Havenlon思考录（二）：为什么授权不等于安全

摘要

过去几十年里，大多数安全系统都建立在授权模型之上。我们通过账号、密码、角色、权限、多签和审批流程来决定谁可以执行某项操作。久而久之，人们逐渐形成了一种默认认知：只要授权过程足够严格，系统就是安全的。

然而现实世界中的许多安全事故恰恰发生在授权完全合法的情况下。攻击者使用真实账号，管理员拥有真实权限，审批流程完整通过，所有签名均真实有效，但最终结果依然是一次错误执行、一次资产损失，或者一次生产事故。

这意味着授权与安全并不是同一个概念。授权能够证明某个人拥有执行某项操作的资格，却无法证明这项操作本身一定正确。随着 AI Agent、自动化系统以及大规模机器决策不断进入关键业务场景，仅仅依赖授权已经越来越难以满足未来系统的安全需求。

本文试图讨论一个经常被忽略的问题：授权究竟能够解决什么问题，又无法解决什么问题，以及为什么执行控制正在成为下一代安全架构中不可缺失的一层。

---

一、现代安全体系为什么如此依赖授权

无论是企业 IT 系统、云平台、银行系统还是 Web3 基础设施，大部分安全架构都建立在授权模型之上。

这种模式的逻辑十分简单。

系统首先确认一个主体的身份，然后根据预先配置的规则判断其是否拥有执行某项操作的权限。如果权限满足要求，操作被允许继续进行；如果权限不足，系统拒绝执行。

这种设计方式之所以能够成为行业标准，是因为它成功解决了身份与访问控制问题。

例如，一个普通员工无法访问财务系统；一个开发人员无法修改生产数据库；一个没有签名权限的人无法发起资金转账。通过对权限进行划分，系统能够有效降低大量低级风险。

因此在过去很长时间里，安全建设的重点几乎都集中在授权体系本身。

我们不断完善权限模型，不断增加审批流程，不断引入双因素认证、多签机制和更复杂的访问控制策略。整个行业似乎形成了一种共识：只要授权足够严格，系统自然就会更加安全。

但这种思路存在一个隐含前提。

它默认认为拥有权限的人会正确使用权限。

而现实世界往往并非如此。

---

二、授权能够证明什么

授权实际上是一种资格验证机制。

它回答的问题并不是“这件事是否正确”，而是“这个人是否有资格这样做”。

这两者看起来相似，但本质上完全不同。

当系统验证一个管理员身份时，它证明的是管理员拥有修改配置的权限。

当系统验证一个财务负责人的身份时，它证明的是此人拥有转账资格。

当一个多签钱包完成签名时，它证明的是满足了预设签名规则。

这些验证结果都是真实且有价值的。

它们能够帮助系统判断执行者是否属于被允许的范围。

然而授权的能力也到此为止。

它能够证明资格，却无法证明决策。

它能够证明身份，却无法证明意图。

它能够证明流程符合规则，却无法证明结果符合组织利益。

换句话说，授权解决的是“谁”的问题，而不是“为什么”的问题。

---

三、授权无法证明什么

许多重大安全事件都有一个共同特点。

事后审计发现，系统中的每一个步骤都符合既定规则。

账号是真实的。

权限是真实的。

审批是真实的。

签名是真实的。

日志完整记录了整个过程。

从技术角度看，系统甚至没有出现漏洞。

然而结果却是错误的。

原因在于授权本身并不具备判断行为合理性的能力。

一个拥有权限的管理员仍然可能做出错误配置。

一个拥有权限的财务人员仍然可能完成恶意转账。

一个拥有权限的开发者仍然可能部署有问题的代码。

授权系统并不会思考这些行为是否合理。

它只负责确认执行者是否拥有资格。

因此，当人们把安全完全建立在授权模型之上时，实际上是在默认相信所有获得授权的人都会做出正确决策。

这种假设在简单系统中或许成立，但在复杂组织和高价值场景中往往并不可靠。

---

四、多签的边界在哪里

Web3 行业对于授权体系的理解已经远远超过传统互联网行业。

多签就是其中最典型的例子。

通过要求多个参与者共同签名，系统避免了单个私钥被盗导致全部资产失控的问题。

从授权角度看，多签是一项非常优秀的设计。

它把风险从单点扩散到多个参与者，从而显著提高攻击成本。

