决(自动批准 / 标记 / 暂留 / 阻断),被暂留的行动经由暂留队列交付人工审批。 - PACT Platform(第 3 层入口):人类判断界面。包含 Web 仪表盘(Next.js)、移动端应用(Flutter)和 REST API。提供组织结构编辑器、约束包络配置、暂留行动审批队列、审计轨迹查看器、知识许可管理,以及用于模拟的影子模式。可在 github.com/terrene-foundation/pact 获取。
PACT for MCP 为兼容 MCP 的代理提供治理中间件,使 PACT 包络在 MCP 工具使用会话中得以执行,并生成 EATP 记录。执行深度依赖于具体界面:目前在 Claude Code 上为治理级介入,在 Codex、Gemini 等其他 CLI 上为较窄的、变更级的覆盖,并附有记录在案的限制;因此点名某一界面并不等于声称覆盖一致。它是 kailash-pact 的子模块,而不是独立的软件包。
我同时是设计者、构建者和评估者。这一身份重叠是一种方法论上的局限。本文在写作中借助了 AI 协助,使用了面向研究的认知编排(COR,CO for Research)。所有结构性决策均由我主导,每一段文字都经我批准,我也能够独立为本文辩护。审议记录可应请求提供。普适性主张依据的是对跨领域治理模式的结构性分析,而非在军事、医疗或政府场景中的实证部署。专利 PCT/SG2024/050503 与 P251088SG 处于审查中。PACT 规范采用 CC BY 4.0;参考实现采用 Apache 2.0,并自动附带其第 3 节的专利授予条款。独立实现本规范不需要专利许可;专利覆盖的是具体实现机制,而不是架构模式本身。
某 CFO 把财务权限委派给财务总监(Head of Treasury),后者再委派给现金经理,再委派给一位资金分析师。该分析师的 AI 代理处理付款对账。当出现一笔付款错误时,问责问题层层向上:分析师是否被授权处理这一金额?现金经理的委派是否超出了财务总监所授予的范围?
在传统组织里,这些问题是通过查阅岗位说明书、审批矩阵、以及与各级经理的访谈来回答的。这样的回答既非正式、不一致,又是事后的。当 AI 代理以机器速度跨越组织边界执行时,非正式的问责就变成一种结构性失败。
问题不在于组织缺少治理哲学(Hong, 2026a)、信任验证(Hong, 2026b)或知识方法论(Hong, 2026c)。问题是架构性的:一个 500 人的组织,在每个角色都配有代理的情况下,如何让包络定义、知识访问与问责变得可处理?
Jobin、Ienca 和 Vayena(2019)调研了全球 84 份 AI 伦理指南,发现各方在原则上趋同,但在落地实施上存在分歧。Hagendorff(2020)指出伦理原则与实操之间存在一道”深层鸿沟”。欧盟 AI 法案(European Parliament, 2024)为高风险 AI 系统强制要求人类监督(第 14 条),但只规定了法律要求,并未给出组织架构。NIST AI 风险管理框架(NIST, 2023)提供了一个有意保持治理结构中立的过程模型。Shneiderman(2022)主张同时实现高度自动化和高度人类控制,但他主要通过界面设计来落地这一思想,而不是通过组织架构。
我所要处理的,正是这一落地鸿沟。鸿沟不在原则层面,而在让原则在 AI 代理规模化运行时可执行的组织结构上。
本文做出四项贡献:
- 问责语法:一个三节点的组织模型(D/T/R),并附加一条约束,强制每一个容器都必须有一位具名的、对其负责的人类。其结果是结构上可验证的委派链。
- 递归式包络委派:一个三层组合架构(角色包络 / 任务包络 / 有效包络),并满足单调收紧不变量,使下游权限永远不超过上游委派。
- 与职级解耦的知识许可:一个五级分类框架,其中信息访问遵循”按需知情”原则,而不是组织职级。
- 位置寻址:一种确定性寻址方案,同时编码组织容器关系与问责链条。
2. 背景与相关工作
Section titled “2. 背景与相关工作”2.1 组织设计理论
Section titled “2.1 组织设计理论”组织结构为何存在?六十年来组织理论的回答收敛于一个洞见:结构是为了弥补人类认知的局限。Simon(1947)确立了有限理性;March 与 Simon(1958)指出,组织的常规流程把决策分散到不同的结构性岗位上,因为没有一个个体能处理所有相关信息。结构在引导决策。PACT 的运行包络把这种引导形式化,应用到 AI 代理身上:包络定义代理处理什么;包络外的一切都升级给那位有限理性更适合处理例外的人类。
但应该是哪种结构?Weber(1947)把官僚科层视为权威按既定岗位流动的结构。Perrow(1967)认为组织结构应当与其技术相匹配。AI 代理是一次技术变革;为人类工作者设计的科层结构,无法自动提供自主代理所需的问责架构。Galbraith(1973)从信息处理的视角进一步深化:组织通过四种策略管理信息(规则与程序、科层、目标、横向关系)。PACT 处理的是科层(D/T/R 语法即部门 / 团队 / 角色,以及单调收紧)和横向关系(跨部门桥接)。其余两种(规则与程序、目标)由 CO 的知识层(Hong, 2026c)处理;PACT 在没有这两者的情况下也可独立实现,但同时采用两者的组织能在四种策略上获得完整覆盖。
什么决定了合适的结构形态?Mintzberg(1979)识别出五种组织构型;Burns 与 Stalker(1961)则把机械式结构(形式化、科层化、可预测)与有机式结构(灵活、适应性强、非正式)分隔开来。我有意把 PACT 放在机械式一侧。规模化的受治理 AI 需要机械式结构所提供的可追溯性;有机式结构恰恰牺牲了 PACT 所要捍卫的属性。这一定位限制了 PACT 的适用范围:它适合 Mintzberg 的机器型官僚(Machine Bureaucracy)和事业部型(Divisionalized Form),不适合用于 Adhocracy 这一类组织。
组织如何在专业化与协调之间取得平衡?Lawrence 与 Lorsch(1967)指出,有效的组织在差异化(分化为不同职能单位)和整合(跨单位的协调)之间取得平衡。D/T/R 语法通过容器边界落实差异化;桥接提供整合。Thompson(1967)分析了用于管理跨单位相互依赖的边界跨越活动;PACT 的桥接以受范围限定、可审计的通道形式将这一概念形式化。Williamson(1985)从交易成本角度给出理由:当交易复杂、重复,且涉及高度专用资产时,科层是高效的。企业级 AI 代理运营通常符合这一画像。
社会技术系统传统(Trist 与 Bamforth, 1951;Cherns, 1976)确立了一项原则:组织是人与技术共同构成的系统,无法在不顾及另一方的情况下单独优化某一方。PACT 处理的是技术子系统(正式结构、委派机制、访问控制);社会子系统(组织文化、对科层的抵触、人际信任)不在其范围之内。我承认这一局限:一个忽视社会系统的 PACT 实现,无论架构多么严密,都注定失败。
组织经济学中有两个理论尤其相关。Fama 与 Jensen(1983)证明,把决策管理(发起与执行)与决策控制(批准与监控)相分离,可以限制个体代理人侵占剩余索取者权益的能力。PACT 的语法对此进行了编码:容器划定决策范围;角色提供具名的控制职能。不完全契约理论(Hart, 1995;Hart 与 Moore, 1990)也表明,当合同无法预见所有情形时,剩余控制权决定了由谁来决定。我把运行包络建模为对受规约委派边界的形式化,其中剩余权限(包络之外的一切)回归委派者。这一类比是结构上的,而非完全对应:Hart 的剩余权利针对的是未规约的偶发情形;PACT 的包络明确划定边界,并把边界外的一切都视为需要升级处理。
2.2 AI 治理
Section titled “2.2 AI 治理”AI 治理在原则上趋同,在落地上分歧。Jobin 等(2019)调研了 84 份 AI 伦理指南,发现在透明、公平、不伤害、责任、隐私等方面达成一致,但在组织内如何具体落实并无共识。Floridi 等(2018)提出了 AI4People 框架及其五项原则(行善、不伤害、自主、正义、可解释性);Floridi 与 Cowls(2019)证实了跨框架的趋同,同时承认原则与实务之间仍存在鸿沟。
Hagendorff(2020)对这一鸿沟进行了详细分析,考察了 22 份指南,发现其在实务中影响极小。我把他的分析读出三类持续存在的问题:(1)这些指南面向开发者而非组织,机构层面的治理被悬置;(2)指南把技术与伦理问题混为一谈,未区分哪些需要架构性方案、哪些需要文化变革;(3)大部分指南缺乏执行机制(用 Hagendorff 的话说,“伦理没有超越自愿与非约束性合作的执行机制”)。PACT 处理其中的第(1)和第(3)项。D/T/R 语法和包络架构是面向组织的,而不是面向开发者的。单调收紧不变量与验证梯度是执行机制,而不是劝告性原则。Hagendorff 提到的第(2)项(区分技术与伦理)不在 PACT 范围内;那是一个范畴问题,不是一个架构问题。
