Havenlon|AI 时代的执行安全语言体系(十):灾难半径 Part 1 Working Draft · AI Era Execution Security LanguageThis article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.AI 时代执行安全语言体系工作草案本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案 将随着理论研究、工程实践和社区讨论持续修订。1. Blast Radius灾难半径一句话定义灾难半径是一个错误、失陷或权力滥用在被独立边界阻止前最多能够影响的对象、范围、时间和不可逆损失。严格定义灾难半径不是简单的“受影响用户数量”也不只是一次攻击造成的直接经济损失。它至少包括以下维度对象范围能够影响多少账户、设备、资产、服务或治理成员执行规模单次或累计能够完成多大规模的动作持续时间异常状态可以持续多久传播层级错误能够穿过多少组件和信任域执行频率单位时间内能够重复多少次可逆程度结果是否可以撤销、追回或恢复发现时间组织需要多久才能察觉恢复时间发现后需要多久才能停止并恢复证据完整性异常发生后是否仍能证明发生了什么。因此灾难半径不是固定圆形而是一个由权力、范围、速度、时间和可逆性共同构成的结果边界。上位概念执行风险最坏结果系统安全目标下位概念执行灾难半径自动化灾难半径AI Agent 灾难半径治理灾难半径凭证灾难半径Policy 灾难半径管理员灾难半径相关概念Catastrophic Authority灾难性权力Maximum Irreversible Loss最大不可逆损失Failure Propagation失效传播Bounded Failure有界失效Failure Containment失效遏制容易混淆的概念灾难半径不等于漏洞严重等级。一个技术上严重的漏洞如果被独立边界限制在单个低风险对象内其灾难半径可能仍然有限。一个看似普通的管理员权限如果可以修改全部 Policy、执行全部动作并删除证据其灾难半径反而可能极大。约束机制单次额度累计额度频率限制对象白名单作用域限制时间窗口共同治理权力分离独立最终否决受控降级Safe Mode不可删除证据。结果目标使任何单点失陷都只能造成有限、局部、可发现和尽可能可恢复的后果。在 Havenlon 中Havenlon 不只判断一个请求当前是否被允许还必须计算它最多能执行多少能影响哪些对象可以持续多久是否能够重复失败后是否可以安全停止哪些其他独立边界仍然能够拒绝。2. Execution Blast Radius执行灾难半径一句话定义执行灾难半径是某个执行主体或执行能力失控后最多能够造成的真实状态变化范围。严格定义执行灾难半径关注的是动作已经进入执行阶段后执行能力本身能够造成什么结果。它包括能够调用哪些执行器能够使用哪些密钥能够操作哪些对象单次能够执行多少能够连续执行多少次能否修改限制自身的规则能否通过不同执行路径绕开约束能否隐藏或删除执行证据。执行器的技术能力越强、对象范围越广、频率越高执行灾难半径越大。上位概念灾难半径下位概念资产执行灾难半径运维执行灾难半径数据执行灾难半径设备执行灾难半径治理执行灾难半径相关概念Execution CapabilityRight to ExecuteCatastrophic ExecutionScope-Constrained DamageMaximum Irreversible Loss约束机制执行槽位密钥槽位对象范围金额限制单次执行累计执行执行器用途绑定执行前重新验证执行结果回执。结果目标使执行域即使失陷也无法自动操作全部资产、全部系统或全部业务对象。在 Havenlon 中执行槽位、密钥槽位、链、对象、金额和币种必须被明确绑定。一个执行器不能因为拥有某种执行能力就自动获得所有场景的通用执行权。3. Automation Blast Radius自动化灾难半径一句话定义自动化灾难半径是自动化流程发生错误或被操纵后在人工发现和中断前能够连续造成的最大损失。严格定义自动化与人工操作的根本区别不只是速度更快而是它可以自动重复自动重试自动扩展到更多对象自动读取新输入自动触发后续流程在无人观察时持续运行。一次人工错误通常需要人再次操作才能继续扩大。一次自动化错误则可能形成循环、级联或批量执行。因此自动化灾难半径取决于自动化周期批次大小重试次数并发程度可访问对象数量人工介入间隔自动停止条件是否存在独立熔断边界。上位概念灾难半径自动化风险下位概念批处理灾难半径自动重试灾难半径工作流灾难半径定时任务灾难半径自动运维灾难半径相关概念Automation CascadeRate-Constrained DamageSafe InterruptionControlled DegradationExecution Drift约束机制批次上限重试上限并发限制每周期额度人工检查点独立熔断异常结果触发暂停自动化与执行权分离。结果目标让自动化能够提高效率但不能无边界地扩大一次错误。在 Havenlon 中自动化系统可以持续提出执行意图但每次或每批高风险执行仍受额度、频率、对象范围和本地执行边界约束。4. AI Agent Blast RadiusAI Agent 灾难半径一句话定义AI Agent 灾难半径是 AI Agent 判断错误、受到注入或被滥用后通过工具调用和自动规划能够造成的最大现实损失。严格定义AI Agent 的风险不只来自单次错误输出。Agent 可能同时拥有读取业务数据的能力选择工具的能力生成参数的能力调用多个系统的能力根据结果继续行动的能力自动重试和修改计划的能力。这使 AI Agent 可以把一次错误判断转化为一连串真实动作。AI Agent 灾难半径取决于它可以使用哪些工具每个工具拥有什么权限是否能够跨系统调用是否能够修改自身 Policy是否能够重复执行是否需要人类重新确认最终执行是否经过独立边界。