![]()
本文來自微信公眾號: HavenlonLabs ,作者:HavenlonLabs
一、先講兩個價值十億美元的"等一下"
2016 年 2 月,孟加拉國央行存放在紐約聯(lián)儲的賬戶,被發(fā)起了三十多筆轉(zhuǎn)賬指令,總額接近十億美元。指令來自真實的 SWIFT 終端,使用真實的操作憑證,攜帶真實的授權(quán)碼,走完了真實的流程。在系統(tǒng)眼中,這不是攻擊,這是一個再正常不過的工作日。
最終阻止這場災(zāi)難繼續(xù)蔓延的,不是防火墻,不是風控模型,也不是某套先進的安全架構(gòu),而是一個拼寫錯誤。黑客在某筆轉(zhuǎn)賬的收款方名稱里,把"foundation"錯拼成了"fandation"。中轉(zhuǎn)行一位工作人員覺得不對勁,停下來,拿起電話核實了一下。就是這個"停下來",攔住了后續(xù)八億多美元的損失。即便如此,已經(jīng)放行的八千一百萬美元,絕大部分再也沒有追回。
再看另一個故事。2012 年 8 月 1 日上午,美國做市商騎士資本(Knight Capital)的交易系統(tǒng),因為一段被錯誤激活的舊代碼,在四十五分鐘內(nèi)自動執(zhí)行了數(shù)百萬筆錯誤訂單,虧掉約 4.4 億美元。這家在華爾街做了十七年的公司,幾天之內(nèi)瀕臨倒閉。整個過程中沒有黑客,沒有內(nèi)鬼,沒有權(quán)限泄露,每一筆訂單在系統(tǒng)看來都是合法的。系統(tǒng)唯一的問題是:它跑得太順了,順到?jīng)]有任何一個環(huán)節(jié)來得及說一句"等一下"。
這兩個相隔四年的事故,行業(yè)不同,原因不同,卻共享同一個結(jié)構(gòu):攔住災(zāi)難的,是摩擦;放跑災(zāi)難的,是順滑。
之所以在 2026 年重提這兩個舊案,是因為一個新變量正在進入幾乎所有企業(yè)的執(zhí)行鏈條:AI Agent。它帶來的效率躍遷毋庸置疑,但它同時在做一件很少有人認真討論的事——把企業(yè)里殘存的"摩擦",系統(tǒng)性地、徹底地、不可逆地拿走。
而很多企業(yè)還沒有意識到,那些摩擦,恰恰是它們用了三十年的、免費的安全系統(tǒng)。
二、摩擦:企業(yè)免費用了三十年的安全系統(tǒng)
過去幾年,圍繞 AI 的討論大多集中在兩個方向:它能不能生成更好的內(nèi)容,以及它會不會替代人的工作。但對企業(yè)經(jīng)營者來說,一個更深層的問題正在浮現(xiàn):當 AI 不再只是回答問題,而是開始替人調(diào)用工具、提交請求、操作賬戶、修改配置、觸發(fā)流程時,企業(yè)原本依賴的一整套安全假設(shè),會被改寫。
要理解被改寫的是什么,得先看清一個長期被誤讀的事實:在傳統(tǒng)的企業(yè)系統(tǒng)里,高風險動作從來不是瞬間發(fā)生的。
一筆付款,要有人填單,有人復核,有人審批,有人再次確認;一次生產(chǎn)環(huán)境變更,要有人寫工單,有人看變更窗口,有人在群里確認影響范圍;一筆大額轉(zhuǎn)賬,可能需要插入 U 盾,或者在另一臺設(shè)備上重新按一次確認鍵。在數(shù)字化的敘事里,這些環(huán)節(jié)有一個統(tǒng)一的名字:低效率。它們是流程優(yōu)化的對象,是 OA 系統(tǒng)要壓縮的節(jié)點,是每一輪"降本增效"都想干掉的東西。
但從安全的角度看,這些"麻煩"承擔著一種從未被寫進任何采購清單的功能:它們讓高風險動作在真正發(fā)生之前,被迫慢下來。慢下來,人才有機會重新看一眼金額、對象、時間、上下文和后果。孟加拉央行事件里那個拼寫錯誤之所以能攔住八億美元,前提是有一個人被迫參與了過程,而且他有停下來打電話的余地。