欧盟 AI 法案(European Parliament, 2024)是迄今最强势的、要求人类监督的监管尝试。第 14 条规定,高风险 AI 系统须包含人类监督措施,让用户能够”正确解读高风险 AI 系统的输出”,以及”决定不使用该高风险 AI 系统,或忽略、覆盖、撤销其输出”。PACT 的验证梯度把第 14 条加以落地:四种结果类别(自动批准、标记、暂留、阻断)提供了该法规所要求的分级覆盖机制;包络架构则确保每一项自主行动都可追溯到授权它的人类权威。
NIST AI 风险管理框架(NIST, 2023)定义了一个 Govern 功能,用以”培育和实施风险管理文化”,但有意对治理结构保持中立。Shneiderman(2022)主张同时实现高度自动化与高度人类控制。PACT 提供了使这一组合得以处理的组织架构:在包络之内高度自动化,在包络边界处高度人类控制。
自动化层级文献为 PACT 的验证梯度提供了理论基础。Sheridan 与 Verplank(1978)从完全人类控制到完全自动化定义了十个层级。Parasuraman、Sheridan 与 Wickens(2000)将其扩展为四个信息处理阶段。Endsley 与 Kiris(1995)证明了”脱离回路”的绩效问题:随着自动化程度上升,情境意识下降。PACT 的梯度,是把自动化层级理论在组织委派维度上的具体化:四种结果类别(自动批准、标记、暂留、阻断)在组织层面而非单个任务层面调整人类介入的强度。其中的”暂留”区域专门回应 Endsley 所担忧的问题:在真正需要人类判断的边界上让人类介入,从而保持对关键决策的情境意识。
Bainbridge(1983)记录了”自动化的反讽”:系统越自动化,剩余的人类技能就越关键,也越容易退化。PACT 的设计试图缓解这一反讽:通过让人类只在包络边界(暂留区域)介入,而不是介入每一项行动(沦为橡皮图章)或不介入任何行动(导致技能退化),架构旨在确保人类判断只用在真正具有挑战性的决策上。
2.3 AI 代理委派与组织设计
Section titled “2.3 AI 代理委派与组织设计”组织应如何治理 AI 代理?自 2024 年以来,这一问题引发了大量学术成果,委托代理框架、组织设计提案、监管框架并行涌现。Kolt(2025)以委托代理理论刻画 AI 代理治理问题:信息不对称、自由裁量权、忠诚冲突。他指出,传统的代理问题解法(激励设计、监督、强制执行),可能并不适用于以人类无法解读的方式高速做决策的代理。Kolt 识别了问题;PACT 提供了一种架构层面的回应。
Humberd 与 Latham(2026)在 Journal of Management Studies 上指出,AI 进入企业决策的过程,正与代理理论兴起时职业经理人的出现相似;当 AI 从工具演变为公司代理时,监督与控制机制必须随之演变。Jarrahi 与 Ritala(2025)在 California Management Review 上提出 AI 代理的委托代理视角,认为相比把代理当作自主实体,这一框架更具可操作性。PACT 的递归式包络委派恰好是一种委托代理机制:包络把这些作者所描述的委派关系形式化。
在组织设计议题上,Kolbjornsrud(2024)提出了人机协作的六项原则(叠加、相关、替代、多样、协作、可解释),并获 California Management Review 最佳论文奖。Vantrappen(2025)将组织设计思路扩展到人类与 AI 代理共处的”流动型组织”。Vantrappen 主张流动;我主张结构。这是一种富有生产力的张力。规模化的受治理 AI 需要结构化委派带来的可追溯性;Vantrappen 的流动恰恰牺牲了 PACT 所要捍卫的属性。两条路径各有其位置;PACT 适用于把问责优先于适应性的组织。
最近有两篇技术性论文直接处理委派机制。South、Marro、Hardjono、Mahari、Whitney、Greenwood、Chan 与 Pentland(2025)提出了 AD/MIT,一个用于实现 AI 代理身份认证、授权与可审计委派的框架,发表于 ICML 2025。AD/MIT 在 OAuth 2.0 之上扩展了代理专用凭证。Tomasev、Franklin 与 Osindero(2026,Google DeepMind)提出了一个智能 AI 委派框架;据我所读,它把委派建模为一系列涉及任务分配、权威转移与信任机制的决策。两者都在委派机制层运作;都没有处理组织结构。AD/MIT 解决的是身份认证问题(谁授权了这个代理?);PACT 解决的是组织架构问题(委派如何沿科层组合?)。Tomasev 等关注动态委派调整;PACT 关注带单调收紧的结构性组合。两层互为补充:AD/MIT 等协议可以为 PACT 的委派记录提供身份认证,Tomasev 等的自适应机制可以在 PACT 的结构性约束之内运作。
新加坡资讯通信媒体发展局(IMDA)发布了据其所述的全球首个专门针对代理型 AI 的国家级治理框架(IMDA, 2026),从四个维度展开:先期评估并圈定风险、通过关键检查点让人类承担有意义的问责、在代理生命周期内实施技术控制、通过透明度让最终用户承担其责任。PACT 通过验证梯度落地 IMDA 的第二个维度(通过检查点实现有意义的人类问责),通过包络执行与知识许可落地第三个维度(技术控制)。
2.4 组织建模符号系统
Section titled “2.4 组织建模符号系统”已有的符号系统可以建模组织结构。ArchiMate(The Open Group, 2019)提供 Business Actors、Business Roles 和 Organizational Units。BPMN(OMG, 2014)使用 pools 和 lanes。LDAP 目录建模 Organization、OrganizationalUnit 与 Person。
PACT 不是一种建模符号系统。建模符号系统描述结构;PACT 约束并治理结构。其区别如下:
| 性质 | ArchiMate / UML / BPMN | PACT |
|---|---|---|
| 问责约束 | 描述性(可建模,但不强制) | 强制(每一个容器都必须有具名的人) |
| 单调收紧 | 未建模(权限累加) | 强制(沿委派只能收窄权限) |
| 与职级解耦的许可 | 有限(访问跟随角色) | 强制(许可遵循按需知情) |
| 密码学背书 | 否 | 是(每一项治理行动都生成一条 EATP 记录) |
企业架构师可以用 ArchiMate 建模一个符合 PACT 的结构。但仅凭 ArchiMate,他们无法强制问责约束、单调收紧或许可独立性。
2.5 访问控制
Section titled “2.5 访问控制”基于角色的访问控制(RBAC,Sandhu、Coyne、Feinstein 与 Youman, 1996)治理用户可以访问哪些系统。RBAC 是累加型(权限叠加)和二值型(允许 / 拒绝)。基于属性的访问控制(ABAC;Hu、Ferraiolo、Kuhn、Schnitzer、Sandlin、Miller 与 Scarfone, 2014)通过依据上下文属性评估策略,超越了 RBAC;下一代访问控制(NGAC;INCITS, 2020)支持跨组织边界的策略组合。
PACT 借鉴了 ABAC 的上下文感知和 NGAC 的可组合性。PACT 与两者的差异在于其组织语义。ABAC 依据属性评估策略;它并不建模授权这些策略所经过的委派链。NGAC 可以组合策略,但不强制单调收紧(子策略可以比父策略更宽松)。PACT 的包络是可组合的、单调收紧的,并通过 EATP 记录沿委派链实现密码学可追溯。其贡献并不在访问控制机制本身,而在赋予访问控制决策治理含义的组织委派架构。
2.6 企业 GRC 与零信任
Section titled “2.6 企业 GRC 与零信任”已部署的企业治理系统在大规模上强制执行职责分离、审批工作流和审计轨迹。SAP GRC 管理访问风险分析与整改。Microsoft Entra 提供身份治理,包括访问评审和权限管理。这些系统治理的是人类对企业应用的访问。它们没有处理的,是 AI 代理的委派:权限如何沿代理对代理的委派链组合、运行包络如何沿科层单调收紧、知识许可如何独立于组织职级、容器边界如何在架构层面强制信息隔离。
