Google DeepMind 对 Agent Delegation 的正确之处 — 以及 SatGate 已经构建的内容

Source: Dev.to

（请提供您希望翻译的正文内容，我将为您翻译成简体中文，并保持原有的 Markdown 格式、代码块和链接不变。）

概述

在 2026 年 2 月，Google DeepMind 的一个团队发布了《Intelligent AI Delegation》——一个关于自主代理应如何安全地分解任务、转移权限并在委托链中保持问责的框架。论文得出结论，代理需要衰减能力令牌——具体而言是 macaroons——才能安全地进行委托。

SatGate 的构建初衷正是如此：macaroons 是唯一适用于机器对机器委托的凭证原语。它们能够衰减权限、携带约束，并且在无需联系中心服务器的情况下进行密码学验证。当 DeepMind 独立提出相同的架构时，值得对两者进行比较。

委托能力令牌 (DCTs)

DeepMind 提出了基于 macaroons 的委托能力令牌（DCT）：

“委托者会铸造一个 DCT，将目标资源凭证包装在带有密码学限制条件的令牌中。其权限削减可以定义为‘此令牌可以访问指定的 Google Drive MCP 服务器，但仅限于 Project_X 文件夹且仅限读取操作。’”

SatGate 使用了带有两个第一方限制条件的 macaroons——完全相同的模式。

Mapping Paper Requirements to SatGate

为什么使用 Macaroons？

论文引用了 Birgisson 等人 (2014)——原始的 Google Research macaroons 论文，因为 macaroons 提供了：

• 无需协调的衰减 – 持有者可以在不联系发行者的情况下添加限制。
• 离线验证 – macaroons 是 HMAC 链；验证完全基于密码学，无需数据库查询或延迟惩罚。
• 可组合的约束 – 可以堆叠 caveat（如路由、预算、时间、MCP 工具范围），每个约束都进一步缩小权限。
• 一等委托 – 生成子令牌只需追加一个 caveat；委托层级直接编码在令牌本身。

相比之下，JWT、API 密钥以及静态 OAuth 范围无法被持有者在下游进一步削减。

Lessons Learned from Building SatGate

1. 经济学作为执行层 – DeepMind 框架关注权威和问责，但忽略了经济控制。实际上，未经控制的支出比未授权访问更常见。
2. 工具级成本归属 – 虽然论文提到了 MCP，但未涉及每个工具的成本跟踪。代理可能在一次会话中调用多个 MCP 工具，需要细粒度的成本监控。
3. 信任梯度 vs. 二元开关 – SatGate 的三模式进程（观察 → 控制 → 收费）让企业能够逐步建立信心，而无需进行全面重新设计。

SatGate 实现

SatGate 是开源的（Apache 2.0）。网关可作为 sidecar 或独立代理运行，延迟低于毫秒级。

• GitHub:

如果 DeepMind 委托框架符合您需要的架构，SatGate 提供即插即用的实现。

References

• Tomasev, N. et al. (2026). 智能 AI 委托. arXiv:2602.11865. Google DeepMind.
• Birgisson, A. et al. (2014). Macaroons：用于云中去中心化授权的带上下文限制的 Cookie. NDSS 2014.