但多签本质上仍然属于授权体系的一部分。

它只是把“一个人同意”变成了“多个人同意”。

它仍然没有回答另一个问题：

如果所有人都同意了一件错误的事情怎么办？

事实上，多签参与者并不一定拥有完全独立的信息来源。

他们可能看到相同的数据，依赖相同的界面，接受相同的解释，甚至受到相同的误导。

在这种情况下，多签能够证明多人参与决策，却无法证明决策本身正确。

因此，多签提高了授权可信度，却没有解决执行合理性问题。

这也是为什么越来越多组织开始意识到，仅仅增加签名人数并不能无限提高安全性。

---

五、AI 时代正在放大这个问题

过去，执行链路中的主要参与者是人。

即使存在自动化脚本，其行为范围通常也是预定义的。

但 AI Agent 的出现改变了这一局面。

越来越多系统开始允许 AI 自动分析信息、生成执行计划、调用工具以及完成跨系统操作。

这意味着系统中的决策来源开始从人扩展到机器。

与此同时，执行速度也被大幅提升。

过去需要数小时完成的审批和执行流程，未来可能在数秒之内完成。

效率获得提升的同时，错误也可能被同步放大。

因为 AI 并不真正理解风险。

它可以根据训练数据生成看起来合理的方案，却无法承担方案产生的后果。

如果输入信息错误，AI 可能做出错误决策。

如果上下文受到污染，AI 可能执行危险操作。

如果攻击者成功操纵提示词，AI 甚至可能主动帮助攻击者完成目标。

这些问题都不是授权体系能够解决的。

因为 AI 完全可以拥有合法权限。

问题并不出在权限是否合法，而出在执行行为是否合理。

随着 AI 深度参与执行链路，授权与安全之间的差距将进一步扩大。

---

六、执行控制为什么会出现

当授权无法覆盖全部风险时，系统就需要新的能力。

这种能力不是替代授权，而是在授权之后继续进行判断。

授权负责确认执行者是否拥有资格。

执行控制负责确认执行行为是否满足边界条件。

例如：

是否超出额度限制。

是否违反组织治理规则。

是否触发风险策略。

是否进入禁止执行时间窗口。

是否与历史行为明显异常。

这些问题都不是身份问题。

它们属于执行问题。

执行控制的核心目标不是确认谁在操作，而是确认这项操作是否应该被允许发生。

因此，执行控制并不是另一个权限系统。

它是一层独立于授权体系之外的约束机制。

它关注的不是身份，而是行为。

关注的不是资格，而是边界。

---

七、为什么最终需要独立的否决能力

如果系统中所有控制能力都依赖于同一个权力中心，那么最终仍然会回到原来的问题。

拥有最高权限的人可以关闭限制。

拥有最高权限的人可以修改规则。

拥有最高权限的人可以绕过控制。

于是最后一道防线实际上并不存在。

真正有效的安全架构必须保留独立的约束能力。

这种能力不依赖于发起者。

不依赖于审批者。

也不依赖于管理员。

它存在的意义并不是帮助系统执行更多操作，而是在必要的时候阻止系统继续执行。

工业控制系统中的安全联锁如此。

航空系统中的飞控保护如此。

核电站中的紧急停机机制也是如此。

这些系统最重要的价值并不是让设备运行，而是在出现风险时阻止设备继续运行。

从这个角度看，否决能力并不是授权体系的附属功能。

它本身就是安全体系中独立且不可替代的一部分。

---

八、结语

过去几十年里，安全行业一直在不断完善授权体系。

权限模型越来越复杂，审批流程越来越严格，多签机制越来越成熟。

这些技术都非常重要，并且仍然会长期存在。

但随着 AI、自主代理和大规模自动化系统逐渐成为基础设施的一部分，仅仅解决“谁可以执行”已经不再足够。

未来的安全系统还需要回答另一个问题：

即使所有授权都已经满足，系统是否仍然拥有能力阻止一次危险执行？

这个问题的答案，将决定下一代安全架构的发展方向。

在 Havenlon 看来，授权仍然重要，但授权并不等于安全。

真正完整的安全体系，不仅需要知道谁拥有资格执行，还需要拥有能力决定这件事是否应该被执行。

这也是执行控制存在的原因。