Havenlon|AI 时代的执行安全语言体系(十):灾难半径 Part 1
Working Draft · AI Era Execution Security Language
This article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.
AI 时代执行安全语言体系(工作草案)
本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案, 将随着理论研究、工程实践和社区讨论持续修订。
1. Blast Radius|灾难半径
一句话定义
灾难半径,是一个错误、失陷或权力滥用在被独立边界阻止前,最多能够影响的对象、范围、时间和不可逆损失。
严格定义
灾难半径不是简单的“受影响用户数量”,也不只是一次攻击造成的直接经济损失。
它至少包括以下维度:
-
对象范围:能够影响多少账户、设备、资产、服务或治理成员;
-
执行规模:单次或累计能够完成多大规模的动作;
-
持续时间:异常状态可以持续多久;
-
传播层级:错误能够穿过多少组件和信任域;
-
执行频率:单位时间内能够重复多少次;
-
可逆程度:结果是否可以撤销、追回或恢复;
-
发现时间:组织需要多久才能察觉;
-
恢复时间:发现后需要多久才能停止并恢复;
-
证据完整性:异常发生后是否仍能证明发生了什么。
因此,灾难半径不是固定圆形,而是一个由权力、范围、速度、时间和可逆性共同构成的结果边界。
上位概念
-
执行风险
-
最坏结果
-
系统安全目标
下位概念
-
执行灾难半径
-
自动化灾难半径
-
AI Agent 灾难半径
-
治理灾难半径
-
凭证灾难半径
-
Policy 灾难半径
-
管理员灾难半径
相关概念
-
Catastrophic Authority|灾难性权力
-
Maximum Irreversible Loss|最大不可逆损失
-
Failure Propagation|失效传播
-
Bounded Failure|有界失效
-
Failure Containment|失效遏制
容易混淆的概念
灾难半径不等于漏洞严重等级。
一个技术上严重的漏洞,如果被独立边界限制在单个低风险对象内,其灾难半径可能仍然有限。
一个看似普通的管理员权限,如果可以修改全部 Policy、执行全部动作并删除证据,其灾难半径反而可能极大。
约束机制
-
单次额度;
-
累计额度;
-
频率限制;
-
对象白名单;
-
作用域限制;
-
时间窗口;
-
共同治理;
-
权力分离;
-
独立最终否决;
-
受控降级;
-
Safe Mode;
-
不可删除证据。
结果目标
使任何单点失陷都只能造成有限、局部、可发现和尽可能可恢复的后果。
在 Havenlon 中
Havenlon 不只判断一个请求当前是否被允许,还必须计算:
-
它最多能执行多少;
-
能影响哪些对象;
-
可以持续多久;
-
是否能够重复;
-
失败后是否可以安全停止;
-
哪些其他独立边界仍然能够拒绝。
2. Execution Blast Radius|执行灾难半径
一句话定义
执行灾难半径,是某个执行主体或执行能力失控后,最多能够造成的真实状态变化范围。
严格定义
执行灾难半径关注的是动作已经进入执行阶段后,执行能力本身能够造成什么结果。
它包括:
-
能够调用哪些执行器;
-
能够使用哪些密钥;
-
能够操作哪些对象;
-
单次能够执行多少;
-
能够连续执行多少次;
-
能否修改限制自身的规则;
-
能否通过不同执行路径绕开约束;
-
能否隐藏或删除执行证据。
执行器的技术能力越强、对象范围越广、频率越高,执行灾难半径越大。
上位概念
-
灾难半径
下位概念
-
资产执行灾难半径
-
运维执行灾难半径
-
数据执行灾难半径
-
设备执行灾难半径
-
治理执行灾难半径
相关概念
-
Execution Capability
-
Right to Execute
-
Catastrophic Execution
-
Scope-Constrained Damage
-
Maximum Irreversible Loss
约束机制
-
执行槽位;
-
密钥槽位;
-
对象范围;
-
金额限制;
-
单次执行;
-
累计执行;
-
执行器用途绑定;
-
执行前重新验证;
-
执行结果回执。
结果目标
使执行域即使失陷,也无法自动操作全部资产、全部系统或全部业务对象。
在 Havenlon 中
执行槽位、密钥槽位、链、对象、金额和币种必须被明确绑定。一个执行器不能因为拥有某种执行能力,就自动获得所有场景的通用执行权。
3. Automation Blast Radius|自动化灾难半径
一句话定义
自动化灾难半径,是自动化流程发生错误或被操纵后,在人工发现和中断前能够连续造成的最大损失。