這里有一個多數(shù)管理者不愿意承認、但值得寫在墻上的判斷:很多企業(yè)沒出事,不是因為安全架構(gòu)足夠先進,而是因為流程足夠麻煩。
麻煩制造了時間差,時間差制造了反悔的機會。人要走到另一個辦公室找領(lǐng)導簽字,要等第二天的變更窗口,要在群里@三個人確認——這些動作在效率報表上全是負資產(chǎn),在風險報表上卻全是隱形的保險。只是這份保險從來不出現(xiàn)在任何財務(wù)科目里,所以也從來沒有人為它的消失做過評估。
企業(yè)數(shù)字化的歷史,在很大程度上就是一部消除摩擦的歷史:審批在線化,操作自動化,數(shù)據(jù)打通,流程閉環(huán),系統(tǒng)之間減少人工轉(zhuǎn)交。每消除一分摩擦,企業(yè)就獲得一分效率,同時悄悄注銷一分從未入賬的保險。三十年來,這筆交易整體是劃算的,因為摩擦消除得足夠慢,人始終還卡在關(guān)鍵步驟中間。
AI Agent 改變的,是速度和徹底程度。
三、AI Agent 不是更快的工具,而是更短的鏈路
必須先說清楚一點:AI 本身并不危險,把 AI 描述成風險源頭是對問題的誤讀。AI 的價值恰恰在于減少中間步驟,把人從重復操作中解放出來。它可以理解自然語言需求,生成操作方案,調(diào)用內(nèi)部系統(tǒng),填寫表單,提交審批,觸發(fā)后續(xù)任務(wù),甚至跨多個工具完成一整條業(yè)務(wù)鏈路。
真正需要看清的是它帶來的結(jié)構(gòu)性變化。以往的每一代自動化工具,本質(zhì)上都是在加速某一個環(huán)節(jié):ERP 加速了記賬,RPA 加速了錄入,工作流引擎加速了流轉(zhuǎn)。環(huán)節(jié)與環(huán)節(jié)之間,依然靠人來跨越,人依然是鏈條上的關(guān)節(jié)。
AI Agent 不一樣。它第一次有能力把多個原本分散的步驟連成一個連續(xù)動作,把"我想做某件事"直接翻譯成"系統(tǒng)已經(jīng)開始做這件事"。它不是把某個環(huán)節(jié)做快了,而是把環(huán)節(jié)之間的縫隙抹掉了。過去由人手動跨越的那些間隙——也就是企業(yè)過去依賴的"人會慢下來"的安全緩沖——會隨著鏈路的貫通被一起壓縮掉。
這會帶來三個被普遍低估的變化。
其一,錯誤動作的傳播速度變快。騎士資本用四十五分鐘虧掉 4.4 億美元,已經(jīng)讓當年的華爾街不寒而栗;而一個被授權(quán)調(diào)用付款、采購、運維接口的 AI Agent,執(zhí)行一條錯誤鏈路的時間以秒計。
其二,錯誤動作在流程中的阻力變小。過去一個錯誤請求可能會在某個環(huán)節(jié)被人發(fā)現(xiàn)——金額不對,對象不對,時間不對,環(huán)境不對。人之所以能發(fā)現(xiàn),有時并不是因為他多專業(yè),而是因為他被迫參與了過程。當 AI 替人整理信息、壓縮上下文、生成摘要、給出"建議批準"時,審批體驗變輕了,但審批人面對的不再是真實動作,而是 AI 對真實動作的解釋。
其三,錯誤動作被包裝成合理動作的能力變強。這是與以往所有自動化最大的不同:以前的系統(tǒng)只會忠實地執(zhí)行錯誤,AI 卻會流利地解釋錯誤。一個能生成完美審批理由的系統(tǒng),同樣有能力為一個不該發(fā)生的動作,生成一份看起來無懈可擊的說明。
于是問題浮出水面:當企業(yè)的執(zhí)行鏈變得前所未有地順滑,原來靠"麻煩"承擔的最后阻斷能力,由誰來承擔?
