游客发表

钥匙时代结束了:AI 正在逼企业重新定义“门闩“

发帖时间:2026-07-17 06:36:45

来源:微信公众号 HavenlonLabs
作者:HavenlonLabs

一、钥匙两个价值十亿美元的时代“等一下”

2016 年 2 月,孟加拉国央行存放在纽约联储的结束账户遭遇攻击,三十余笔转账指令被发出,正逼重新总额逼近十亿美元。企业这些指令源自真实的定义 SWIFT 终端,拥有真实的门闩操作凭证与授权码,完美走完了既定流程。钥匙在系统逻辑中,时代这并非攻击,结束而是正逼重新一个再正常不过的工作日。

最终拦截这场灾难的企业,并非防火墙、定义风控模型或先进安全架构,门闩而是钥匙一个拼写错误。黑客在收款方名称中将 "foundation" 误拼为 "fandation"。中转行工作人员察觉异常,暂停操作并电话核实。正是这个“暂停”,阻断了后续八亿多美元的损失。即便如此,已放行的八千一百万美元绝大部分未能追回。

再看另一案例。2012 年 8 月 1 日,美国做市商骑士资本(Knight Capital)因错误激活旧代码,在 45 分钟内自动执行数百万笔错误订单,亏损约 4.4 亿美元。这家华尔街老牌公司数日内濒临破产。全程无黑客、无内鬼、无权限泄露,每笔订单在系统中均合法合规。系统的问题在于运行过于顺畅,以至于没有任何环节来得及说一声“等一下”。

这两起相隔四年的事故,行业与成因各异,却共享同一结构:拦截灾难的是摩擦,放跑灾难的是顺滑。

之所以在 2026 年重提旧案,是因为新变量正嵌入几乎所有企业的执行链条:AI Agent。它带来的效率跃迁毋庸置疑,但更隐蔽的是,它在系统性地、彻底地、不可逆地消除企业残存的“摩擦”。

许多企业尚未意识到,那些摩擦,恰恰是它们过去三十年免费使用的安全系统。

二、摩擦:企业免费使用了三十年的安全冗余

过去几年,AI 讨论多聚焦于内容生成与人力替代。但对经营者而言,更深层的危机正在浮现:当 AI 不再仅回答问题,而是开始替人调用工具、提交请求、操作账户、修改配置、触发流程时,企业原本依赖的一整套安全假设将被重写。

要理解被改写的内容,需澄清一个长期被误读的事实:在传统企业系统中,高风险动作绝非瞬间完成。

  • 付款:需填单、复核、审批、再次确认;
  • 生产变更:需写工单、看窗口、群内确认影响范围;
  • 大额转账:需插入 U 盾或在异地设备二次确认。

在数字化叙事中,这些环节被称为“低效率”,是流程优化、OA 压缩、降本增效的目标对象。但从安全视角看,这些“麻烦”承担着未写入采购清单的功能:迫使高风险动作在发生前慢下来。

慢下来,人才有机会审视金额、对象、时间、上下文及后果。孟加拉央行事件中,拼写错误之所以能拦截八亿美元,前提是有人员被迫介入过程,且拥有停下来核实的余地。

这里有一个管理者不愿承认但值得铭记的判断:许多企业未出事,非因安全架构先进,而是因流程繁琐。

  • 摩擦制造时间差,时间差制造反悔机会。
  • 找人签字、等变更窗口、@多人确认——这些在效率报表中是负资产,在风险报表中却是隐形保险。
  • 这份保险从未出现在财务科目中,因此无人评估其消失的后果。

企业数字化史,本质是一部消除摩擦史:审批在线化、操作自动化、数据打通、流程闭环。每消除一分摩擦,企业获得一分效率,同时注销一分未入账的保险。三十年来,此交易总体划算,因摩擦消除缓慢,人始终卡在关键步骤中。

AI Agent 改变的,是速度与彻底程度。

三、AI Agent 不是更快的工具,而是更短的链路

必须澄清:AI 本身并非危险源,将其描述为风险源头是对问题的误读。AI 的价值在于减少中间步骤,解放人力。它能理解自然语言、生成方案、调用系统、填写表单、提交审批、触发任务,甚至跨工具完成整条业务链路。

真正需要审视的是其带来的结构性变化

以往自动化工具(ERP、RPA、工作流引擎)仅加速单一环节,环节间仍需人工跨越,人仍是链条关节。

AI Agent 不同:它首次有能力将分散步骤连成连续动作,将“我想做某事”直接翻译为“系统已开始做某事”。它不是加速环节,而是抹掉环节间的缝隙。过去由人手动跨越的间隙——即企业依赖的“人会慢下来”的安全缓冲——随链路贯通被压缩。

