Working Draft · AI Era Execution Security LanguageThis article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.AI 时代执行安全语言体系工作草案本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案 将随着理论研究、工程实践和社区讨论持续修订。执行控制的核心不是给现有权限体系增加更多审批节点而是重新拆分一次真实执行过程中隐藏在同一个权限背后的不同权力。传统系统常把多种权力压缩在一个身份、一组凭证或一个管理角色中能够登录系统能够提交请求能够批准请求能够修改策略能够调用执行接口能够使用密钥能够修改日志能够恢复系统。这些能力在界面上可能被称为“管理员权限”“Owner 权限”或“系统权限”但从执行安全的角度看它们并不是同一种权力。Havenlon 将执行过程重新拆分为谁可以提出谁可以批准谁可以制定治理规则谁可以仲裁谁可以实施谁可以否决以及谁可以证明。这些权力必须在身份、角色、组件和信任域之间受到明确限制。本章的核心原则是任何单一身份、管理员、SaaS、AI Agent、审批人、密钥或硬件都不应独立拥有灾难性执行能力。1. Execution Authority Separation执行权分离一句话定义执行权分离是将一次真实执行所需的提议、审批、治理、仲裁、实施、否决和证明权力拆分到不同角色与信任域中的安全原则。严格定义执行权分离不只是组织管理中的“职责分离”也不只是要求两个人审批。它要求系统从工程结构上保证提议者不能直接实施审批者不能修改最终载荷策略制定者不能单独放行仲裁者不能自行生成执行目标执行者不能自行改变意图证据记录者不能重写执行事实所有者不能无条件绕过全部边界。执行权分离的目标不是让权力平均分布而是确保完成一次高风险执行所需的关键能力不会集中在同一个可被单点攻破的信任域中。上位概念执行控制权力分离分层不信任安全架构下位概念提议与执行分离审批与执行分离仲裁与执行分离治理与执行分离执行与证据分离通信与决策分离相关概念Separation of Duties职责分离Layered Distrust分层不信任Execution Right执行权Final Execution Authority最终执行裁决权Joint Governance共同治理Blast Radius灾难半径容易混淆的概念执行权分离不等于多人审批。多人审批仍可能全部发生在同一套 SaaS、同一个数据库、同一个管理员控制域或同一套被攻破的软件界面中。执行权分离也不等于把功能拆成多个微服务。多个微服务如果共享相同管理员、凭证、数据库、升级链路和控制平面仍属于同一个信任域。权力边界任何一个角色拥有其中一种权力都不应自动获得其他权力。例如能提议不代表能审批能审批不代表能仲裁能仲裁不代表能持有执行密钥能执行不代表能修改策略能证明不代表能修改事实。约束机制角色分离密钥分离计算域分离通信路径限制多阶段提交共同治理独立最终否决设备签名证据默认拒绝。结果目标消除单点灾难性执行权限制凭证失陷后的灾难半径阻止合法权限被直接转化为无限执行能力使任何关键执行都必须跨越多个独立约束。在 Havenlon 中Havenlon 将应用、SaaS、仲裁、执行和证据划分为不同职责。应用与 AI Agent负责产生意图SaaS 负责协同治理主体负责审批Arbiter 负责独立仲裁Security Domain 负责最终执行实施设备证据链负责证明执行事实。没有任何单层可以独立完成完整执行闭环。2. Separation of Proposal and Execution提议与执行分离一句话定义提议与执行分离是指能够提出一个动作的主体不能仅凭自己的提议直接使该动作发生。严格定义提议表达的是希望发生什么。执行改变的是最终真实发生了什么。如果提议者同时拥有直接执行能力那么任何被污染的输入、恶意指令、模型幻觉、管理员误操作或业务逻辑缺陷都可能绕过独立判断直接转化为现实后果。提议与执行分离要求提议只能产生候选意图候选意图必须被结构化意图必须绑定对象、参数、时间和范围执行前必须经过独立审批、策略与仲裁执行者不能接受未经约束的自由命令。上位概念执行权分离下位概念人工提议与执行分离AI Agent 提议与执行分离自动化流程与执行分离应用请求与执行分离相关概念Right to Propose提议权Intent意图Machine-Initiated Intent机器发起意图Tool Calling工具调用Intent Binding意图绑定风险来源AI Agent 幻觉提示注入恶意输入自动化脚本错误应用服务器失陷API 调用权限泄露业务逻辑错误。权力边界提议者可以表达动作目标但不能证明该动作一定安全自行批准自己的提议修改执行边界绕过仲裁直接驱动最终执行器。约束机制提议接口与执行接口隔离IntentHash参数白名单权限范围限制独立审批独立仲裁最终载荷重建。结果目标让应用和 AI Agent 即使被攻破也最多能够提出危险请求而不能直接完成危险执行。