PACT 不是企业 IAM 或 GRC 的替代品。它运行在不同层次:面向 AI 代理的组织委派架构,而不是面向人类用户的、基于身份的访问控制。一个采用 PACT 的组织仍会使用其 IAM 系统进行人类身份认证,使用其 GRC 系统进行职责分离分析。PACT 治理的是人类定义代理权限之后所发生的一切。
NIST SP 800-207(Rose、Borchert、Mitchell 与 Connelly, 2020)定义了零信任架构:以”永不信任,始终验证”的原则进行逐次访问决策。PACT 默认拒绝的容器边界为组织知识实现了零信任:任何代理对其自身 D/T 容器之外的任何知识都不享有隐含访问权,无论其角色职级多高。每一次跨边界访问都需要显式授权(桥接或跨容器策略)。这是把零信任应用到组织结构本身,而不仅是网络边界。
2.7 军事与政府密级
Section titled “2.7 军事与政府密级”军队和情报组织早已把许可与职级相分离。PACT 的知识许可框架在 EATP 约束包络方案中沿用了五级分类(PUBLIC 至 TOP SECRET),并将其用于企业与监管场景;在这些场景下原则适用,但此前从未为 AI 代理治理进行过架构层面的编码。
2.8 金融服务监管
Section titled “2.8 金融服务监管”新加坡《证券与期货法》(2001)和 MAS Notice SFA 04-N21(MAS, 2023)要求资本市场中介在可能产生利益冲突的职能之间维持信息屏障。SFA 04-N21 规定要分隔工作场所、按”按需知情”原则限制对机密或对价格敏感信息的访问,以及把企业融资顾问角色与其他活动相分离。行业实务还包括物理隔离、限制通信、员工培训、交易监控以及观察 / 限制名单管理。PACT 处理其中的结构性部分(通过组织容器边界实现的电子访问限制),同时把物理、流程与培训等要求留给配套控制。我对此明确表态:PACT 只强制执行多元监管要求中的一项;它并不取代完整的合规架构。
2.9 与 CARE、EATP 和 CO 的关系
Section titled “2.9 与 CARE、EATP 和 CO 的关系”PACT 在另一架构层次上扩展了泰睿基金会现有的标准。CARE v2.1(Hong, 2026a)为人在回路之上(Human-on-the-Loop)治理提供了哲学基础。EATP v2.2(Hong, 2026b)提供密码学信任验证,包括五个约束维度(金融、运营、时间、数据访问、通信)和带有四种结果类别(自动批准、标记、暂留、阻断)的验证梯度,PACT 在不重新定义的前提下加以使用。CO v1.1(Hong, 2026c)为在组织结构内组织工作提供了知识方法论;COC(Hong, 2026d)则在软件开发场景中演示该方法论。
我不重新定义 EATP 的约束维度或验证梯度。PACT 贡献的是这些维度如何在跨层级的组织中被配置、委派与组合的组织架构。
3. 研究方法
Section titled “3. 研究方法”本文采用设计科学研究方法(Hevner、March、Park 与 Ram, 2004;Peffers、Tuunanen、Rothenberger 与 Chatterjee, 2007)。按 Gregor 与 Hevner(2013)的贡献分类,本文的主要贡献是一个第 1 级设计制品:作为情境化实现的 PACT 规范。其底层设计假设是可检验的:相比仅采用扁平 RBAC 治理的组织,采用 D/T/R 语法和单调收紧包络的组织能够在针对 AI 代理行动的”问责解决平均时间”上更短。要把这一假设进行实证验证,则会把贡献提升到第 2 级(初步设计理论);本文不作此主张。
该制品在四类实现中迭代开发:一项生产级企业代理平台(605 个 Python 模块)、PACT 实现(拆分为作为治理引擎原语的 kailash-pact 与作为人类判断界面的 PACT Platform;合计 133 个以上 Python 模块、4,191 个以上测试,Apache 2.0 开源)、Arbor(HRIS 平台,227 个 Python 模块,开源),以及为金融服务设计的合规架构。在多个实现中反复出现的模式被提取并形式化。kailash-pact 原语包含核心治理模块(寻址、包络、许可、访问控制、编译),并具备三层单调收紧。PACT Platform 提供面向人类的仪表盘、审批队列与审计接口。两者在以泰睿基金会自身组织结构为试点的内部自用(dogfooding)部署中得到验证。
评估:我通过结构性分析与基于场景的演示(Hevner 等的描述性评估方法)来评估制品。我分析 D/T/R 语法、包络组合与许可框架是否能够跨领域建模组织结构(第 7-8 节)。我承认描述性评估在 Hevner 等(2004)的层次中是最弱的一种。分析性评估(对单调收紧性质的形式化证明)、专家评估(由组织设计实务者评估语法)和实证评估(部署测量)属于未来工作。证伪条件(第 14 节)定义了构成负面评估结果的标准。
按 Gregor 与 Hevner(2013)的标准,本文的知识贡献处于第 1 级:基于知情论证与单一作者测试的情境化实现。提升至第 2 级(初步设计理论)需要由独立采纳者完成实证验证。
4. 问责语法
Section titled “4. 问责语法”4.1 三种节点类型
Section titled “4.1 三种节点类型”我使用三种节点类型对组织建模:
D(Department,部门):持久性的知识容器。财务部独立于由谁担任部长而存在。组织记忆在此积累。
T(Team,团队):流动性的知识容器。项目组、特别工作组或工作组。比 D 更具流动性;通常是为特定目的临时组建。
R(Role,角色):人位职位。问责锚点。岗位即便空缺也持续存在;岗位上的人会变更。
4.2 核心约束
Section titled “4.2 核心约束”一个容器节点(D 或 T)必须紧接着且仅紧接着一个 R,然后才能附加更多结构。
合法:D-R、D-R-R、D-R-D-R、D-R-T-R
非法:D-D、D-T、T-T(容器之间没有可问责的人)
这一约束编码了 Fama 与 Jensen(1983)的治理原则:决策管理需要一位具名的决策控制人。用 Lawrence 与 Lorsch(1967)的术语,每一次差异化(创建一个新的 D 或 T),都需要紧随其后的一次整合(把问责分配给一个人)。容器划定决策范围;它们本身并不做决策。
用 BNF 表示:
organization ::= BOD ( unit )*unit ::= container head bodycontainer ::= "D" | "T"head ::= "R" /* 必填 */body ::= ( R | unit )*BOD 表示董事会(Board of Directors)或与之等价的最高治理机构。当一个 D 或 T 在创建时未指定 R,系统会自动创建一个空缺的领导角色。空缺角色满足约束,但无法执行。
4.3 位置寻址
Section titled “4.3 位置寻址”每个节点都获得一个全局唯一的、对容器关系与问责进行编码的地址:
D1-R1 CEOD1-R1-D1-R1 CFOD1-R1-D1-R1-D1-R1 财务总监(Head of Treasury)D1-R1-D1-R1-D1-R1-T1-R1 现金经理D1-R1-D1-R1-D1-R1-T1-R1-R2 资金分析师地址全局唯一、可确定性计算,并支持前缀容器查询。从左至右阅读,即可追溯从根到叶的问责链条。
4.4 跨容器桥接
Section titled “4.4 跨容器桥接”D/T/R 语法强制容器边界;桥接提供受控的跨越通道。桥接是位于不同 D 或 T 容器中的两个角色之间的常设或临时协调通道。桥接对应于 Galbraith(1973)的横向关系策略和 Thompson(1967)的边界跨越活动。
桥接具有五项性质:(1)它连接两个具名角色(不是容器;问责必须在两侧都可追溯到具体的人);(2)它指定范围(哪些数据、哪些操作、哪一密级可以跨越边界);(3)它需要双方同意建立(两个角色必须达成一致);(4)它需要 D/T/R 树中两者最近共同祖先的批准,或来自指定合规角色的批准,以防止串通绕开信息屏障;(5)它生成 EATP 记录,使跨边界关系可被审计。
EATP 的委派记录是单向的(A 委派给 B)。桥接是双向的。我把它映射为两条相互引用的委派记录(A 授予 B 受范围限制的访问权;B 授予 A 受范围限制的访问权),各自引用对方的记录 ID。这带来一个原子性问题:如果 A 的记录已生成而 B 的未生成,怎么办?实现模式是事务性的:两条记录原子地一起创建,否则两条都不创建。如果 EATP 存储不支持跨记录事务,则需要 BilateralDelegation 模式(一个封装层,原子地创建两条记录,并在部分失败时回滚)。这是一项实现约束,而不是对 EATP 规范的修改;底层的委派记录仍是标准 EATP 元素。