这将导致三个被低估的变化:

  1. 错误传播速度剧增:骑士资本 45 分钟亏损 4.4 亿美元已令人胆寒;而拥有付款、采购、运维接口的 AI Agent,执行错误链路仅需秒级。
  2. 流程阻力骤减:过去错误请求易被人发现(金额/对象/时间/环境不符)。人之所以能发现,常因被迫参与。当 AI 整理信息、压缩上下文、生成摘要并给出“建议批准”时,审批体验变轻,但审批人面对的不再是真实动作,而是 AI 对动作的解释。
  3. 错误包装能力增强:这是与以往自动化的最大差异。旧系统忠实执行错误,AI 却流利解释错误。能生成完美审批理由的系统,同样能为不该发生的动作生成无懈可击的说明。

于是问题浮现:当执行链前所未有地顺滑,原本靠“麻烦”承担的最后阻断能力,由谁承担?

四、最危险的缝隙:审批所见与执行发生,并非同一件事

要回答此问题,需定位 AI 时代企业风险的真正藏身之处:不在入口,而在展示层、审批层与执行层之间的语义差异

  • 审批页显示“向合作方付款”,真实执行包含具体账户、金额、币种、备注及调用参数;
  • 审批摘要写“导出客户数据用于审计”,真实执行涉及字段范围、时间窗口、接收对象及下载权限;
  • 运维工单写“重启服务”,真实动作对应特定集群、节点、时间及是否绕过降级策略。

在人主导执行年代,此缝隙被收窄,因审批者与执行者距离近,执行者会核对参数。当 AI 接管“翻译”与“执行”,审批人看摘要,系统执行参数,两者间隔着一层 AI 生成的解释。只要语义差异存在,残酷结论成立:审批通过仅证明流程走完,不证明动作正确。

开车比喻:绿灯全亮不等于车该开。绿灯仅表示规则允许,不判断路口行人、路面结冰或方向错误。审批系统即绿灯:它证明流程有记录、权限有校验、规则有匹配、责任有归属,但不能天然证明最终动作符合最初真实意图。

由此引出 AI 时代企业风险的新主角:合法授权下的错误执行。

  • 账号真、权限真、审批真、流程真,但执行动作错
  • 诱因包括:错误上下文诱导、恶意指令污染、AI 摘要漏掉关键字段、云端管理层被攻破后错误指令畅通无阻。

此类风险最棘手之处在于:它不表现为异常,而表现为正常。每层都能解释放行理由,每条日志显示流程完整,每位参与者以为批准了正确动作。孟加拉央行事件正是如此:数小时内所有系统认为正常,唯一察觉异常的是一个人。直到动作发生,企业才发现症结不在于缺少权限控制,而在于权限、审批、策略与执行被置于同一条过于顺滑的链路中。

最昂贵的事故,往往披着最合规的外衣。

五、从钥匙到门闩:企业安全重心迁移

看清风险位置,解法方向自明。

过去企业安全体系围绕“钥匙”展开:谁能登录、访问、提交、审批、调用接口、拥有管理员权限。身份认证、访问控制、权限管理、终端防护、日志审计,整个产品谱系回答同一问题——谁可以靠近系统。

这些问题依然重要,但仅解决进入与发起资格。AI Agent 进入执行链后,更关键问题变为:动作从提出到发生之间,是否仍有独立边界,判断其是否该发生?

换言之,企业过去关注钥匙,未来必须重新关注门闩

门闩并非新发明,线下一直存在:
* 老板付款前的多问一句;
* 财务的核实电话;
* 运维执行前的环境再确认;
* U 盾的物理插入;
* 银行大额业务的双人临柜;
* 核设施的双钥匙同时转动。

这些机制未必聪明高效,但共同点是:将“可以发起”与“真的执行”分离。发起是资格,执行是另一种资格,两者间隔着不归发起方管辖的边界。

  • 钥匙决定谁能靠近;
  • 门闩决定什么能发生。

AI Agent 未让钥匙失效,但让“仅有钥匙”变得不足——当系统越来越自动、连续、善于将意图转化为动作时,“最后那一下”变得比历史上任何时候都重要。

需澄清误解:重建门闩非回到低效率,亦非反对自动化。真正问题是:当 AI 拿走人承担的停顿时,企业是否用新工程结构补回?过去的门闩是“人肉”的,靠角色分工与物理不便自然形成;未来的门闩必须是工程化的,被有意识设计、部署与验证。它不再依赖“流程恰好麻烦”,而依赖“结构刻意独立”