四、最危險的縫隙:審批看到的,和執(zhí)行發(fā)生的,不是同一件事
要回答這個問題,先要找到 AI 時代企業(yè)風險真正的藏身之處。它不在入口,而在一條很少有人審視的縫隙里:展示層、審批層和執(zhí)行層之間的語義差異。
審批頁面上顯示的是"向合作方付款",但真實執(zhí)行里包含的是具體賬戶、金額、幣種、備注和一長串調(diào)用參數(shù);審批摘要里寫的是"導出客戶數(shù)據(jù)用于審計",但真實執(zhí)行時涉及的是字段范圍、時間窗口、接收對象和下載權(quán)限;運維工單里寫的是"重啟服務(wù)",但真實動作對應(yīng)的是哪個集群、哪個節(jié)點、什么時間、是否繞過降級策略。
在人主導執(zhí)行的年代,這條縫隙是收窄的,因為審批的人和執(zhí)行的人往往離得不遠,執(zhí)行者自己會看一眼參數(shù)。當 AI 接管了"翻譯"和"執(zhí)行",審批人看到的是摘要,系統(tǒng)執(zhí)行的是參數(shù),兩者之間隔著一層由 AI 生成的解釋。只要這層語義差異存在,一個殘酷的結(jié)論就成立:審批通過,只能證明流程走完了,不能證明動作是對的。
用一個開車的比喻。綠燈全亮,并不等于車該開。綠燈表示交通規(guī)則允許你繼續(xù),但它不會替你判斷路口有沒有行人、地面是否結(jié)冰、你是否開錯了方向。審批系統(tǒng)就是那組綠燈:它能證明流程有記錄、權(quán)限有校驗、規(guī)則有匹配、責任有歸屬,但它并不能天然證明最后那個動作,仍然符合最初的真實意圖。
由此引出 AI 時代企業(yè)風險的新主角。企業(yè)安全過去最熟悉的敘事是防止非法訪問:賬號被盜、密鑰泄露、權(quán)限繞過、系統(tǒng)被攻破。這些當然依然重要,但 AI Agent 會讓另一類風險變得更突出——合法授權(quán)下的錯誤執(zhí)行。
賬號是真的,權(quán)限是真的,審批是真的,流程也是真的,但最后執(zhí)行的動作是錯的。它可能是被錯誤上下文誘導出來的,可能是被惡意指令污染出來的,可能是因為 AI 摘要漏掉了關(guān)鍵字段,也可能是因為云端管理層被攻破后,錯誤指令仍能一路暢通地推向執(zhí)行。
這類風險最麻煩的地方在于,它不表現(xiàn)為異常,而表現(xiàn)為正常。每一層都能解釋自己為什么放行,每一條日志都顯示流程完整,每一個參與者都以為自己批準的是正確的動作。孟加拉央行事件正是如此:在長達數(shù)小時里,所有系統(tǒng)都認為一切正常,唯一覺得不正常的,是一個人。直到動作真正發(fā)生,企業(yè)才發(fā)現(xiàn)問題不在于缺少權(quán)限控制,而在于權(quán)限、審批、策略和執(zhí)行,被放在了同一條過于順滑的鏈路里。
最貴的事故,往往披著最合規(guī)的外衣。
五、從鑰匙到門閂:企業(yè)安全的重心遷移
看清了風險的位置,解法的方向也就清楚了。
過去的企業(yè)安全體系,很大程度上是圍繞"鑰匙"展開的:誰能登錄,誰能訪問,誰能提交,誰能審批,誰能調(diào)用接口,誰擁有管理員權(quán)限。身份認證、訪問控制、權(quán)限管理、終端防護、日志審計,整個產(chǎn)業(yè)的產(chǎn)品譜系,幾乎都在回答同一個問題——誰可以靠近系統(tǒng)。
這些問題依然重要,但它們解決的是進入資格和發(fā)起資格。AI Agent 進入執(zhí)行鏈之后,更關(guān)鍵的問題變成:一個動作從被提出到真正發(fā)生之間,是否還有一道獨立的邊界,能夠判斷它到底該不該發(fā)生。
