Havenlon|AI 时代的执行安全语言体系(二):否定性公理
Working Draft · AI Era Execution Security LanguageThis article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.AI 时代执行安全语言体系工作草案本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案 将随着理论研究、工程实践和社区讨论持续修订。以下公理通过否定传统系统中常见的错误等式明确 Havenlon 的基本边界。11. Intent ≠ Execution意图不等于执行核心判断一个人或系统希望发生什么不等于最终真正发生了什么。严格定义意图是对目标动作的表达执行是对真实状态的改变。两者之间可能经过参数转换数据序列化UI 展示审批Policy 判断工具调用签名广播外部系统处理。任何一个环节都可能发生替换、漂移、污染或误解。上位概念基础公理意图与执行分离下位概念意图到执行缝隙意图漂移意图污染载荷替换上下文漂移相关概念Intent BindingIntentHashExecution GapSemantic CorrectnessFinal Revalidation约束机制意图结构化意图哈希全链路绑定最终载荷重新确认上下文绑定执行前重新验证。结果目标让最终执行结果能够被证明仍然对应原始意图。Havenlon 落地IntentHash 贯穿提议、审批、仲裁和执行过程最终执行载荷必须重新绑定原始意图。12. Approval ≠ Execution审批不等于执行核心判断审批通过只代表某个主体在某个时刻同意了所看到的内容不代表最终真实执行一定安全。严格定义审批是判断执行是动作。审批之后仍可能出现对象被替换金额被修改参数被重写上下文发生变化Policy 已经过期治理状态发生改变执行环境失陷。上位概念基础公理权力分离下位概念审批到执行缝隙诱导审批审批漂移展示到执行缝隙相关概念Right to ApproveFinal RevalidationPayload BindingContext Binding约束机制审批内容绑定有效期独立显示执行前重新检查审批权与执行实施权分离。结果目标阻止“审批通过”被直接等价为“必须执行”。Havenlon 落地审批结果只是仲裁输入之一不能绕过本地仲裁和执行控制边界。13. Signature ≠ Execution签名不等于执行核心判断密码学签名可以证明某把密钥签过某段数据但不能单独证明这段数据符合真实意图也不能证明执行过程安全。严格定义签名主要证明某个密钥参与了签名被签数据在签名后未被修改。签名不能天然证明签名者看到了真实内容UI 展示与被签载荷一致上游软件没有被攻破业务语义正确执行范围合理签名者没有受到诱导。上位概念基础公理密码学边界下位概念盲签风险载荷替换展示欺骗合法签名滥用相关概念Payload IntegritySemantic CorrectnessIntent BindingFinal Signing Payload约束机制明确载荷展示意图绑定签名前仲裁参数重建独立执行边界签名与广播约束。结果目标避免把“密钥没有泄露”错误地等同于“执行是安全的”。Havenlon 落地签名只是执行实施阶段的一部分密钥不会替代意图验证、共同治理和最终仲裁。14. Authorization ≠ Safe Execution授权不等于安全执行核心判断一个主体被允许做某件事不代表它在任何时间、任何上下文、以任何参数做这件事都是安全的。严格定义授权通常回答谁可以做什么安全执行还必须回答现在是否可以做可以做多少可以对谁做可以多频繁地做当前上下文是否异常结果是否可逆是否超出灾难半径约束。上位概念基础公理权限边界下位概念授权滥用权限过宽合法账户滥用凭证失陷相关概念Access ControlPolicyContext BindingBlast RadiusLeast Privilege约束机制动态策略时间、额度、范围限制共同治理实时状态验证异常时默认拒绝。结果目标让合法身份也不能不受限制地造成灾难性结果。Havenlon 落地身份和授权只负责证明主体资格最终执行仍需通过策略、仲裁和硬件边界。15. Ownership ≠ Unlimited Authority所有权不等于无限权力核心判断拥有一个系统、组织或资产不应天然意味着可以无条件绕过所有治理和安全边界。严格定义所有权是一种法律、治理或经济关系。它不应自动包含无限额度执行绕过共同治理删除全部证据单方面修改关键成员无条件关闭安全机制不受限制地恢复或重置系统。上位概念基础公理治理约束下位概念Owner 权力限制治理变更控制物理恢复约束成员变更约束相关概念Owner ≠ GodJoint GovernanceGovernance CaptureFinal Execution Authority约束机制角色分离共同治理物理恢复延迟生效证据留存治理状态绑定。