摘要
过去几十年里,大多数安全系统都建立在授权模型之上。我们通过账号、密码、角色、权限、多签和审批流程来决定谁可以执行某项操作。久而久之,人们逐渐形成了一种默认认知:只要授权过程足够严格,系统就是安全的。
然而现实世界中的许多安全事故恰恰发生在授权完全合法的情况下。攻击者使用真实账号,管理员拥有真实权限,审批流程完整通过,所有签名均真实有效,但最终结果依然是一次错误执行、一次资产损失,或者一次生产事故。
这意味着授权与安全并不是同一个概念。授权能够证明某个人拥有执行某项操作的资格,却无法证明这项操作本身一定正确。随着 AI Agent、自动化系统以及大规模机器决策不断进入关键业务场景,仅仅依赖授权已经越来越难以满足未来系统的安全需求。
本文试图讨论一个经常被忽略的问题:授权究竟能够解决什么问题,又无法解决什么问题,以及为什么执行控制正在成为下一代安全架构中不可缺失的一层。
一、现代安全体系为什么如此依赖授权
无论是企业 IT 系统、云平台、银行系统还是 Web3 基础设施,大部分安全架构都建立在授权模型之上。
这种模式的逻辑十分简单。
系统首先确认一个主体的身份,然后根据预先配置的规则判断其是否拥有执行某项操作的权限。如果权限满足要求,操作被允许继续进行;如果权限不足,系统拒绝执行。
这种设计方式之所以能够成为行业标准,是因为它成功解决了身份与访问控制问题。
例如,一个普通员工无法访问财务系统;一个开发人员无法修改生产数据库;一个没有签名权限的人无法发起资金转账。通过对权限进行划分,系统能够有效降低大量低级风险。
因此在过去很长时间里,安全建设的重点几乎都集中在授权体系本身。
我们不断完善权限模型,不断增加审批流程,不断引入双因素认证、多签机制和更复杂的访问控制策略。整个行业似乎形成了一种共识:只要授权足够严格,系统自然就会更加安全。
但这种思路存在一个隐含前提。
它默认认为拥有权限的人会正确使用权限。
而现实世界往往并非如此。
二、授权能够证明什么
授权实际上是一种资格验证机制。
它回答的问题并不是"这件事是否正确",而是"这个人是否有资格这样做"。
这两者看起来相似,但本质上完全不同。
当系统验证一个管理员身份时,它证明的是管理员拥有修改配置的权限。
当系统验证一个财务负责人的身份时,它证明的是此人拥有转账资格。
当一个多签钱包完成签名时,它证明的是满足了预设签名规则。
这些验证结果都是真实且有价值的。
它们能够帮助系统判断执行者是否属于被允许的范围。
然而授权的能力也到此为止。
它能够证明资格,却无法证明决策。
它能够证明身份,却无法证明意图。
它能够证明流程符合规则,却无法证明结果符合组织利益。
换句话说,授权解决的是"谁"的问题,而不是"为什么"的问题。
三、授权无法证明什么
许多重大安全事件都有一个共同特点。
事后审计发现,系统中的每一个步骤都符合既定规则。
账号是真实的。
权限是真实的。
审批是真实的。
签名是真实的。
日志完整记录了整个过程。
从技术角度看,系统甚至没有出现漏洞。
然而结果却是错误的。
原因在于授权本身并不具备判断行为合理性的能力。
一个拥有权限的管理员仍然可能做出错误配置。
一个拥有权限的财务人员仍然可能完成恶意转账。
一个拥有权限的开发者仍然可能部署有问题的代码。
授权系统并不会思考这些行为是否合理。
它只负责确认执行者是否拥有资格。
因此,当人们把安全完全建立在授权模型之上时,实际上是在默认相信所有获得授权的人都会做出正确决策。
这种假设在简单系统中或许成立,但在复杂组织和高价值场景中往往并不可靠。
四、多签的边界在哪里
Web3 行业对于授权体系的理解已经远远超过传统互联网行业。
多签就是其中最典型的例子。
通过要求多个参与者共同签名,系统避免了单个私钥被盗导致全部资产失控的问题。
从授权角度看,多签是一项非常优秀的设计。
它把风险从单点扩散到多个参与者,从而显著提高攻击成本。
但多签本质上仍然属于授权体系的一部分。
它只是把"一个人同意"变成了"多个人同意"。
它仍然没有回答另一个问题:
如果所有人都同意了一件错误的事情怎么办?