严格定义
自动化与人工操作的根本区别,不只是速度更快,而是它可以:
-
自动重复;
-
自动重试;
-
自动扩展到更多对象;
-
自动读取新输入;
-
自动触发后续流程;
-
在无人观察时持续运行。
一次人工错误通常需要人再次操作才能继续扩大。
一次自动化错误则可能形成循环、级联或批量执行。
因此,自动化灾难半径取决于:
-
自动化周期;
-
批次大小;
-
重试次数;
-
并发程度;
-
可访问对象数量;
-
人工介入间隔;
-
自动停止条件;
-
是否存在独立熔断边界。
上位概念
-
灾难半径
-
自动化风险
下位概念
-
批处理灾难半径
-
自动重试灾难半径
-
工作流灾难半径
-
定时任务灾难半径
-
自动运维灾难半径
相关概念
-
Automation Cascade
-
Rate-Constrained Damage
-
Safe Interruption
-
Controlled Degradation
-
Execution Drift
约束机制
-
批次上限;
-
重试上限;
-
并发限制;
-
每周期额度;
-
人工检查点;
-
独立熔断;
-
异常结果触发暂停;
-
自动化与执行权分离。
结果目标
让自动化能够提高效率,但不能无边界地扩大一次错误。
在 Havenlon 中
自动化系统可以持续提出执行意图,但每次或每批高风险执行仍受额度、频率、对象范围和本地执行边界约束。
4. AI Agent Blast Radius|AI Agent 灾难半径
一句话定义
AI Agent 灾难半径,是 AI Agent 判断错误、受到注入或被滥用后,通过工具调用和自动规划能够造成的最大现实损失。
严格定义
AI Agent 的风险不只来自单次错误输出。
Agent 可能同时拥有:
-
读取业务数据的能力;
-
选择工具的能力;
-
生成参数的能力;
-
调用多个系统的能力;
-
根据结果继续行动的能力;
-
自动重试和修改计划的能力。
这使 AI Agent 可以把一次错误判断转化为一连串真实动作。
AI Agent 灾难半径取决于:
-
它可以使用哪些工具;
-
每个工具拥有什么权限;
-
是否能够跨系统调用;
-
是否能够修改自身 Policy;
-
是否能够重复执行;
-
是否需要人类重新确认;
-
最终执行是否经过独立边界。
上位概念
-
自动化灾难半径
-
灾难半径
下位概念
-
工具调用灾难半径
-
Agent 凭证灾难半径
-
Agent 数据访问灾难半径
-
Agent 运维灾难半径
-
Agent 支付灾难半径
相关概念
-
Tool-Call Execution Gap
-
Agent Authority
-
Prompt Injection
-
Intent Drift
-
Machine-Initiated Intent
约束机制
-
Agent 只拥有提议权;
-
工具权限最小化;
-
单工具额度;
-
跨工具调用限制;
-
高风险动作重新审批;
-
最大步骤数;
-
最大累计影响;
-
独立执行控制;
-
Agent 无权修改限制自身的规则。
结果目标
即使 Agent 完全失控,也只能在预先定义的有限范围内行动。
在 Havenlon 中
AI Agent 不能直接成为最终执行主体。它可以提出结构化 Intent,但真实执行必须经过治理、仲裁和独立执行边界。
5. Governance Blast Radius|治理灾难半径
一句话定义
治理灾难半径,是治理身份、成员关系、阈值或恢复机制被控制后,最多能够改变的规则和执行范围。
严格定义
治理失陷不仅影响某一次动作,还可能改变未来所有动作的规则。
治理灾难半径包括:
-
能否添加或删除成员;
-
能否降低审批阈值;
-
能否修改限额;
-
能否扩大执行范围;
-
能否关闭证据;
-
能否更换执行设备;
-
能否重置密钥;
-
能否取消其他约束;
-
修改后能否立即执行。
治理权如果没有边界,其灾难半径通常大于单次执行权,因为它能够重写系统未来的权力结构。
上位概念
-
灾难半径
-
治理风险
下位概念
-
Owner 灾难半径
-
成员变更灾难半径
-
恢复机制灾难半径
-
阈值修改灾难半径
-
Policy 治理灾难半径
相关概念
-
Governance Capture
-
Owner ≠ God
-
Separation of Governance and Execution
-
Recovery Window
-
Catastrophic Authority
约束机制
-
治理变更延迟;
-
多方批准;
-
新规则冷静期;
-
物理恢复;
-
旧治理状态保护;
-
高风险修改范围限制;
-
治理变更不可立即继承执行权。
结果目标
即使治理身份被控制,也不能即时重写全部规则并完成灾难性执行。
在 Havenlon 中