桥接不会覆盖容器边界;它创造的是受范围限制的例外。一个由合规至顾问业务的桥接允许 CCO 出于合规审查目的读取顾问业务的 RESTRICTED 数据;这并不授予对所有顾问业务知识的全面访问。桥接的范围本身也受单调收紧约束:桥接不能授予超过任一方自身包络所允许的访问权。
5. 递归式包络委派
Section titled “5. 递归式包络委派”5.1 可处理性问题
Section titled “5.1 可处理性问题”CARE 说”由人类定义运行包络”。哪些人类,为哪些代理定义?Galbraith(1973)会把这视为一个信息处理问题:为 100 多个监督岗位(具体数量取决于科层深度与形态;在跨度为五的四级树中,第 0-3 级大约包含 156 个非叶节点)配置包络所需的治理信息,超出任何中央团队的处理能力。
解法是递归委派:每位主管只为其直接下属定义包络。这把包络设定权与组织权限对齐,并把治理负担分配到最贴近每个上下文的人手中。它实现了 Galbraith 的科层策略:每一层只处理与其范围相关的治理信息。
5.2 三层架构
Section titled “5.2 三层架构”我把运行包络分解为三层:
角色包络(常设):主管为一个直接下属定义常设边界。一次定义;适用于该下属的所有任务。
任务包络(临时):针对特定任务,主管可以选择在角色包络的基础上进一步收窄。任务完成后即过期。
有效包络(计算得出):从组织根部到当前位置的所有祖先包络的交集。从不存储;总是按需计算。这就是真正具有约束力的边界。
各层均使用 EATP 的五个约束维度,不作改动。
5.3 单调收紧
Section titled “5.3 单调收紧”任意层级的包络都不得宽于任一祖先包络。权限只能沿委派收紧。
形式化表述:对父包络 E_parent 之下的任意子包络 E_child,对每一个维度 d 都有:E_child.d 不超过 E_parent.d。
在写入时即予以强制。任何更宽的包络都会被拒绝,并指出违规的维度。这实现了”被委派的权限不得超过委派人本身权限”的原则(Fama 与 Jensen, 1983;Hart 与 Moore, 1990)。
交集运算按维度定义,遵循 XACML(OASIS, 2013)“策略组合算法必须形式化指定”的原则:
| 维度 | 交集运算 | 示例 |
|---|---|---|
| 金融 | 数值上限取 min() | min($500K, $100K) = $100K |
| 运营 | 允许操作集取交集;阻断操作集取并集 | 允许:{A,B,C} 与 {A,B} = {A,B} |
| 时间 | 可运行时间窗取重叠;空窗期取并集 | 周一至周五 07:00-20:00 与 周一至周五 09:00-18:00 = 周一至周五 09:00-18:00 |
| 数据访问 | 密级上限取 min();允许范围取交集 | min(CONFIDENTIAL, RESTRICTED) = RESTRICTED |
| 通信 | 允许的接收方与渠道取交集 | {内部, 银行} 与 {内部} = {内部} |
每一种运算都保证结果至多与任一输入同样宽松。在 XACML 术语中,这是一种”拒绝优先”组合算法:当两个包络发生冲突时,更严格的取值生效。缺失的维度按”最大宽松”处理(父级在该维度上不施加约束)。当组合后的运营维度允许集与阻断集发生重叠时,阻断集优先(拒绝优先)。
5.4 梯度组合
Section titled “5.4 梯度组合”每位主管仅为其直接下属配置梯度阈值。梯度不跨层组合。有效包络(第 5.2 节)已反映了所有祖先约束;直接主管的梯度只决定离有效包络边界多近会触发哪一区域。
如果 CEO 允许 50 万美元、CFO 为财务总监允许 10 万美元,则有效包络的金融上限就是 10 万美元。是否对 8 万美元自动批准、还是为财务总监标记,取决于 CFO 的梯度。CEO 的梯度无关,因为 CEO 的 50 万美元上限并非该层的有效约束。
由此设计派生出一个风险:把自动批准阈值设到接近有效包络边界的主管,相当于在缺乏监督的情况下委派出全部权限。这是梯度疏失,是包络疏失(第 12.9 节)的一种变体。检测要求按主管监控自动批准 / 暂留行动的比例;防范要求由该主管的上一级主管设定梯度策略,从而形成与包络委派结构相对应的递归式监督。
5.5 空缺处理
Section titled “5.5 空缺处理”当一个角色出现空缺(任职者离开且尚未指定接任者)时,D/T/R 语法仍然有效(空缺的 R 节点满足结构性约束),但治理暂时降级。适用三条规则:
- 父级角色必须在可配置的截止时间内(默认 24 小时)指派一位代理任职者。
- 在代理任职者被指派之前,空缺角色的直接下属在自身角色包络与父级为该空缺角色设定的包络之中较严格者下运行。
- 如果在截止时间内仍未指派代理任职者,所有下游代理被暂停(所有行动暂留),并升级到下一位有任职者的祖先。
第 3 条是有意保守。一个 24 小时内都无法填补空缺的组织,存在应被显式暴露而非掩盖的治理缺口。
5.6 按维度的梯度配置
Section titled “5.6 按维度的梯度配置”我在 EATP 验证梯度的基础上进行扩展,提供按维度、按角色的配置。主管在每个角色包络内设定梯度阈值:
财务总监为现金经理设定的包络: 金融:自动批准至 $20,000 $20,001 至 $50,000 标记 超过 $50,001 暂留 超过 $100,000 阻断这把自动化层级传统(Sheridan 与 Verplank, 1978;Parasuraman 等, 2000)在组织层面加以落地:每位主管为每个直接下属代理在每一个约束维度上校准自动化层级。
5.7 EATP 记录映射
Section titled “5.7 EATP 记录映射”每一项 PACT 治理行动都生成对应的 EATP 记录。该映射是规范性的;声称符合 PACT 的实现必须生成这些记录。
| PACT 行动 | EATP 记录类型 |
|---|---|
| 组织创建(BOD 设立) | 起源记录 |
| 角色包络定义或修改 | 委派记录 + 约束包络 |
| 任务包络创建 | 委派记录 + 约束包络(带过期) |
| 许可授予 | 能力证明 |
| 桥接建立 | 两条相互引用的委派记录(双向) |
| 行动验证(任一梯度区域) | 审计锚(捕获验证时刻的有效包络) |
| 信息屏障被强制(访问被拒绝) | 审计锚(子类型:barrier_enforced) |
| 紧急绕行被启用 | 审计锚(子类型:emergency_bypass) |
| 包络被修改 | 审计锚(子类型:envelope_modified)+ 新的委派记录 |
验证时刻生成的审计锚捕获该时刻所计算的有效包络。这使得即时点的审计查询无需永久存储有效包络:审计锚记录的是当时的有效包络,而不是当前的有效包络。
PACT 至少需要 EATP Conformant 等级(全部五要素、四种操作、完整验证梯度、级联撤销,以及推理轨迹支持)。生产部署推荐 EATP Complete(全部五种信任姿态、五个机密等级、StrictEnforcer 与 ShadowEnforcer、VerificationBundle 导出,以及治理决策的推理轨迹)。完整的合规等级定义参见 EATP 论文(Hong, 2026b)。
6. 知识许可
Section titled “6. 知识许可”6.1 职级谬误
Section titled “6.1 职级谬误”传统访问控制把信息访问与组织职级绑定。这把权威(决策链中的位置)和许可(按需知情)混为一谈。一位处理并购文件的法务秘书,尽管职级低,但对该分区需要高许可。一位销售副总裁,尽管职级高,但可能除基线以外不需要更高的许可。
March 与 Simon(1958)认识到组织结构塑造信息流;Simon(1947)认识到有限理性限制了任何个体所能处理的信息。我把这两点延伸到 AI 代理:当代理代表角色访问知识库时,把职级谬误编码进系统,意味着代理可以访问其角色职级所允许的一切,而不论运营所需如何。
6.2 五个分类等级
Section titled “6.2 五个分类等级”我采用与 EATP 推理轨迹机密分类一致的五个分类等级(Hong, 2026b),并将其应用于组织知识治理:
| 等级 | 名称 | 企业含义 | 预先许可 |
|---|---|---|---|
| C0 | PUBLIC | 常规运营、公开发布信息 | 无 |
| C1 | RESTRICTED | 商业数据、人事档案 | 跨容器策略足够 |
| C2 | CONFIDENTIAL | 战略计划、董事会材料 | 角色级许可 |
| C3 | SECRET | 法律特权、监管调查 | 个人级许可 + 保密协议(NDA) |
