Pablo Zavala · AI 安全评估 · 研究工程
Tribunal:当 AI 决策需要一份账本
Tribunal 将高风险 AI 输出转化为可审查的决策程序:盲审提案、密封承诺、按角色批评、否决、异议、批准规则和哈希链 ledger。
!由真实 Tribunal 界面、ledger 计数和决策流程图构成的数据面板
一个段落留下的审查线索太少
当 AI 系统拒绝贷款、标记福利申请、拒绝医疗照护或移除帖子时,受影响的人常常只收到一个段落。流畅的段落可以引用政策,却仍然漏掉关键制度事实:系统检查了什么,谁提出异议,panel 推翻了什么,为什么某个理由压过其他理由。
记录缺口正是 Tribunal 的起点。高风险 AI 需要理由,也需要围绕决策的可检查程序。
Tribunal 把解释变成程序
Tribunal 用有记录的 panel 流程替代一次私有 completion。决策按 span 构建。一个 span 是最终文本中的小单元:处置、理由、披露,或 STOP 决策。
每个 span 先由席位盲写提案,再用 hash 密封,随后接受批评、修订、安全审查、命名规则批准,并写入 ledger。实质性异议留在记录中。
六个席位承担不同职责:证据、对抗者、法律与政策、受影响方、安全否决和简洁性。Offline 模式使用脚本替身服务 CI 和 demo;因此 offline demo 证明的是被记录的程序,而非实时模型独立性。
Tribunal 改变被评价的对象。普通模型交付文本。Tribunal 交付文本,也交付文本如何经受批评的可审查记录。
可验证表面
公共仓库直接暴露验证表面:`npm test`、`npm run demo`、本地 `POST /api/verify`、篡改检测、可重放 ledger 和已锚定 head hash。
已锚定的 offline lending run `run_e6c6225c0d49` 包含 86 个事件,A1-A12 auditability 得到 `12/12`,并能对上公开 head hash。同一个 ledger 也展示项目边界:最终答案采用了测试案例中的错误 `52%` debt-to-income 理由。
有缺陷的 lending run 让主张保持诚实。Ledger 可以保留异议、暴露前提、命名规则,并让挑战更容易。记录不会把错误多数变成真理。
治理要求记录
在信贷领域,CFPB 要求复杂算法仍给出具体且准确的不利行动理由。在内容治理中,Digital Services Act 要求对某些限制给出 statements of reasons。EU AI Act 框架为高风险 AI 系统设定 logging、documentation 和 human oversight 义务,适用日期按系统和过渡规则变化。GDPR Article 22 赋予人们针对某些具有法律或类似重大影响的纯自动化决策的权利。
Tribunal 不是合规认证。合规取决于领域、司法辖区、数据、通知、保留、隐私、审查者权限、申诉权和运行程序。即便如此,共同治理模式仍然是程序性的:严肃治理层应显示系统使用了哪些事实,自动化在哪里进入,人在哪里介入,提出了哪些异议,以及记录是否仍可验证。
Auditability 而非真理
最重要的限制很简单:ledger 可以忠实记录有缺陷的决策。Tribunal 证明程序,而非正确性。记录让审查者检查前提、异议、规则和 dissent。可重放性弱于真理,却强于没有审计轨迹的漂亮段落。
因此,A1-A12 scorecard 衡量 auditability。清单检查 blind commitments、public warrants、seat-blinded feedback、order rotation、substantive revision、safety veto、named ratification、preserved dissent、deliberation memory、hash-chain、STOP handling 和 typed events。
没有 ledger 的 completion 按结构得到 `0/12`,因为缺少清单测量的 artifact。
SHAP、LIME 和 chain-of-thought 提出不同问题
SHAP 和 LIME 可以解释哪些特征推动了分数。Tribunal 追问谁检查了文件,哪个事实被争议,批评后改了什么,安全席位否决了什么,最终答案是否仍匹配已承诺的 spans。
这种区分重要,因为 post-hoc 解释可能脆弱。Rudin 主张高风险场景应在可能时偏好可解释模型。Slack 等人展示,对抗性脚手架可以让有偏分类器产生看似无害的 LIME 和 SHAP 解释。Turpin 等人展示,chain-of-thought 可能错误描述模型作答原因。
Tribunal 避免读取模型的私有心智。系统在生成过程中记录公开 warrants 和公开 objections。
诚实主张
Tribunal 是原型,不是法律法院、合规认证,也不是六个模型必然比一个模型更聪明的证明。纪律性的承诺是记录提案、异议、否决、dissent 和规则,并在适当访问与隐私控制下保留足够 ledger,让授权审查者可以验证。
我关心的变化,是从模型输出走向可审查记录。
来源和边界
- 公共仓库:`pazare/tribunal`.
- 锚定证据:`runs/ANCHORS.md`、`meta.json`、`audit.json` 和 `ledger.json`.
- 2026 年 7 月 6 日本地验证:`npm test` 通过 31 项测试;`npm run demo` 输出 `VERIFY: OK`;被引用的 run 与公开 head 匹配。
- 图像从真实 Tribunal 面板、run 元数据、审计计数和事件条形图开始;AI 只用于间距和清晰度 polishing。