Havenlon|AI 时代的执行安全语言体系(四):执行权与权力分离 Part 2

Working Draft · AI Era Execution Security Language

This article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.

AI 时代执行安全语言体系(工作草案)

本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案, 将随着理论研究、工程实践和社区讨论持续修订。

9. Final Veto|最终否决权

一句话定义

最终否决权,是在动作进入不可逆执行前,作出最后一次拒绝并阻止动作发生的权力。

严格定义

最终否决权位于执行链的最后安全节点。

它关注的不是请求过去是否曾被允许,而是:

在即将执行的这一刻,这个具体动作是否仍满足所有必要约束?

最终否决可能由多个来源触发:

  • Policy 不满足;

  • 治理状态变化;

  • 审批过期;

  • IntentHash 不一致;

  • 最终载荷改变;

  • 额度超限;

  • 频率异常;

  • 证据链断裂;

  • 设备状态异常;

  • 执行上下文不确定。

上位概念

  • 执行权

  • 否决权

下位概念

  • 独立最终否决

  • 物理否决

  • 治理否决

  • 策略否决

  • 异常状态否决

相关概念

  • Final Revalidation

  • Fail-Secure

  • Safe Mode

  • Deny by Default

  • Independent Final Veto

权力边界

最终否决权不等于最终放行权。

一个组件可以拥有拒绝能力,却不应因此自动拥有独立批准和执行任意动作的能力。

约束机制

  • 执行前最终检查;

  • 所有约束重新绑定;

  • 拒绝优先;

  • 异常状态闭锁;

  • 不完整输入默认拒绝。

结果目标

确保执行链在最后一刻仍然可以安全停止。

在 Havenlon 中

Security Domain 在执行前检查最终载荷、密钥槽位、执行槽位、链摘要和仲裁结果。任何关键字段不一致,动作均不得执行。


10. Non-Transferable Authority|不可自动继承的权力

推荐中文说明

正式简称可使用:

不可自动继承权力

其含义不是权力永远不能依法转移,而是一个主体拥有某种权限时,不能自动继承与其相关的其他执行权力。

一句话定义

不可自动继承的权力,是指一个主体获得某项角色、凭证或权限后,不会因此自动获得其他阶段的权力。

严格定义

传统权限体系中常存在隐性的权力继承:

  • Owner 自动拥有全部执行权;

  • 管理员自动拥有证据删除权;

  • 持有密钥自动拥有业务决定权;

  • 能修改 Policy 自动拥有放行权;

  • 能访问 API 自动拥有执行权;

  • 能审批自动拥有最终实施权。

不可自动继承原则要求每一种权力都必须具有独立来源、独立范围和独立约束。

上位概念

  • 执行权分离

  • 权力最小化

下位概念

  • 角色不可自动继承

  • 凭证不可自动继承

  • 管理权不可自动继承

  • 所有权不可自动继承

  • 签名能力不可自动继承

相关概念

  • Authority Inheritance|权力继承

  • Least Privilege|最小权限

  • Owner ≠ God

  • Access ≠ Execution

  • Signature ≠ Execution

权力边界

拥有以下任一能力,都不应自动意味着拥有完整执行权:

  • 登录;

  • 管理;

  • 审批;

  • 配置;

  • 签名;

  • 恢复;

  • 查看证据;

  • 控制 SaaS。

约束机制

  • 权力逐项授予;

  • 独立凭证;

  • 独立信任域;

  • 角色显式绑定;

  • 权限范围固定;

  • 禁止隐式升级;

  • 高风险权力需要额外治理。

结果目标

阻止一个低层权限通过隐式关系扩张为灾难性权力。

在 Havenlon 中

Owner、成员、应用、SaaS、Arbiter 和 Executor 都拥有有限职责。任何角色不能仅凭身份自动获得其他阶段的权力。


11. Authority Inheritance|权力继承

一句话定义

权力继承,是一个主体因为拥有某种身份、权限、凭证或控制关系,而获得其他相关权力的现象。

严格定义

权力继承可以是显式的,也可以是隐式的。

显式继承例如:

  • Owner 角色被配置为拥有全部管理权限。

隐式继承例如:

  • 能修改数据库的人可以伪造审批状态;

  • 能升级固件的人可以改变仲裁逻辑;

  • 能控制 SaaS 的人可以向设备发送恶意策略;

  • 能使用密钥的人可以产生看似合法的执行;

  • 能删除日志的人可以隐藏执行事实。

因此,权力分析不能只看权限列表,还必须分析一个角色通过系统结构实际上能够获得什么能力。

上位概念

  • 权力传播

  • 系统权限模型

下位概念

  • 身份权力继承

  • 管理权力继承

  • 凭证权力继承

  • 软件控制权继承

  • 跨信任域权力继承

相关概念

  • Non-Transferable Authority

  • Privilege Escalation|权限提升

  • Trust Transitivity|信任传递

  • Concentrated Execution Power

  • Catastrophic Authority

风险来源

  • 超级管理员;

  • 共用凭证;

  • 共用数据库;

  • 共用升级密钥;

  • 共用云控制平面;

  • 权限模型过度简化;

  • 后台人员拥有生产直连权限。

约束机制

  • 权力路径分析;

  • 管理面与执行面隔离;

  • 升级权限独立治理;

  • 数据库状态不直接决定执行;

  • 密钥用途限制;

  • 跨域消息重新验证。

结果目标

识别权限表中没有写明、但系统结构实际赋予的隐藏权力。

在 Havenlon 中

Havenlon 不只定义角色拥有的名义权限,也分析每个角色失陷后能够影响的真实执行路径。


12. Cross-Domain Authority Inheritance|跨信任域权力继承

一句话定义

跨信任域权力继承,是一个信任域中的权限或失陷状态未经独立验证,直接转化为另一个信任域中的执行权力。

严格定义

典型跨域继承包括:

  • SaaS 的 approved 状态直接要求本地设备执行;

  • 应用服务器的管理员权限直接控制执行密钥;

  • 云端 Policy 自动覆盖本地限制;

  • 网络身份认证通过后直接进入执行域;

  • 仲裁域的允许结果不经二次验证直接触发签名;

  • 固件升级系统同时控制多个安全域。

跨信任域权力继承会使表面上分离的组件重新形成一个事实上的单一信任域。

上位概念

  • 权力继承

  • 信任传递

下位概念

  • SaaS 到本地的权力继承

  • 应用到执行器的权力继承

  • 仲裁到执行的权力继承

  • 管理面到安全域的权力继承

  • 升级链到执行链的权力继承

相关概念

  • Trust Domain|信任域

  • Boundary Collapse|边界坍塌

  • Layered Distrust

  • Communication and Decision Separation

  • Non-Transitive Trust|非传递信任

风险来源

  • 共享密钥;

  • 共享管理员;

  • 共享升级通道;

  • 无条件信任上游状态;

  • 单一云端控制平面;

  • 缺少本地重新验证;

  • 跨域协议权限过宽。

权力边界

一个信任域中的“合法”只能作为另一个信任域的输入,不能自动成为其结论。

约束机制

  • 每域独立身份;

  • 独立通信密钥;

  • 固定消息类型;

  • 跨域输入最小化;

  • 本地重新验证;

  • 域间禁止共享完整执行能力;

  • 升级链独立控制。

结果目标

使一个信任域失陷后,攻击者不能沿着信任关系自动获得其他域的全部权力。

在 Havenlon 中

应用域、Arbiter Domain 和 Security Domain 使用不同职责与通信关系。上游域的结果必须被下游域重新验证,不能自动继承为最终执行权。


13. Concentrated Execution Power|集中式执行权力

推荐中文名

集中式执行权力

相比“集中式执行权”,“执行权力”更能表达多个能力集中在同一主体中的状态。

一句话定义

集中式执行权力,是提议、审批、策略修改、密钥使用、执行和证据控制等关键能力集中在同一个主体或信任域中的状态。

严格定义

集中式执行权力不一定表现为一个名为“超级管理员”的账户。

只要多个角色最终受同一主体控制,就可能形成事实上的权力集中,例如:

  • 多个服务共享 root 权限;

  • 多个审批账户由同一后台控制;

  • SaaS 同时控制策略、审批和执行;

  • 一个 HSM 管理员可以修改策略并调用密钥;

  • 一个云管理员可以访问数据库、消息队列和执行节点;

  • 一个升级密钥可以重写所有关键固件。

上位概念

  • 权力集中

  • 执行风险

下位概念

  • 管理员权力集中

  • SaaS 权力集中

  • 密钥权力集中

  • Owner 权力集中

  • 单设备权力集中

相关概念

  • Catastrophic Authority

  • Single-Layer Execution Authority

  • Single Point of Catastrophic Execution

  • Blast Radius

  • Distributed Constraint

风险来源

  • 超级管理员;

  • 单一云平台;

  • 单一密钥;

  • 单一数据库;

  • 单一升级链;

  • 名义多签但实际单人控制;

  • 所有组件部署在同一信任域。

约束机制

  • 权力拆分;

  • 独立信任域;

  • 多方治理;

  • 密钥用途隔离;

  • 物理边界;

  • 证据独立;

  • 管理权不自动继承执行权。

结果目标

降低任何单一身份或系统失陷时能够造成的最大损失。

在 Havenlon 中

Havenlon 不让 SaaS、Owner、管理员、Arbiter 或 Security Domain 中任何一方同时拥有完整执行闭环。


14. Distributed Constraint|分布式约束

一句话定义

分布式约束,是由多个相互独立、权力有限的角色和信任域共同限制最终执行,而不是由一个中心主体拥有全部控制权。

严格定义

分布式约束并不等于把执行能力平均分给很多人。

它的重点是:

  • 每个参与方只能完成有限职责;

  • 多个约束来源能够相互限制;

  • 任一方的允许不构成充分条件;

  • 任一关键约束的拒绝可以阻止执行;

  • 约束之间不共享完整控制权;

  • 系统不会因为增加参与者而增加更多不受限制的执行者。

上位概念

  • 执行权分离

  • 共同治理

  • 分层不信任

下位概念

  • 多方治理约束

  • 多源 Policy 约束

  • 本地与 SaaS 双重约束

  • 仲裁与执行双域约束

  • 物理与软件联合约束

相关概念

  • Stricter-Wins

  • Deny Dominance

  • Joint Governance

  • Independent Final Veto

  • No Single Layer Catastrophic Execution

容易混淆的概念

分布式约束不等于分布式执行。

Havenlon 不追求让更多组件都能执行,而是让更多独立边界能够限制执行。

它也不等于简单多数表决。多个参与方如果处于同一信任域,仍不能形成真正的分布式约束。

权力边界

每个约束主体应拥有:

  • 明确输入;

  • 有限判断范围;

  • 独立身份;

  • 独立拒绝能力。

但不能拥有全部执行权。

约束机制

  • 独立角色;

  • 独立设备;

  • 多源 Policy;

  • 更严格者优先;

  • 拒绝优先;

  • 阈值治理;

  • 最终物理否决。

结果目标

让系统安全不依赖任何一个“永远正确”的中心裁判。

在 Havenlon 中

SaaS、本地 Policy、治理状态、Arbiter 和 Security Domain 共同形成约束。它们不是共同拥有无限执行权,而是共同限制执行。


15. Catastrophic Authority|灾难性权力

一句话定义

灾难性权力,是一个主体在缺少其他独立约束的情况下,能够独立造成大规模、不可逆或系统性损失的权力。

严格定义

灾难性权力并不由角色名称决定,而由失陷后的最大后果决定。

一个主体如果能够独立完成以下任一行为,就可能拥有灾难性权力:

  • 转移全部资产;