| C4 | TOP SECRET | 存续性风险、危机预案 | 董事会级许可 + 背景审查 |
许可的授予独立于职级。SECRET 与 TOP SECRET 设有分区(compartment),实现按需知情的隔离。
6.3 信任姿态对有效许可的限制
Section titled “6.3 信任姿态对有效许可的限制”EATP(Hong, 2026b)定义的五种信任姿态限制代理可以行使的最高有效许可:
有效许可 = min(role.max_clearance, posture_ceiling[agent.posture])
一个高许可角色配上低信任的代理,只能访问该信任姿态所允许的范围。代理对许可的行使,必须先在该代理上建立起信任。
7. 应用示例:金融服务监管
Section titled “7. 应用示例:金融服务监管”7.1 结构
Section titled “7.1 结构”考虑一家受 MAS 监管的金融机构:
BOD(董事会)D1(执行办公室) D1-R1(CEO) D1-R1-D1(合规事业部) D1-R1-D1-R1(首席合规官,CCO) D1-R1-D1-R1-T1(反洗钱与反恐融资团队) D1-R1-D1-R1-T1-R1(反洗钱专员) D1-R1-D2(顾问事业部) D1-R1-D2-R1(顾问业务负责人) D1-R1-D2-R1-T1(客户顾问团队) D1-R1-D2-R1-T1-R1(高级顾问) D1-R1-D3(交易事业部) D1-R1-D3-R1(交易业务负责人) D1-R1-D3-R1-T1(股票交易席) D1-R1-D3-R1-T1-R1(高级交易员)7.2 信息屏障
Section titled “7.2 信息屏障”MAS 规则要求顾问业务与交易业务之间维持信息屏障。PACT 处理结构性维度:顾问业务(D1-R1-D2)与交易业务(D1-R1-D3)是两个相互独立的 D 容器,两者之间没有跨容器的知识共享策略。顾问业务分析师的代理无法访问交易业务的市场头寸,因为容器边界在架构上即予以阻断。
CCO(D1-R1-D1-R1)持有指向两个事业部的常设桥接,仅限合规审查目的。
我对范围明确表态:PACT 处理结构性的电子访问限制,是多元信息屏障计划中的一个组成部分。物理隔离、员工培训、个人账户交易监控、墙内外切换流程,以及观察 / 限制名单管理,都是 PACT 不替代的配套控制。
7.3 实务中的许可独立性
Section titled “7.3 实务中的许可独立性”反洗钱专员(中级权威)持有 aml-investigations 分区的 SECRET 许可,因为该职能需要访问可疑活动报告(STR)。交易业务负责人(高级权威)并不持有该许可。决定访问的是运营所需,而非职级。
7.4 验证梯度
Section titled “7.4 验证梯度”CCO 为反洗钱专员设定的包络: 金融:无金融权限 运营:自主进行 STR 准备; STR 提交需 CCO 批准; 向 MAS 的监管通报需 CCO 数据访问:SECRET(aml-investigations 分区) 通信:对外向 MAS 的沟通暂留以供 CCO 知情
CEO 为交易业务负责人设定的包络: 金融:在监管头寸限额内的交易 运营:在已批准工具范围内的执行 数据访问:CONFIDENTIAL(无调查访问) 通信:阻断与监管机构的直接沟通(一律经合规通道)8. 应用示例:CFO 办公室任务级联
Section titled “8. 应用示例:CFO 办公室任务级联”一项 Q3 董事会陈报任务从 CEO 经 CFO 级联到资金部与财务规划与分析(FP&A)代理。在使用一项企业代理平台进行的原型演示中(不是生产部署),六天的自主执行过程中出现了三次人类介入点。CEO 批准了任务分解方案。财务总监对是否纳入交易对手数据作出了边界判断;梯度对该行动予以暂留,因为数据范围超出了任务包络。CEO 审阅了最终输出。共生成 14 条 EATP 记录构成审计轨迹。
执行的 47 项行动中,46 项在包络之内被自动批准,1 项在数据访问边界被暂留。三次人类介入点(方案批准、数据范围判断、输出审阅)把人类判断用在不可替代的时刻。这就是人在回路之上的运作形态:不是缺席,而是在包络边界处的定向介入。在那里,有限理性(Simon, 1947)使人类判断成为有效的约束。
9. 紧急绕行
Section titled “9. 紧急绕行”合法的紧急情况需要临时扩展包络。我提供分级绕行机制,并附以硬性约束:
| 等级 | 时长 | 审批 | 范围 |
|---|---|---|---|
| 1 | 不超过 4 小时 | 直接主管 | 不超过该主管自身包络 |
| 2 | 4 至 24 小时 | 上两级 | 不超过该级包络 |
| 3 | 24 至 72 小时 | C 级或同级别 | 不超过 C 级包络 |
| 4 | 超过 72 小时 | 不属于紧急 | 不允许通过绕行实现 |
绕行不得超过审批人自身的包络。自动到期为硬性强制。事故后复盘必须在 7 天内进行。速率限制防止绕行被滥用为治理上的常规变通。
10. 架构倒置
Section titled “10. 架构倒置”传统软件工程先构建应用,再事后拼接治理:设计领域模块、构建每个模块、加上权限(RBAC)、加上审批工作流、加上审计日志、加上合规检查、加上信息屏障。治理模型与应用架构相分离。每一项新功能都是一处可能漏掉权限检查、审计日志或合规闸门的新表面。
PACT 把这一点倒置过来。组织结构本身就是应用架构。
当你把顾问业务(D1-R1-D2)和交易业务(D1-R1-D3)定义为两个相互独立的 D 容器,并在两者之间不设跨容器策略时,你也同时定义了模块边界、数据访问模型、API 契约(数据只能通过受范围限定的桥接跨越)、审计轨迹(任何跨越尝试自动被记录),以及合规证据(信息屏障由架构本身强制,而不是依靠政策)。
| 传统模式 | PACT 原生等价物 |
|---|---|
| 微服务边界 | D/T 容器边界 |
| 服务间 API | 桥接(受范围限定、可审计、双向) |
| RBAC(角色至权限至资源) | 容器 + 许可 + 包络(结构性的) |
| 审批工作流(一步步硬编码) | 验证梯度(自动浮现需暂留的行动) |
| 速率限制中间件 | 运行包络的运营维度 |
| 预算控制 | 运行包络的金融维度 |
| 审计日志(散落在代码中) | EATP 记录由构造产生 |
| 数据分类标签 | 知识许可框架(强制执行,而不仅是打标) |
| 信息屏障(基于政策、寄希望于落实) | 容器边界(架构性的、强制执行的) |
开发者只构建三类东西:领域逻辑(代理实际所做的事;纯计算,无权限检查)、代理能力(按各角色职能受范围限定的工具),以及治理配置(D/T/R 结构、包络、许可、桥接)。他们不再构建权限系统、审批工作流引擎、审计日志基础设施、数据访问控制层、速率限制中间件或预算追踪系统。这些都由组织架构来处理。
这种倒置有其代价:在应用能够运行之前,必须先定义治理结构。传统工程可以延迟治理;PACT 原生工程不能。对于把问责放在首位的组织,这是正确的取舍。对于把迭代速度放在首位的组织,则可能不是。
11. 普适性
Section titled “11. 普适性”PACT 中的模式在具有正式治理的领域中反复出现:
军事:师(D)由将军(R)指挥;交战规则是包络;安全分类是许可;交战授权链是梯度。政府:部委(D)由部长(R)领导;新加坡的 IM 分类直接对应。医疗:科室(D)由主任(R)领导;治疗规程是包络;患者数据分级是许可。金融服务:合规、顾问、交易事业部,通过容器边界强制信息屏障。
PACT 最自然地适配 Mintzberg(1979)的机器型官僚和事业部型。它对 Adhocracy 建模不佳;按 Burns 与 Stalker(1961)的标准,PACT 处于机械式一侧。非正式组织、平等主义集体和单人作业可能不适用。本规范的价值在于组织复杂性已经能够正当化治理开销之时。
我对这一主张的认识论地位保持谨慎。这些模式是在既有治理结构中观察到的,并被形式化为一份设计制品。形式化是规范性的(它约束了组织建模的选择)。同类模式在不同领域反复出现是描述性的。我并不主张发现了普适的组织规律;我只主张把反复出现的模式形式化为一份规范,从而使其在 AI 代理治理中可被计算地强制执行。
12. 诚实的局限
Section titled “12. 诚实的局限”12.1 约束剧场
Section titled “12.1 约束剧场”组织可以把 PACT 配置为最大化自主性、最小化人类介入,从而制造没有实质内容的治理。如果包络边界宽到任何行动都不会被暂留,人类就处于缺席状态。一个配置不当的系统比没有系统更糟糕:它制造虚假的安全感。初期部署应把至少 10% 的代理行动产生暂留事件作为校准检查的目标。