结果目标避免所有者账户失陷直接变成整个系统失陷。Havenlon 落地Owner 是重要治理角色但不能单方面绕过所有执行限制。16. Owner ≠ God所有者不是上帝核心判断Owner 是治理参与者不是系统中不受规则约束的超级主体。严格定义Owner ≠ God 是 Ownership ≠ Unlimited Authority 的操作化表达。它要求即使 Owner凭证被盗设备失控判断失误被诱导主动作恶也不能仅凭单一身份无条件完成灾难性执行。上位概念所有权不等于无限权力分层不信任下位概念Owner 恢复约束Owner 成员变更约束Owner 执行限额Owner 物理确认相关概念Joint GovernanceGovernance CaptureBlast RadiusNo Unilateral Catastrophic Authority约束机制共同治理物理恢复延迟窗口限额和限频独立证据Owner 权力不可传递。结果目标把 Owner 失陷从“系统彻底失控”降级为“一个受约束的治理事件”。Havenlon 落地Owner 可以发起高权限治理动作但关键变更仍需满足本地约束、共同治理或物理恢复条件。17. Policy ≠ Final Authority策略不是最终权威核心判断Policy 只是某个来源在某个状态和上下文下作出的有限判断不能天然拥有最终执行裁决权。严格定义Policy 可能来自SaaS本地设备管理员配置风险系统审批流程AI 模型外部身份系统。任何 Policy 都可能过期配置错误被污染被绕过被诱导使用错误上下文与其他 Policy 冲突。上位概念基础公理策略有限性下位概念SaaS Policy 非最终权威本地 Policy 非唯一裁判审批 Policy 非最终权威AI Policy 非最终权威相关概念Policy SourcePolicy AggregationStricter-WinsDeny DominanceAdversarial Policy Source约束机制多源 Policy独立仲裁更严格者优先拒绝优先本地最终检查Policy 状态绑定。结果目标防止攻击者通过控制最宽松的一个策略来源获得完整执行权。Havenlon 落地SaaS Policy、本地 Policy、治理状态与物理限制共同参与判断任何单一来源都不能独立放行灾难性执行。18. Access ≠ Execution访问不等于执行核心判断能够进入一个系统、读取数据或调用接口不代表有权让真实动作最终发生。严格定义访问权通常描述能否登录能否连接能否读取能否调用能否提交请求。执行权描述的是请求能否真正改变现实状态。传统系统常把“能够调用 API”直接等同于“能够完成执行”这使访问凭证失陷迅速扩大为执行灾难。上位概念基础公理权力分离下位概念网络访问API 访问数据访问管理界面访问工具访问相关概念Access ControlExecution CapabilityTool PermissionZero TrustExecution Boundary约束机制接口调用与执行分离网络域与执行域分离提议接口不直接连接执行器独立仲裁本地执行控制。结果目标即使攻击者进入应用、SaaS 或管理后台也不能直接完成高风险执行。Havenlon 落地应用可以提交执行意图但无法直接访问 Security Domain也不能仅凭网络访问完成最终执行。19. Valid Request ≠ Safe Result合法请求不等于安全结果推荐中文说明这里的“合法”主要表示请求通过了格式、协议、身份或权限检查不必然表示法律意义上的合法。必要时可对外表述为有效请求不等于安全结果。核心判断一个格式正确、签名有效、身份合法、权限允许的请求仍然可能造成错误、危险或灾难性的结果。严格定义请求可能在以下方面全部“合法”协议格式正确身份验证通过签名有效API 参数完整权限检查通过Policy 返回允许。但它仍可能指向错误对象使用错误金额出现在错误时间由被诱导的用户批准超出合理业务范围利用合法流程完成攻击造成不可接受的灾难半径。上位概念基础公理结果安全下位概念合法路径滥用授权滥用合法凭证攻击语义错误参数合法但结果危险相关概念Semantic CorrectnessPayload ValidityLegitimate-Path AbuseAuthorized MisuseExecution Blast Radius约束机制语义检查上下文绑定额度和范围限制异常检测共同治理最终执行重新验证物理拒绝。结果目标把安全判断从“请求是否合规”推进到“最终结果是否仍在允许的风险边界内”。Havenlon 落地Havenlon 不把协议有效、签名有效或审批通过视为执行安全的充分条件。最终执行必须同时满足意图、语义、治理、策略和物理约束。