換句話說,企業(yè)過去關(guān)注的是鑰匙,未來必須重新關(guān)注門閂。
門閂并不是新發(fā)明。在線下世界里它一直存在:老板付款前多問的那一句,財務(wù)打去核實的那通電話,運維工程師執(zhí)行前再看的那一眼生產(chǎn)環(huán)境,U 盾要求的物理插入,銀行大額業(yè)務(wù)要求的雙人臨柜,核設(shè)施要求的雙鑰匙同時轉(zhuǎn)動。這些機制不一定聰明,也談不上高效,但它們有一個共同點:把"可以發(fā)起"和"真的執(zhí)行"分開了。發(fā)起是一種資格,執(zhí)行是另一種資格,兩者之間隔著一道不歸任何發(fā)起方管轄的邊界。
鑰匙決定誰能靠近,門閂決定什么能發(fā)生。AI Agent 并沒有讓鑰匙失效,但它讓"僅有鑰匙"變得不夠——因為當系統(tǒng)越來越自動、越來越連續(xù)、越來越善于把意圖變成動作時,"最后那一下"變得比歷史上任何時候都重要。
這里必須澄清一個容易產(chǎn)生的誤解:重建門閂,不是讓企業(yè)回到低效率,更不是反對自動化。真正的問題是,當 AI 把那些原來靠人承擔的停頓拿走之后,企業(yè)有沒有用新的工程結(jié)構(gòu)把它補回來。過去的門閂是"人肉"的,靠角色分工和物理不便自然形成;未來的門閂必須是工程化的,被有意識地設(shè)計、部署和驗證。它不能再依賴"流程恰好麻煩",而要依賴"結(jié)構(gòu)刻意獨立"。
六、什么才算真正的門閂:四個不能妥協(xié)的條件
需要警惕的是,"門閂"很容易被做成一個安慰劑。再加一個彈窗,再加一個審批按鈕,再在日志里多寫一條記錄——這些東西看起來像門閂,實際上只是給順滑的鏈路又刷了一層"看起來安全"的漆。如果所謂的最后確認,仍然存在于同一個業(yè)務(wù)系統(tǒng)、同一個云端控制平面、同一個可以被遠程修改的軟件域里,那么攻破了這個域,就等于同時攻破了門和閂。
一道真正有價值的門閂,至少要滿足四個條件。
第一,它必須把發(fā)起權(quán)和執(zhí)行權(quán)分開。用戶、AI、管理員、SaaS、審批系統(tǒng),都可以發(fā)起請求或給出判斷,但任何一方都不應(yīng)該因為自己發(fā)起了、審批了、解釋了,就天然擁有最終執(zhí)行權(quán)。高風險動作的最后一步,必須被單獨拿出來重新判斷——就像銀行柜員可以受理業(yè)務(wù),但金庫的門不歸柜員開。
第二,它必須校驗真實執(zhí)行內(nèi)容,而不是流程狀態(tài)。流程狀態(tài)只能告訴你"是否通過",執(zhí)行安全要看"到底執(zhí)行什么"。對象、金額、參數(shù)、時間、上下文、調(diào)用方式、目標環(huán)境——這些才是動作進入現(xiàn)實世界之前,真正需要被綁定和核對的內(nèi)容。門閂看的必須是那筆轉(zhuǎn)賬本身,而不是那張寫著"同意"的批條。
第三,它必須有拒絕能力。很多企業(yè)系統(tǒng)有日志、有提醒、有風險提示,但這些在關(guān)鍵時刻往往只是"建議"。門閂的核心價值不是提醒系統(tǒng)小心,而是在必要的時候讓動作真的過不去。一個只能記錄、不能阻斷的系統(tǒng),是攝像頭,不是門閂。攝像頭能幫你復盤損失是怎么發(fā)生的,門閂才能讓損失不發(fā)生。
第四,它不能和發(fā)起、審批、解釋、執(zhí)行處在同一個信任域。道理很樸素:如果攻擊者或者被污染的上下文能夠控制這個域,那么域內(nèi)所有的規(guī)則、按鈕、頁面、日志和審批狀態(tài),都會一起變得不可靠。門閂之所以有意義,是因為它在結(jié)構(gòu)上保留了一個不容易被同一套軟件邏輯"說服"的位置。孟加拉央行事件里,那個位置碰巧是一個看到拼寫錯誤的人;在 AI 時代,這個位置不能再靠碰巧。