12.2 科层假设
Section titled “12.2 科层假设”语法假设存在科层。Burns 与 Stalker(1961)会把 PACT 归类为机械式。采用 Holacracy 或 Sociocracy 的组织必须把问责锚点映射到 R 节点(lead links 映射为 R;circles 映射为 T)。这种映射是可行的,但可能会扭曲治理模型。PACT 并不主张适用于拒绝问责科层的组织,也不主张适用于 Mintzberg 的 Adhocracy 配置。
12.3 深科层退化
Section titled “12.3 深科层退化”在 10 层科层中,单调收紧可能把有效包络压缩到接近零。我规定了退化包络检测,但无法阻止过深的科层。实务建议:当任一层级的有效包络在任一维度上低于该角色功能最低值的 20% 时,组织构建器应予以标记。
12.4 包络配置负担
Section titled “12.4 包络配置负担”在一个 500 人、平均管理跨度为五的组织中,约有 125 个监督岗位需要进行五维包络配置(具体数量取决于科层深度与形态;在跨度为五的四级树中,第 0-3 级大约包含 156 个非叶节点)。默认值、模板与渐进部署有所帮助,但负担是真实的,且尚未经过实证测量。一项原型配置研究将能强化本规范。
12.5 单一作者来源
Section titled “12.5 单一作者来源”所有实现均由一人构建。普适性主张依赖于结构性分析,而非实证部署。在独立实现于军事、医疗与政府场景中验证 PACT 之前,普适性仍是一项设计假设。
12.6 缺少形式化验证
Section titled “12.6 缺少形式化验证”单调收紧不变量、访问算法与寻址计算以非形式化方式论证,并在实现中加以测试。形式化验证将能强化本规范。
12.7 监管范围
Section titled “12.7 监管范围”MAS 信息屏障映射只处理结构性的电子访问限制,是多元监管计划中的一个组成部分。物理隔离、培训、个人账户交易监控、墙内外切换流程与观察名单管理,都不在 PACT 范围内。
12.8 监控与双重用途
Section titled “12.8 监控与双重用途”PACT 提议覆盖每一项行动、委派与知识访问事件的审计轨迹。同样的架构既支持问责,也支持监控。一个部署 PACT 的雇主可以监视每一名员工的 AI 代理的每一项行动,从而在治理之名下建立起细颗粒度的监控装置。
这种双重用途风险存在于任何问责架构中;它并非 PACT 独有。缓解措施包括:对审计数据本身的访问控制(谁可以查询 PACT 图本身就是一个许可问题)、目的限定政策、审计记录中的数据最小化(仅记录边界决策,而不是行动的完整内容),以及员工数据保护法规(新加坡的 PDPA、欧盟的 GDPR)。PACT 的许可框架可以反向应用到自身:审计数据本身被分类,访问审计数据需要相应许可。在劳动权益保护强势的法域(受 GDPR 约束的欧盟、受 PDPA 约束的新加坡),数据保护法规约束雇主对 PACT 审计数据的使用。在缺乏此类保护的法域(特别是缺乏联邦员工隐私法的美国),同样的架构可以在没有法律约束的情况下实现细颗粒度的员工监控。我承认架构层面的缓解并不能阻止组织层面的滥用;它们只能加以限制。
12.9 未分析的对抗性威胁
Section titled “12.9 未分析的对抗性威胁”Tomasev 等(2026)识别了 AI 委派系统的 16 类攻击向量。我尚未对 PACT 进行同等深度的对抗性分析。我承认有五类威胁针对 PACT 的配置层,那也是本规范最脆弱的地方。Tomasev 等所讨论的身份认证、密码学与协议层向量由 EATP(Hong, 2026b)处理,而非 PACT。
(1)包络疏失:主管把包络设到与自身权限同样宽,从而在满足单调收紧不变量的同时消解治理的实质内容。PACT 只能通过显示”穿透型”包络的治理仪表盘检测到这一现象;架构上无法阻止。
(2)包络内被攻陷的代理:被提示注入或越狱、但仍在其包络内运行的代理,对 PACT 不可见。PACT 治理边界,而不治理行为。运行时行为监控是 PACT 不提供的配套要求。
(3)桥接串通:两个角色持有人建立一条桥接,制造出一种联合能力,而该能力本不应由其中任一方拥有,从而绕过信息屏障。桥接的创建应由共同祖先或指定合规角色批准;当前规范只要求双方同意。
(4)信任姿态游戏:从更高代理自主性中受益的主管,同时又控制信任姿态的提升,构成利益冲突。信任姿态的提升应当引入独立评估方。
(5)包络计算的 TOCTOU:组织结构可能在包络计算与行动执行之间发生变化。PACT 通过事后审计比较加以缓解,但无法消除该窗口。
完整的威胁建模属于未来工作。我注意到 PACT 的结构性不变量(语法约束、单调收紧、位置寻址)对对抗性压力具有抵抗力,因为它们在写入时被强制,而不是在运行时。上述威胁针对的是配置层,而不是结构层。
12.10 评估的薄弱
Section titled “12.10 评估的薄弱”本文的评估属于描述性(基于场景的演示)。我尚未进行分析性评估(形式化证明)、专家评估(实务者评估)或实证评估(部署测量)。这是设计科学评估中可接受的最弱形式(Hevner 等, 2004)。更强的评估属于未来工作。
13. 更广泛的影响
Section titled “13. 更广泛的影响”PACT 的问责架构带来的影响超出其在企业 AI 治理中的预期用途。
正向:部署自主 AI 代理的组织获得结构上可强制的问责链、分级人类监督,以及按需知情的信息治理。这回应了 Hagendorff(2020)和 Jobin 等(2019)所识别的落地鸿沟。对监管者而言,PACT 的包络与梯度机制把欧盟 AI 法案第 14 条的人类监督要求加以落地,并提供了可审计的合规证据。
负向:同样的机制也能实现细颗粒度的工作场所监控(第 12.8 节)。PACT 用组织灵活性换取问责;其代价是把科层编码为治理的前提。一旦采用 PACT,组织就难以在不重建 D/T/R 结构的前提下转向更扁平的治理模型。Holacracy(Robertson, 2015)和 Sociocracy 明确拒绝 PACT 所要求的具名问责模型;这些治理形态在不扭曲其核心原则的前提下无法采用 PACT。
许可框架制造了新的信息不平等。无论组织职位如何,持有高许可者相对未持有者具有结构性优势。在信息不对称已经造成权力失衡的语境(雇主与员工、监管者与被监管者)中,PACT 的分类系统通过把不对称从程序性扩展为架构性的强制,进一步放大了这种不对称。
公平考量:PACT 假设科层式问责是有益的。在权力距离较高的文化(Hofstede, 1980)中,语法可能不假思索地强化既有权威模式。在权力距离较低的文化中,它可能给人以强加之感而非赋能之感。本规范不应被作为普世最佳实践加以采纳;它是为已经选择把科层式问责作为治理模型的组织而设计的治理架构。
14. 证伪条件
Section titled “14. 证伪条件”-
语法不充分:若能给出反例,证明存在某种组织形态(企业、政府、军队、医疗),D/T/R 语法在保留治理相关关系(每一个问责问题都可通过遍历 PACT 图回答)的前提下无法对其建模,则普适性主张被证伪。
-
退化包络:若 6 至 8 层科层的组织持续产生有效包络,其中超过 50% 的角色在至少一个维度上低于功能最低值的 20%,则该组合模型对常见的组织深度而言不可行。
-
许可被拒:若采纳者持续推翻许可与职级解耦的设计(在部署后 12 个月内重新引入基于职级的访问),则该项设计假设是错误的。
-
配置成本:若对于 50 至 5000 人规模的组织,配置成本持续超过治理价值,则架构成本过高。该条件目前无法在没有已部署系统与对照基线的情况下加以操作化;我把它列为未来评估标准。
-
监管不足:若监管机构(MAS、FINRA、FCA)拒绝把基于容器的信息屏障作为多元合规计划中的一项足够组件,则金融服务应用失败。
15. 与”约束型组织”的关系
Section titled “15. 与”约束型组织”的关系”约束型组织(Hong, 2026e)以五项性质整合 CARE、EATP 与 CO。PACT 提供的是这些性质如何在组织规模上组合的架构性说明。我并不把 PACT 当作第六项独立性质来增添,而是把它定位为回答性质 1(架构性分离)、性质 2(可验证的信任谱系)和性质 4(分级自主)所预设的”规模问题”的架构细节:当数百个代理跨多级科层运行时,这些性质如何保持可处理?
D/T/R 语法是信任平面(性质 1)的结构性表达。递归式包络委派是分级自主(性质 4)沿科层组合的方式。知识许可是结构化机构知识(性质 3)受治理访问的方式。性质 5(知识复利)由 CO 第 5 层学习管线(Hong, 2026c)处理,而非由 PACT 处理;组织架构提供知识在其中复利的结构性边界,但复利机制本身是 CO 的贡献。PACT 并不增添新的性质;它使性质 1 至 4 在规模上可被实现。