在 Havenlon 中应用、Pass Key、用户或 AI Agent 可以发起 Execution Intent但意图必须经过治理、仲裁和 Security Domain 执行提议端不能直接连接最终执行能力。3. Separation of Approval and Execution审批与执行分离一句话定义审批与执行分离是指表达“同意”的主体不能仅凭审批结果直接控制最终执行。严格定义审批是一种基于当时信息作出的治理判断。执行则发生在审批之后并可能面对已经变化的载荷参数对象时间系统状态治理状态风险环境。如果审批系统本身直接控制执行那么攻击者只需要控制审批界面、审批后台或审批状态数据库就可能把“显示已批准”转化为“必须执行”。审批与执行分离要求审批对象必须明确绑定审批结果必须具有有效期审批不能替代执行前检查执行组件不能仅凭一个 approved 状态放行最终执行载荷必须与审批内容重新核对。上位概念执行权分离下位概念审批按钮与执行接口分离审批状态与执行状态分离审批展示与最终载荷分离治理同意与技术执行分离相关概念Right to Approve审批权Approval ≠ ExecutionDisplay-to-Execution Gap展示到执行缝隙Induced Approval诱导审批Final Revalidation最终重新验证风险来源审批界面欺骗被替换的审批对象过期审批审批状态伪造被诱导的管理者上游软件失陷审批后参数漂移。权力边界审批者有权表达同意或拒绝但无权自行修改最终载荷强制执行器执行绕过本地 Policy删除拒绝记录自动继承执行密钥。约束机制审批内容哈希绑定审批有效期多方独立审批独立设备显示执行前重新核验执行实施权隔离。结果目标让“审批通过”成为必要条件之一而不是充分条件。在 Havenlon 中Bletchley 或治理成员产生的审批结果会进入仲裁过程但不能直接控制 Security Domain。最终执行仍需满足本地策略、链路完整性和硬件约束。4. Separation of Arbitration and Execution仲裁与执行分离一句话定义仲裁与执行分离是指负责判断请求是否满足约束的组件不应同时掌握完成最终动作所需的全部执行能力。严格定义仲裁负责判断意图是否完整审批是否有效Policy 是否满足风险是否超限当前状态是否允许是否需要拒绝是否进入 Safe Mode。执行负责使用执行密钥签署最终载荷提交命令改变真实状态。如果仲裁者同时持有完整执行能力那么仲裁逻辑一旦被攻破攻击者就可以同时伪造“允许”并完成执行。因此仲裁者应当拥有判断权和放行候选权但不应独立拥有最终执行实施权。上位概念执行权分离下位概念策略判断与密钥使用分离风险判断与动作实施分离Arbiter 与 Executor 分离放行判断与最终签名分离相关概念Right to Arbitrate仲裁权Right to Execute执行实施权ArbiterExecutorFinal Signing Payload风险来源仲裁软件漏洞Policy 引擎失陷仲裁固件被篡改本地状态伪造仲裁与执行共享密钥单芯片同时承担全部高权限职责。权力边界仲裁者可以产生“允许进入执行阶段”的结果但不能自行构造任意最终执行载荷使用所有执行密钥绕过执行域内部校验单方面修改执行结果控制全部证据。约束机制独立 MCU 或计算域独立通信密钥固定消息协议最终载荷字段校验执行域二次验证默认拒绝未知输入。结果目标使仲裁域失陷不能自动等价为执行域失陷。在 Havenlon 中Arbiter 与 Security Domain 分离。Arbiter 负责聚合治理、策略和状态Security Domain 只接受满足固定协议并完成绑定的最终执行载荷。5. Separation of Governance and Execution治理与执行分离一句话定义治理与执行分离是指负责制定成员、规则、额度和授权关系的主体不能无条件直接完成由这些规则约束的执行。严格定义治理决定谁是成员谁可以提议谁可以审批需要多少人同意额度是多少哪些对象被允许如何恢复系统。执行则根据当前治理状态完成具体动作。如果治理控制者能够即时修改规则并立刻执行那么治理规则实际上无法约束治理者自身。例如一个 Owner 如果可以修改审批阈值删除其他成员放宽限额立即执行高风险动作那么所谓共同治理只是界面层设计并不构成真实约束。上位概念执行权分离共同治理下位概念成员管理与执行分离Policy 配置与执行分离恢复权与执行权分离Owner 权力与执行权分离相关概念Governance治理Joint Governance共同治理Owner ≠ GodGovernance Capture治理劫持Governance State治理状态风险来源Owner 账户失陷管理员恶意修改规则临时降低审批阈值删除治理成员修改限额后立即执行恢复机制被滥用。权力边界治理主体可以提出或批准治理变更但不应单方面即时放宽全部约束修改规则后立即利用新规则执行删除历史治理证据自动继承执行实施权。约束机制治理变更延迟多方批准物理确认旧规则过渡期治理状态哈希绑定恢复窗口高风险变更默认拒绝。