用這四個條件去檢驗市面上的方案,會過濾掉大部分噱頭。這也是判斷"AI 安全"產(chǎn)品成色的一把尺子:它到底是在裝飾流程,還是在重建邊界。
七、停得住,才配跑得快
從商業(yè)角度看,這一切意味著企業(yè)安全的采購邏輯和建設(shè)重心,將發(fā)生一次遷移:從訪問控制,走向執(zhí)行控制。
訪問控制回答"誰可以靠近系統(tǒng)",執(zhí)行控制回答"什么動作可以真正發(fā)生"。前者的市場已經(jīng)成熟,后者的市場剛剛被 AI Agent 撬開。當 AI 真正進入付款、運維、客服、法務(wù)、采購、數(shù)據(jù)、供應(yīng)鏈這些執(zhí)行鏈條,每一位 CEO 和 CIO 都會被迫回答一組過去不存在的問題:AI 能不能直接調(diào)用高風險工具?審批內(nèi)容和執(zhí)行參數(shù)是否一致?云端策略被攻破時,本地執(zhí)行還能不能拒絕?管理員或者最高權(quán)限持有者,能否單點造成災(zāi)難性動作?動作發(fā)生之后,企業(yè)能不能證明它是如何一步步穿過邊界的?
回答不了這組問題的企業(yè),并非不能擁抱 AI,而是它擁抱的東西需要被重新命名——一個只加速執(zhí)行、不重建阻斷的組織,得到的不是更智能的企業(yè),而是一條更順滑的風險傳送帶。傳送帶的特點是,它不判斷貨物,只負責運輸;放上去的是訂單,它運訂單,放上去的是災(zāi)難,它運災(zāi)難,而且風雨無阻,效率極高。
這也提示了一個更大的判斷:未來衡量企業(yè)自動化成熟度的標準,會從"能自動完成多少"變成"能證明在哪里停得住"。就像高鐵的競爭力從來不只是時速,而是那套讓所有人敢坐上去的制動與信號系統(tǒng);就像資本市場愿意給券商的自動化交易定價,前提是熔斷機制存在。速度創(chuàng)造收益,剎車創(chuàng)造信任,而信任才是企業(yè)敢把執(zhí)行權(quán)交給機器的前提。停不住的自動化,企業(yè)不敢真用;敢停的自動化,才敢全速。
回到最初的問題。AI 沒有發(fā)明門閂,門閂一直存在——只是過去它藏在人手里,藏在簽字、復核、U 盾、電話確認和那句"等一下"里,藏得太深,以至于企業(yè)從未把它當作一項資產(chǎn)來管理。現(xiàn)在,AI 正在把這些停頓從流程里一個一個拿掉。企業(yè)接下來要做的,不是懷念低效率,而是把那些曾經(jīng)由低效率默默承擔的安全功能,重新工程化為獨立的執(zhí)行邊界。
這才是 AI Agent 時代真正值得討論的基礎(chǔ)設(shè)施問題,它可以被壓縮成一句話:
當系統(tǒng)越來越擅長開始,誰來保證它在不該繼續(xù)的時候,真的停得下來。
孟加拉央行的那個拼寫錯誤,不會再有第二次了。AI 不會拼錯單詞。下一次,能攔住那八億美元的,只能是企業(yè)親手裝回去的那道門閂。
本內(nèi)容由作者授權(quán)發(fā)布,觀點僅代表作者本人,不代表虎嗅立場。如對本稿件有異議或投訴,請聯(lián)系 tougao@huxiu.com。
本文來自虎嗅,原文鏈接:https://www.huxiu.com/article/4874609.html?f=wyxwapp
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.