16. 标准状态与晋升记录
Section titled “16. 标准状态与晋升记录”PACT 于 2026 年 3 月作为工作架构(v0.1-WA)发布,并附有一项有意的延后决定:基金会当时刚刚成立,而在外部验证之前从单一实现开始标准化是已知的反模式。2026 年 6 月 21 日,基金会将 PACT 晋升为正式标准(v1.0),与 CARE、EATP、CO 并列。泰睿基金会的正式标准现为四项:CARE(哲学)、EATP(协议)、CO(方法论)与 PACT(组织架构)。“三位一体(Trinity)“保留为最初三者(CARE/EATP/CO)的历史名称。
在发布时定义的晋升标准,及其在晋升时的处置情况:
- 多实现验证(至少两份实现,一份开源、一份商业):已满足:一份开源参考实现(kailash-py / kailash-pact)与一份独立的生产级商业部署。
- 采用方反馈(来自运行中部署的结构化反馈):基本满足 / 进行中:生产部署提供了持续的运营验证;更广泛的多组织反馈仍在累积。不作为阻断条件。
- 基金会标准已发布(CARE、EATP、CO 已发布):就发布而言已满足;前三者的外部学术同行评审仍在进行中,不作为阻断条件。
- 规范边界图(PACT、CARE、EATP、CO 之间的边界):已满足:边界在第 15 节及已发布的标准套件中予以规定。
此次晋升是基金会权威作出的判定,即所累积的证据(一项生产级商业部署、开源参考实现以及多轮对抗性验证)已足够。它并不声称每一项标准都已被独立而详尽地清零;标准 2 与标准 3 仍在积极进行中,且不作为阻断条件。本节取代 ADR-003 决定 1;完整决策记录见 terrene journal 0034。
Bainbridge, L. (1983). Ironies of automation. Automatica, 19(6), 775-779.
Burns, T., & Stalker, G. M. (1961). The Management of Innovation. Tavistock Publications.
Cherns, A. (1976). The principles of sociotechnical design. Human Relations, 29(8), 783-792.
Endsley, M. R., & Kiris, E. O. (1995). The out-of-the-loop performance problem and level of control in automation. Human Factors, 37(2), 381-394.
European Parliament. (2024). Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence (AI Act). Official Journal of the European Union.
Fama, E. F., & Jensen, M. C. (1983). Separation of ownership and control. Journal of Law and Economics, 26(2), 301-325.
Floridi, L., & Cowls, J. (2019). A unified framework of five principles for AI in society. Harvard Data Science Review, 1(1).
Floridi, L., Cowls, J., Beltrametti, M., Chatila, R., Chazerand, P., Dignum, V., … & Vayena, E. (2018). AI4People: An ethical framework for a good AI society. Minds and Machines, 28, 689-707.
Galbraith, J. R. (1973). Designing Complex Organizations. Addison-Wesley.
Gregor, S., & Hevner, A. R. (2013). Positioning and presenting design science research for maximum impact. MIS Quarterly, 37(2), 337-355.
Hagendorff, T. (2020). The ethics of AI ethics: An evaluation of guidelines. Minds and Machines, 30, 99-120.
Hart, O. (1995). Firms, Contracts, and Financial Structure. Oxford University Press.
Hart, O., & Moore, J. (1990). Property rights and the nature of the firm. Journal of Political Economy, 98(6), 1119-1158.
Hevner, A. R., March, S. T., Park, J., & Ram, S. (2004). Design science in information systems research. MIS Quarterly, 28(1), 75-105.
Hofstede, G. (1980). Culture’s Consequences: International Differences in Work-Related Values. Sage Publications.
Hong, J. (2026). Constraint Theater: Governance Without Wealth Effects. Submitted to American Economic Review. Theoretical foundation; PACT implements the recursive application of the formal model across organizational hierarchies.
Hong, J. (2026a). CARE: A Core Thesis. Terrene Foundation. https://github.com/terrene-foundation/publications/blob/main/CARE-Core-Thesis.pdf
Hong, J. (2026b). EATP: A Core Thesis. Terrene Foundation. https://github.com/terrene-foundation/publications/blob/main/EATP-Core-Thesis.pdf
Hong, J. (2026c). CO: A Core Thesis. Terrene Foundation. https://github.com/terrene-foundation/publications/blob/main/CO-Core-Thesis.pdf
Hong, J. (2026d). COC: A Core Thesis. Terrene Foundation. https://github.com/terrene-foundation/publications/blob/main/COC-Core-Thesis.pdf
Hong, J. (2026e). The Constrained Organization. Terrene Foundation. https://github.com/terrene-foundation/publications/blob/main/Constrained-Organization-Thesis.pdf
Hu, V. C., Ferraiolo, D., Kuhn, R., Schnitzer, A., Sandlin, K., Miller, R., & Scarfone, K. (2014). Guide to Attribute Based Access Control (ABAC) Definition and Considerations (NIST SP 800-162). National Institute of Standards and Technology.