结果目标让治理权可以管理系统但不能成为绕过系统的后门。在 Havenlon 中Owner 和成员治理属于独立治理流程。成员变更、恢复和关键策略修改必须受到共同治理、本地状态和物理恢复条件约束。6. Separation of Execution and Evidence执行与证据分离一句话定义执行与证据分离是指完成动作的主体不能单独决定如何记录、解释或删除该动作的事实。严格定义执行者知道自己执行了什么但如果它同时完整控制证据它也可能隐藏执行修改日志删除失败记录伪造拒绝原因改写时间重建不真实的执行路径。因此执行事实不能只依赖执行软件自己生成的普通日志。可信证据应当与执行动作绑定由独立设备或安全域签名包含前序关系具备计数器或连续性可被外部验证不能由 SaaS 或应用单独重写。上位概念执行权分离执行证明下位概念执行与日志分离执行器与证据存储分离事实生成与事实展示分离本地证据与 SaaS 归档分离相关概念Right to Prove证明权Evidence Chain证据链Device-Signed Fact设备签名事实Evidence Store证据存储Source of Truth事实源风险来源执行软件删除日志SaaS 篡改记录数据库管理员重写历史失败执行不留痕执行结果与审计记录不一致证据链断裂。权力边界执行者可以生成执行结果但不能单独定义全部执行事实删除设备签名证据修改前序哈希重置计数器替换外部归档记录。约束机制设备签名哈希链单调计数器独立 Evidence StoreSaaS 外部归档拒绝动作同样留证。结果目标使系统即使发生失陷也难以同时完成危险执行并彻底抹除事实。在 Havenlon 中执行设备生成设备签名证据Bletchley 负责同步、展示和归档但不能单独创造或修改本地执行事实。7. Separation of Communication and Decision通信与决策分离一句话定义通信与决策分离是指能够传递命令、状态或审批结果的通道不应因此自动拥有决定执行结果的权力。严格定义网络、消息队列、SaaS、API Gateway、gRPC 通道和管理后台都可以负责传输信息。但传输一个“允许”消息不代表接收方必须执行。通信系统回答收到了什么信息决策系统回答在当前真实状态下这个信息是否可信、有效并足以进入下一阶段如果通信通道同时拥有决策权那么控制网络或 SaaS 的攻击者便可以通过发送格式合法的命令直接操纵执行。上位概念执行权分离信任边界下位概念SaaS 通信与本地决策分离网络消息与执行裁决分离API 调用与本地 Policy 分离云端指令与硬件执行分离相关概念Coordination Plane协同平面Decision Plane决策平面SaaS Coordination PlaneAccess ≠ ExecutionLocal Authority本地权威风险来源SaaS 失陷通信凭证泄露消息重放中间人攻击管理后台被控制伪造云端状态合法通道传递恶意指令。权力边界通信系统可以传递提议审批Policy状态证据副本。但它不能仅凭“消息来源合法”要求本地设备执行。约束机制mTLS消息签名防重放本地状态验证本地 Policy独立仲裁云端断联可安全运行默认拒绝异常消息。结果目标让控制通信平面不等于控制执行平面。在 Havenlon 中Bletchley 是 SaaS 协同平面不是最终信任根。它可以传递审批、策略和状态但本地设备拥有独立决策与否决能力。8. Independent Final Veto独立最终否决权一句话定义独立最终否决权是一个与提议、审批、SaaS 和主要业务系统相互独立的边界在执行发生前无条件阻止不满足约束动作的能力。严格定义独立最终否决权不是另一个普通审批节点。它必须具备以下属性独立性不由被保护系统直接控制最终性位于真实执行发生之前否决性可以拒绝但不需要拥有任意执行能力不可绕过性正常执行路径必须经过它安全失败异常、断联或状态不确定时倾向拒绝有限权力它可以阻止危险动作但不能自行创造任意动作。上位概念最终否决权执行权分离物理信任边界下位概念硬件最终否决本地最终否决策略最终否决治理最终否决Safe Mode 否决相关概念Final Veto最终否决权Physical Veto物理否决Fail-SecureDeny Dominance拒绝优先Final Execution Authority容易混淆的概念独立最终否决权不是“拥有最高权限”。它的价值不是可以做任何事而是可以在必要时阻止一件事。它应当是一种负向权力而不是无限正向权力。权力边界拥有独立最终否决权的组件可以拒绝中断进入 Safe Mode要求重新审批要求物理恢复。但不应自行发起转账自行修改治理成员任意创建执行载荷修改全部 Policy删除证据。约束机制独立硬件固定协议最小接口默认拒绝状态不确定即中断与应用和 SaaS 分离。结果目标即使上游所有软件流程都显示“通过”系统仍保留一道无法被同一信任域轻易取消的拒绝能力。在 Havenlon 中Arbiter 和 Security Domain 共同构成本地执行边界。即使应用、SaaS 或审批系统返回允许本地设备仍可拒绝最终执行。