六、何为真正的门闩:四个不可妥协的条件

需警惕,“门闩”易沦为安慰剂。加弹窗、加审批按钮、多写日志——这些看似门闩,实则为顺滑链路刷上“看起来安全”的漆。若最后确认仍存在于同一业务系统、同一云端控制平面、同一可远程修改的软件域,攻破此域即同时攻破门与闩。

一道真正有价值的门闩,须满足四个条件:

  1. 发起权与执行权分离
    用户、AI、管理员、SaaS、审批系统可发起请求或判断,但任何一方不得因发起、审批、解释而天然拥有最终执行权。高风险动作最后一步必须单独重新判断——如银行柜员可受理业务,但金库门不归柜员开。

  2. 校验真实执行内容,而非流程状态
    流程状态仅告知“是否通过”,执行安全要看“到底执行什么”。对象、金额、参数、时间、上下文、调用方式、目标环境——这些是动作进入现实前需绑定核对的内容。门闩看的必须是转账本身,而非写着“同意”的批条。

  3. 具备拒绝能力
    许多系统有日志、提醒、风险提示,但关键时刻往往仅为“建议”。门闩核心价值非提醒小心,而是必要时让动作真的过不去。只能记录不能阻断的系统是摄像头,不是门闩。摄像头助复盘损失,门闩让损失不发生。

  4. 独立于发起、审批、解释、执行的信任域
    若攻击者或被污染上下文能控制该域,域内所有规则、按钮、页面、日志、审批状态均不可靠。门闩意义在于结构上保留一个不易被同一套软件逻辑“说服”的位置。孟加拉央行事件中,该位置碰巧是看到拼写错误的人;AI 时代,此位置不能再靠碰巧。

用此四条件检验市面方案,可过滤大部分噱头。这也是判断“AI 安全”产品成色的尺子:它是在装饰流程,还是在重建边界?

七、停得住,才配跑得快

从商业视角,这意味着企业安全采购逻辑与建设重心将发生迁移:从访问控制,走向执行控制。

  • 访问控制回答“谁可以靠近系统”;
  • 执行控制回答“什么动作可以真正发生”。

前者市场成熟,后者刚被 AI Agent 撬开。当 AI 深入付款、运维、客服、法务、采购、数据、供应链等执行链条,CEO 与 CIO 被迫回答新问题:
* AI 能否直接调用高风险工具?
* 审批内容与执行参数是否一致?
* 云端策略被攻破时,本地执行能否拒绝?
* 管理员或最高权限持有者能否单点造成灾难?
* 动作发生后,企业能否证明其如何一步步穿过边界?

回答不了这些的企业,并非不能拥抱 AI,而是其拥抱之物需重新命名——一个只加速执行、不重建阻断的组织,得到的不是更智能的企业,而是一条更顺滑的风险传送带。传送带不判断货物,只负责运输;放订单则运订单,放灾难则运灾难,风雨无阻,效率极高。

这提示一个更大判断:未来衡量企业自动化成熟度的标准,将从“能自动完成多少”变为“能证明在哪里停得住”。

  • 高铁竞争力不仅在于时速,更在于让所有人敢坐上的制动与信号系统;
  • 资本市场给券商自动化交易定价,前提是熔断机制存在。

速度创造收益,刹车创造信任。信任才是企业敢将执行权交给机器的前提。停不住的自动化,企业不敢真用;敢停的自动化,才敢全速。

回到最初的问题。AI 未发明门闩,门闩一直存在——过去它藏在人手里,藏在签字、复核、U 盾、电话确认和那句“等一下”里,藏得太深,致使企业从未将其视为资产进行管理。现在,AI 正将这些停顿从流程中逐一移除。

企业接下来要做的,不是怀念低效率,而是将那些曾由低效率默默承担的安全功能,重新工程化为独立的执行边界。

这才是 AI Agent 时代真正值得讨论的基础设施问题,可压缩为一句话:

当系统越来越擅长开始,谁来保证它在不该继续的时候,真的停得下来。

孟加拉央行的那个拼写错误,不会再有第二次。AI 不会拼错单词。下一次,能拦住那八亿美元的,只能是企业亲手装回去的那道门闩。


本内容由作者授权发布,观点仅代表作者本人,不代表虎嗅立场。如对本稿件有异议或投诉,请联系 tougao@huxiu.com。

本文来自虎嗅,原文链接:https://www.huxiu.com/article/4874609.html?f=wyxwapp

    热门排行

    友情链接