Humberd, B. K., & Latham, S. F. (2026). When AI becomes an agent of the firm: Examining the evolution of AI in organizations through an agency theory lens. Journal of Management Studies, 63(2), 668-694. DOI: 10.1111/joms.13274
IMDA. (2026). Model AI Governance Framework for Agentic AI. Infocomm Media Development Authority, Government of Singapore.
Jarrahi, M. H., & Ritala, P. (2025). Rethinking AI agents: A principal-agent perspective. California Management Review, 67(4).
Jobin, A., Ienca, M., & Vayena, E. (2019). The global landscape of AI ethics guidelines. Nature Machine Intelligence, 1(9), 389-399.
Kolbjornsrud, V. (2024). Designing the intelligent organization: Six principles for human-AI collaboration. California Management Review, 66(2), 44-64. DOI: 10.1177/00081256231211020
Kolt, N. (2025). Governing AI agents. Notre Dame Law Review, 101 (forthcoming). arXiv:2501.07913.
Lawrence, P. R., & Lorsch, J. W. (1967). Differentiation and integration in complex organizations. Administrative Science Quarterly, 12(1), 1-47.
March, J. G., & Simon, H. A. (1958). Organizations. Wiley.
MAS. (2023). Notice on Business Conduct Requirements for Corporate Finance Advisers [SFA 04-N21]. Monetary Authority of Singapore.
Mintzberg, H. (1979). The Structuring of Organizations. Prentice-Hall.
INCITS. (2020). Next Generation Access Control (NGAC) (INCITS 565-2020). InterNational Committee for Information Technology Standards.
NIST. (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0). National Institute of Standards and Technology.
OASIS. (2013). eXtensible Access Control Markup Language (XACML) Version 3.0. OASIS Standard.
OMG. (2014). Business Process Model and Notation (BPMN) Version 2.0.2. Object Management Group.
Parasuraman, R., Sheridan, T. B., & Wickens, C. D. (2000). A model for types and levels of human interaction with automation. IEEE Transactions on Systems, Man, and Cybernetics, 30(3), 286-297.
Peffers, K., Tuunanen, T., Rothenberger, M. A., & Chatterjee, S. (2007). A design science research methodology for information systems research. Journal of Management Information Systems, 24(3), 45-77.
Perrow, C. (1967). A framework for the comparative analysis of organizations. American Sociological Review, 32(2), 194-208.
Robertson, B. J. (2015). Holacracy: The New Management System for a Rapidly Changing World. Henry Holt and Company.
Rose, S., Borchert, O., Mitchell, S., & Connelly, S. (2020). Zero Trust Architecture (NIST SP 800-207). National Institute of Standards and Technology.
Sandhu, R. S., Coyne, E. J., Feinstein, H. L., & Youman, C. E. (1996). Role-based access control models. IEEE Computer, 29(2), 38-47.
Sheridan, T. B., & Verplank, W. L. (1978). Human and computer control of undersea teleoperators. MIT Man-Machine Systems Laboratory.
Shneiderman, B. (2022). Human-Centered AI. Oxford University Press.
Simon, H. A. (1947). Administrative Behavior. Macmillan.
Singapore. (2001). Securities and Futures Act (Cap. 289). Government of Singapore.
South, T., Marro, S., Hardjono, T., Mahari, R., Whitney, C. D., Greenwood, D., Chan, A., & Pentland, A. (2025). Authenticated delegation and authorized AI agents (AD/MIT). In Proceedings of the 42nd International Conference on Machine Learning (ICML 2025). arXiv:2501.09674.
The Open Group. (2019). ArchiMate 3.1 Specification. The Open Group.
Thompson, J. D. (1967). Organizations in Action. McGraw-Hill.
Tomasev, N., Franklin, M., & Osindero, S. (2026). Intelligent AI delegation. arXiv:2602.11865.
Trist, E. L., & Bamforth, K. W. (1951). Some social and psychological consequences of the longwall method of coal-getting. Human Relations, 4(1), 3-38.
Vantrappen, H. (2025). Designing a fluid organization of humans and AI agents. California Management Review.
Weber, M. (1947). The Theory of Social and Economic Organization (A. M. Henderson & T. Parsons, Trans.). Oxford University Press. (Original work published 1922)
Williamson, O. E. (1985). The Economic Institutions of Capitalism. Free Press.
| 版本 | 日期 | 变更 |
|---|---|---|
| 0.1 | 2026-03-21 | 初始工作草稿。 |
| 0.2 | 2026-03-21 | 增加方法论、贡献声明、组织理论支撑、对比表、第一人称表述;删除未引用的文献;缩小 MAS 声称范围。 |
| 0.3 | 2026-03-21 | 增加 AI 治理文献、自动化层级文献、其他组织理论(March 与 Simon、Lawrence 与 Lorsch、Burns 与 Stalker、Perrow),以及 Gregor 与 Hevner 的贡献分类、更广泛影响小节、监控与双重用途局限。修正交叉引用、署名与术语。 |
| 0.4 | 2026-03-21 | 重构 2.1 节为论证主线。深化与 Hagendorff 的对话。把设计理论降级为可检验假设。强化更广泛影响。增加监控的法域不对称。修正 MAS 引用。增加 COC 引用与 AI 协助披露。 |
| 0.5 | 2026-03-21 | 增加桥接规范(4.4 节)。修正 Robertson、MAS、参考文献排序、BOD、规范层术语。 |
| 0.6 | 2026-03-21 | 与 EATP 对齐分类标签(PUBLIC/RESTRICTED)。增加 ABAC、NGAC、社会技术系统传统;修正 Gregor 与 Hevner 等级、Endsley、MAS 引用、监督岗位计算。43 篇参考文献。 |
| 0.7 | 2026-03-21 | 增加 2.3 节(AI 代理委派):Kolt(2025)、Humberd 与 Latham(2026)、Jarrahi 与 Ritala(2025)、Kolbjornsrud(2024)、Vantrappen(2025)、South 等 AD/MIT(ICML 2025)、Tomasev 等 DeepMind(2026)、IMDA 代理型 AI 框架(2026)。明确 PACT 相对于同类工作的定位。删除错误的 SFA 04-N11 引用。51 篇参考文献。 |
| 0.8 | 2026-03-21 | 跨论文一致性审查:补全 EATP Conformant 描述(含推理轨迹)、修正分类等级署名、把性质 5 归入 CO 范围。增加第 10 节(架构倒置)。增加企业 GRC 定位(SAP GRC、Microsoft Entra、零信任)。55 篇参考文献。第 7 轮有条件接受。 |
| 0.1-WA | 2026-03-21 | 重新打包为工作架构。增加来源披露、基金会独立性声明、PACT 参考实现统计(133 个模块、41K 行代码、4,191 个测试)。增加第 16 节(晋升标准)。影子代理规划(分析规范第 6 部分)划归 CO 方法论范畴。 |
| 1.0 | 2026-06-21 | 由工作架构晋升为泰睿基金会正式标准,与 CARE/EATP/CO 并列,依据创始人判定所累积的成熟度证据(生产级商业部署 + 开源参考实现 + 对抗性验证)已足够。标题由”一份工作架构”改为”核心论文”;引用键 Hong (2026f) 保持不变;第 16 节重构为晋升记录;取代 ADR-003 决定 1,见 terrene journal 0034。 |
本文为 Hong(2026f),是一份从 Hong, J.(2026)“Constraint Theater: Governance Without Wealth Effects” 的理论基础衍生而来的核心论文。PACT 实现该形式化模型在组织科层间的递归应用(参见关于递归应用的 Remark)。亦可参见:Hong, J.(2026a)“CARE: A Core Thesis”,治理哲学;Hong, J.(2026b)“EATP: A Core Thesis”,信任验证;Hong, J.(2026c)“CO: A Core Thesis”,方法论;Hong, J.(2026d)“COC: A Core Thesis”,开发方法论;Hong, J.(2026e)“The Constrained Organization”,机构设计。