事实上,多签参与者并不一定拥有完全独立的信息来源。
他们可能看到相同的数据,依赖相同的界面,接受相同的解释,甚至受到相同的误导。
在这种情况下,多签能够证明多人参与决策,却无法证明决策本身正确。
因此,多签提高了授权可信度,却没有解决执行合理性问题。
这也是为什么越来越多组织开始意识到,仅仅增加签名人数并不能无限提高安全性。
五、AI 时代正在放大这个问题
过去,执行链路中的主要参与者是人。
即使存在自动化脚本,其行为范围通常也是预定义的。
但 AI Agent 的出现改变了这一局面。
越来越多系统开始允许 AI 自动分析信息、生成执行计划、调用工具以及完成跨系统操作。
这意味着系统中的决策来源开始从人扩展到机器。
与此同时,执行速度也被大幅提升。
过去需要数小时完成的审批和执行流程,未来可能在数秒之内完成。
效率获得提升的同时,错误也可能被同步放大。
因为 AI 并不真正理解风险。
它可以根据训练数据生成看起来合理的方案,却无法承担方案产生的后果。
如果输入信息错误,AI 可能做出错误决策。
如果上下文受到污染,AI 可能执行危险操作。
如果攻击者成功操纵提示词,AI 甚至可能主动帮助攻击者完成目标。
这些问题都不是授权体系能够解决的。
因为 AI 完全可以拥有合法权限。
问题并不出在权限是否合法,而出在执行行为是否合理。
随着 AI 深度参与执行链路,授权与安全之间的差距将进一步扩大。
六、执行控制为什么会出现
当授权无法覆盖全部风险时,系统就需要新的能力。
这种能力不是替代授权,而是在授权之后继续进行判断。
授权负责确认执行者是否拥有资格。
执行控制负责确认执行行为是否满足边界条件。
例如:
是否超出额度限制。
是否违反组织治理规则。
是否触发风险策略。
是否进入禁止执行时间窗口。
是否与历史行为明显异常。
这些问题都不是身份问题。
它们属于执行问题。
执行控制的核心目标不是确认谁在操作,而是确认这项操作是否应该被允许发生。
因此,执行控制并不是另一个权限系统。
它是一层独立于授权体系之外的约束机制。
它关注的不是身份,而是行为。
关注的不是资格,而是边界。
七、为什么最终需要独立的否决能力
如果系统中所有控制能力都依赖于同一个权力中心,那么最终仍然会回到原来的问题。
拥有最高权限的人可以关闭限制。
拥有最高权限的人可以修改规则。
拥有最高权限的人可以绕过控制。
于是最后一道防线实际上并不存在。
真正有效的安全架构必须保留独立的约束能力。
这种能力不依赖于发起者。
不依赖于审批者。
也不依赖于管理员。
它存在的意义并不是帮助系统执行更多操作,而是在必要的时候阻止系统继续执行。
工业控制系统中的安全联锁如此。
航空系统中的飞控保护如此。
核电站中的紧急停机机制也是如此。
这些系统最重要的价值并不是让设备运行,而是在出现风险时阻止设备继续运行。
从这个角度看,否决能力并不是授权体系的附属功能。
它本身就是安全体系中独立且不可替代的一部分。
八、结语
过去几十年里,安全行业一直在不断完善授权体系。
权限模型越来越复杂,审批流程越来越严格,多签机制越来越成熟。
这些技术都非常重要,并且仍然会长期存在。
但随着 AI、自主代理和大规模自动化系统逐渐成为基础设施的一部分,仅仅解决"谁可以执行"已经不再足够。
未来的安全系统还需要回答另一个问题:
即使所有授权都已经满足,系统是否仍然拥有能力阻止一次危险执行?
这个问题的答案,将决定下一代安全架构的发展方向。
在 Havenlon 看来,授权仍然重要,但授权并不等于安全。
真正完整的安全体系,不仅需要知道谁拥有资格执行,还需要拥有能力决定这件事是否应该被执行。
这也是执行控制存在的原因。