成员、阈值、恢复和关键 Policy 的变化必须经过独立治理流程,并与执行过程分离。
6. Credential Blast Radius|凭证灾难半径
一句话定义
凭证灾难半径,是某个密码、密钥、证书、令牌或身份凭证泄露后,攻击者最多能够获得的真实执行能力。
严格定义
凭证风险不应只根据凭证是否泄露评估,而应根据该凭证能够解锁的结果评估。
一个凭证可能允许:
-
登录;
-
读取;
-
提议;
-
审批;
-
修改 Policy;
-
使用密钥;
-
控制执行器;
-
删除证据;
-
执行恢复。
如果同一个凭证同时解锁多个高权限阶段,它的灾难半径会快速扩大。
上位概念
-
灾难半径
-
身份风险
下位概念
-
API Token 灾难半径
-
管理员密码灾难半径
-
设备证书灾难半径
-
私钥灾难半径
-
恢复凭证灾难半径
相关概念
-
Credential Compromise
-
Authority Inheritance
-
Non-Transferable Authority
-
Least Privilege
-
Access ≠ Execution
约束机制
-
凭证用途绑定;
-
每域独立凭证;
-
权限最小化;
-
短有效期;
-
设备绑定;
-
可撤销;
-
凭证不能自动继承最终执行权;
-
高风险动作附加独立约束。
结果目标
使单一凭证泄露只影响有限职责,而不是整个系统。
在 Havenlon 中
应用、SaaS、Arbiter 和 Security Domain 使用不同身份与通信密钥。控制一个域的凭证不会自动获得其他域的权限。
7. Policy Blast Radius|策略灾难半径
一句话定义
策略灾难半径,是一个 Policy 来源错误、被污染或被放宽后,最多能够影响的执行范围。
严格定义
Policy 灾难半径取决于:
-
Policy 适用于多少对象;
-
是否覆盖全部用户;
-
是否可以修改额度;
-
是否能够取消审批;
-
是否可以关闭本地约束;
-
是否立即生效;
-
是否允许回滚;
-
是否存在其他独立 Policy;
-
单一 Policy 的允许是否足以执行。
全局 Policy 的一个错误可能影响所有请求,其灾难半径通常远高于单次请求错误。
上位概念
-
灾难半径
-
Policy 风险
下位概念
-
SaaS Policy 灾难半径
-
本地 Policy 灾难半径
-
AI Policy 灾难半径
-
白名单灾难半径
-
全局策略灾难半径
相关概念
-
Policy Poisoning
-
Adversarial Policy Source
-
Policy ≠ Final Authority
-
Policy Aggregation
-
Stricter-Wins
约束机制
-
多源 Policy;
-
Policy 作用域;
-
版本绑定;
-
放宽延迟;
-
更严格者优先;
-
本地硬上限;
-
单一 Policy 不能独立放行;
-
变更留证。
结果目标
让一个错误 Policy 只能影响有限对象和有限时间,而不能取消全部系统边界。
在 Havenlon 中
SaaS Policy、本地 Policy、治理状态和硬件限制共同形成约束。任何单一策略来源都不能无限放宽执行范围。
8. Administrative Blast Radius|管理员灾难半径
一句话定义
管理员灾难半径,是一个管理账户或管理角色失陷后,最多能够修改、控制、执行或隐藏的系统范围。
严格定义
管理员经常拥有隐性执行权,例如:
-
修改数据库;
-
重置用户;
-
更改 Policy;
-
部署代码;
-
替换配置;
-
查看凭证;
-
删除日志;
-
控制升级;
-
启动恢复模式。
即使管理员界面没有“执行资产转移”按钮,这些能力组合起来也可能形成完整执行权。
管理员灾难半径必须根据真实能力路径评估,而不是根据岗位名称评估。
上位概念
-
灾难半径
-
内部威胁
下位概念
-
SaaS 管理员灾难半径
-
系统管理员灾难半径
-
数据库管理员灾难半径
-
固件管理员灾难半径
-
云管理员灾难半径
相关概念
-
Concentrated Execution Power
-
Authority Inheritance
-
Insider Misuse
-
Owner ≠ God
-
Governance Capture
约束机制
-
管理面与执行面隔离;
-
管理员不能直接控制执行密钥;
-
配置变更需要治理;
-
升级链独立控制;
-
日志和证据不可单方删除;
-
生产操作范围限制;
-
高风险变更延迟生效。
结果目标
让管理员可以维护系统,但不能成为不受约束的最终执行者。
在 Havenlon 中
SaaS 管理员、本地管理员和设备维护者均不自动拥有最终执行裁决权和完整执行实施权。
更多推荐



所有评论(0)