Pablo Zavala · AI 安全评估 · 研究工程

Tribunal:当 AI 决策需要一份账本

Tribunal 将高风险 AI 输出转化为可审查的决策程序:盲审提案、密封承诺、按角色批评、否决、异议、批准规则和哈希链 ledger。

2026年7月6日 · 8 min

!由真实 Tribunal 界面、ledger 计数和决策流程图构成的数据面板

一个段落留下的审查线索太少

当 AI 系统拒绝贷款、标记福利申请、拒绝医疗照护或移除帖子时,受影响的人常常只收到一个段落。流畅的段落可以引用政策,却仍然漏掉关键制度事实:系统检查了什么,谁提出异议,panel 推翻了什么,为什么某个理由压过其他理由。

记录缺口正是 Tribunal 的起点。高风险 AI 需要理由,也需要围绕决策的可检查程序。

Tribunal 把解释变成程序

Tribunal 用有记录的 panel 流程替代一次私有 completion。决策按 span 构建。一个 span 是最终文本中的小单元:处置、理由、披露,或 STOP 决策。

每个 span 先由席位盲写提案,再用 hash 密封,随后接受批评、修订、安全审查、命名规则批准,并写入 ledger。实质性异议留在记录中。

六个席位承担不同职责:证据、对抗者、法律与政策、受影响方、安全否决和简洁性。Offline 模式使用脚本替身服务 CI 和 demo;因此 offline demo 证明的是被记录的程序,而非实时模型独立性。

Tribunal 改变被评价的对象。普通模型交付文本。Tribunal 交付文本,也交付文本如何经受批评的可审查记录。

可验证表面

公共仓库直接暴露验证表面:`npm test`、`npm run demo`、本地 `POST /api/verify`、篡改检测、可重放 ledger 和已锚定 head hash。

已锚定的 offline lending run `run_e6c6225c0d49` 包含 86 个事件,A1-A12 auditability 得到 `12/12`,并能对上公开 head hash。同一个 ledger 也展示项目边界:最终答案采用了测试案例中的错误 `52%` debt-to-income 理由。

有缺陷的 lending run 让主张保持诚实。Ledger 可以保留异议、暴露前提、命名规则,并让挑战更容易。记录不会把错误多数变成真理。

治理要求记录

在信贷领域,CFPB 要求复杂算法仍给出具体且准确的不利行动理由。在内容治理中,Digital Services Act 要求对某些限制给出 statements of reasons。EU AI Act 框架为高风险 AI 系统设定 logging、documentation 和 human oversight 义务,适用日期按系统和过渡规则变化。GDPR Article 22 赋予人们针对某些具有法律或类似重大影响的纯自动化决策的权利。

Tribunal 不是合规认证。合规取决于领域、司法辖区、数据、通知、保留、隐私、审查者权限、申诉权和运行程序。即便如此,共同治理模式仍然是程序性的:严肃治理层应显示系统使用了哪些事实,自动化在哪里进入,人在哪里介入,提出了哪些异议,以及记录是否仍可验证。

Auditability 而非真理

最重要的限制很简单:ledger 可以忠实记录有缺陷的决策。Tribunal 证明程序,而非正确性。记录让审查者检查前提、异议、规则和 dissent。可重放性弱于真理,却强于没有审计轨迹的漂亮段落。

因此,A1-A12 scorecard 衡量 auditability。清单检查 blind commitments、public warrants、seat-blinded feedback、order rotation、substantive revision、safety veto、named ratification、preserved dissent、deliberation memory、hash-chain、STOP handling 和 typed events。

没有 ledger 的 completion 按结构得到 `0/12`,因为缺少清单测量的 artifact。

SHAP、LIME 和 chain-of-thought 提出不同问题

SHAP 和 LIME 可以解释哪些特征推动了分数。Tribunal 追问谁检查了文件,哪个事实被争议,批评后改了什么,安全席位否决了什么,最终答案是否仍匹配已承诺的 spans。

这种区分重要,因为 post-hoc 解释可能脆弱。Rudin 主张高风险场景应在可能时偏好可解释模型。Slack 等人展示,对抗性脚手架可以让有偏分类器产生看似无害的 LIME 和 SHAP 解释。Turpin 等人展示,chain-of-thought 可能错误描述模型作答原因。

Tribunal 避免读取模型的私有心智。系统在生成过程中记录公开 warrants 和公开 objections。

诚实主张

Tribunal 是原型,不是法律法院、合规认证,也不是六个模型必然比一个模型更聪明的证明。纪律性的承诺是记录提案、异议、否决、dissent 和规则,并在适当访问与隐私控制下保留足够 ledger,让授权审查者可以验证。

我关心的变化,是从模型输出走向可审查记录。

来源和边界

  • 公共仓库:`pazare/tribunal`.
  • 锚定证据:`runs/ANCHORS.md``meta.json``audit.json``ledger.json`.
  • 2026 年 7 月 6 日本地验证:`npm test` 通过 31 项测试;`npm run demo` 输出 `VERIFY: OK`;被引用的 run 与公开 head 匹配。
  • 图像从真实 Tribunal 面板、run 元数据、审计计数和事件条形图开始;AI 只用于间距和清晰度 polishing。