  • 删除全部生产数据;

  • 导出全部敏感信息;

  • 撤销所有治理成员;

  • 修改全部安全策略;

  • 替换执行固件;

  • 关闭所有证据记录;

  • 为任意对象授予最高权限;

  • 控制所有生产设备。

上位概念

  • 执行权

  • 高风险权力

  • 灾难半径

下位概念

  • 管理员灾难性权力

  • Owner 灾难性权力

  • SaaS 灾难性权力

  • 密钥灾难性权力

  • AI Agent 灾难性权力

  • 升级链灾难性权力

相关概念

  • Blast Radius

  • Maximum Irreversible Loss

  • Concentrated Execution Power

  • Single-Layer Execution Authority

  • Single Point of Catastrophic Execution

判断方法

判断一个主体是否拥有灾难性权力,应询问:

  1. 它失陷后最多能做什么?

  2. 是否需要其他独立主体参与?

  3. 是否存在不可绕过的限额?

  4. 是否能修改限制自己的规则?

  5. 是否能删除自身行为证据?

  6. 损失是否可逆?

  7. 系统是否有时间发现并阻止?

约束机制

  • 限额;

  • 限频;

  • 范围限制;

  • 时间延迟;

  • 共同治理;

  • 物理否决;

  • 权力不可自动继承;

  • 独立证据;

  • 恢复窗口。

结果目标

不是假设灾难性权力永远不会被滥用,而是从系统设计中消除任何单一主体的灾难性权力。

在 Havenlon 中

任何单一身份、设备、密钥、管理员或服务都不应拥有独立造成全部资产损失或治理彻底失控的能力。


16. Single-Layer Execution Authority|单层执行权

一句话定义

单层执行权,是某一个身份层、策略层、审批层、软件层、硬件层或管理层能够独立决定并完成最终执行的结构。

严格定义

“单层”不一定意味着只有一个程序或一个设备。

它指的是最终决策和执行能力集中在一个共同信任假设中。

典型单层执行权包括:

  • SaaS 返回允许即直接执行;

  • Owner 点击确认即可绕过所有限制;

  • 持有私钥即可任意完成交易;

  • 单一 HSM 即可签署全部请求;

  • 管理员可以同时修改 Policy 和执行动作;

  • AI Agent 拥有不受约束的生产工具调用权限;

  • 单个安全芯片同时负责意图、策略、执行和证据。

上位概念

  • 集中式执行权力

  • 执行架构风险

下位概念

  • 身份层执行权

  • 审批层执行权

  • Policy 层执行权

  • SaaS 层执行权

  • 密钥层执行权

  • 硬件层执行权

  • AI Agent 层执行权

相关概念

  • Single Point of Catastrophic Execution

  • Catastrophic Authority

  • Boundary Collapse

  • Concentrated Execution Power

  • No Single Layer Catastrophic Execution

风险来源

  • 把某个组件当作绝对可信;

  • 把密钥安全等同于执行安全;

  • 把硬件安全等同于系统安全;

  • 把多功能集中到同一设备;

  • 把审批状态直接当作执行命令;

  • 把管理员视为不可失陷。

权力边界

任何单层都可以承担部分职责,但不能同时拥有:

  • 完整意图生成能力;

  • 最终审批权;

  • 策略修改权;

  • 执行实施权;

  • 证据修改权;

  • 恢复与绕过权。

约束机制

  • 分层不信任;

  • 权力拆分;

  • 独立通信;

  • 多源策略;

  • 仲裁与执行隔离;

  • 最终否决;

  • 设备签名证据。

结果目标

确保任何一层失陷都不足以独立造成灾难性执行。

在 Havenlon 中

应用层、SaaS 层、治理层、仲裁层、执行层和证据层均拥有有限职责。

Havenlon 不认为软件天然不可信而硬件天然可信,也不认为本地天然可信而云端天然不可信。

它要求的是:

任何一层都不能成为唯一裁判、唯一执行者和唯一事实解释者。