上位概念自动化灾难半径灾难半径下位概念工具调用灾难半径Agent 凭证灾难半径Agent 数据访问灾难半径Agent 运维灾难半径Agent 支付灾难半径相关概念Tool-Call Execution GapAgent AuthorityPrompt InjectionIntent DriftMachine-Initiated Intent约束机制Agent 只拥有提议权工具权限最小化单工具额度跨工具调用限制高风险动作重新审批最大步骤数最大累计影响独立执行控制Agent 无权修改限制自身的规则。结果目标即使 Agent 完全失控也只能在预先定义的有限范围内行动。在 Havenlon 中AI Agent 不能直接成为最终执行主体。它可以提出结构化 Intent但真实执行必须经过治理、仲裁和独立执行边界。5. Governance Blast Radius治理灾难半径一句话定义治理灾难半径是治理身份、成员关系、阈值或恢复机制被控制后最多能够改变的规则和执行范围。严格定义治理失陷不仅影响某一次动作还可能改变未来所有动作的规则。治理灾难半径包括能否添加或删除成员能否降低审批阈值能否修改限额能否扩大执行范围能否关闭证据能否更换执行设备能否重置密钥能否取消其他约束修改后能否立即执行。治理权如果没有边界其灾难半径通常大于单次执行权因为它能够重写系统未来的权力结构。上位概念灾难半径治理风险下位概念Owner 灾难半径成员变更灾难半径恢复机制灾难半径阈值修改灾难半径Policy 治理灾难半径相关概念Governance CaptureOwner ≠ GodSeparation of Governance and ExecutionRecovery WindowCatastrophic Authority约束机制治理变更延迟多方批准新规则冷静期物理恢复旧治理状态保护高风险修改范围限制治理变更不可立即继承执行权。结果目标即使治理身份被控制也不能即时重写全部规则并完成灾难性执行。在 Havenlon 中成员、阈值、恢复和关键 Policy 的变化必须经过独立治理流程并与执行过程分离。6. Credential Blast Radius凭证灾难半径一句话定义凭证灾难半径是某个密码、密钥、证书、令牌或身份凭证泄露后攻击者最多能够获得的真实执行能力。严格定义凭证风险不应只根据凭证是否泄露评估而应根据该凭证能够解锁的结果评估。一个凭证可能允许登录读取提议审批修改 Policy使用密钥控制执行器删除证据执行恢复。如果同一个凭证同时解锁多个高权限阶段它的灾难半径会快速扩大。上位概念灾难半径身份风险下位概念API Token 灾难半径管理员密码灾难半径设备证书灾难半径私钥灾难半径恢复凭证灾难半径相关概念Credential CompromiseAuthority InheritanceNon-Transferable AuthorityLeast PrivilegeAccess ≠ Execution约束机制凭证用途绑定每域独立凭证权限最小化短有效期设备绑定可撤销凭证不能自动继承最终执行权高风险动作附加独立约束。结果目标使单一凭证泄露只影响有限职责而不是整个系统。在 Havenlon 中应用、SaaS、Arbiter 和 Security Domain 使用不同身份与通信密钥。控制一个域的凭证不会自动获得其他域的权限。7. Policy Blast Radius策略灾难半径一句话定义策略灾难半径是一个 Policy 来源错误、被污染或被放宽后最多能够影响的执行范围。严格定义Policy 灾难半径取决于Policy 适用于多少对象是否覆盖全部用户是否可以修改额度是否能够取消审批是否可以关闭本地约束是否立即生效是否允许回滚是否存在其他独立 Policy单一 Policy 的允许是否足以执行。全局 Policy 的一个错误可能影响所有请求其灾难半径通常远高于单次请求错误。上位概念灾难半径Policy 风险下位概念SaaS Policy 灾难半径本地 Policy 灾难半径AI Policy 灾难半径白名单灾难半径全局策略灾难半径相关概念Policy PoisoningAdversarial Policy SourcePolicy ≠ Final AuthorityPolicy AggregationStricter-Wins约束机制多源 PolicyPolicy 作用域版本绑定放宽延迟更严格者优先本地硬上限单一 Policy 不能独立放行变更留证。结果目标让一个错误 Policy 只能影响有限对象和有限时间而不能取消全部系统边界。在 Havenlon 中SaaS Policy、本地 Policy、治理状态和硬件限制共同形成约束。任何单一策略来源都不能无限放宽执行范围。8. Administrative Blast Radius管理员灾难半径一句话定义管理员灾难半径是一个管理账户或管理角色失陷后最多能够修改、控制、执行或隐藏的系统范围。严格定义管理员经常拥有隐性执行权例如修改数据库重置用户更改 Policy部署代码替换配置查看凭证删除日志控制升级启动恢复模式。即使管理员界面没有“执行资产转移”按钮这些能力组合起来也可能形成完整执行权。管理员灾难半径必须根据真实能力路径评估而不是根据岗位名称评估。上位概念灾难半径内部威胁下位概念SaaS 管理员灾难半径系统管理员灾难半径数据库管理员灾难半径固件管理员灾难半径云管理员灾难半径相关概念Concentrated Execution PowerAuthority InheritanceInsider MisuseOwner ≠ GodGovernance Capture约束机制管理面与执行面隔离管理员不能直接控制执行密钥配置变更需要治理升级链独立控制日志和证据不可单方删除生产操作范围限制高风险变更延迟生效。结果目标让管理员可以维护系统但不能成为不受约束的最终执行者。在 Havenlon 中SaaS 管理员、本地管理员和设备维护者均不自动拥有最终执行裁决权和完整执行实施权。