内部草稿仅供参考。本文中的术语、模型与边界定义仍处于持续演化状态。签名可以证明「谁同意了什么」却不能证明「这件事现在是否仍然应该发生」。当 AI 与自动化开始直接执行现实世界动作授权事实与执行正确性已经成为两个完全不同的问题。引子一个几乎所有人都会问的问题很多人第一次接触 Final Veto都会问同一个问题既然已经签名了为什么系统还可以拒绝这个问题看似简单却精准地暴露出过去二十多年企业安全一直默认的一个前提——签名就是最后结论。我们习惯认为只要签名真实、密钥安全、审批完整系统就理所应当继续执行。于是在漫长的演化中签名逐渐被赋予了超出它本身能力范围的意义它不仅代表「授权」还开始被误认为代表「正确」。但事实上签名从来没有回答过「正确」这个问题。它回答的一直都是另外一个问题。它回答的是是谁同意了这份内容。而不是这件事现在是否仍然应该发生。这两个问题之间的距离就是本篇要拆开来讲的东西。上一篇我们提出了「授权事实」与「执行裁决」的裂缝这一篇我们要走进这道裂缝看清它究竟由什么构成。一、签名证明的是「授权事实」仅此而已密码学里的数字签名是一种非常优雅的技术。它能够严格地证明三件事某个密钥持有者确实完成了签名这份签名绑定的是特定的那一段数据数据在签名之后没有被修改过。这些能力极其重要。正是它们让互联网拥有了可信的软件更新、电子合同、数字身份、区块链交易以及各种企业级审批系统。可以说现代数字世界的信任地基有一大半是签名铺就的。但是——请注意这个「但是」——无论算法多先进密钥多安全签名始终不会回答下面这一类问题这份内容是不是用户真正想表达的意图从同意到执行当前环境是否已经发生变化上游软件是否向用户展示了真实的信息AI是否误解了用户的目标当前的这台设备是否仍然可信昨天允许执行的动作此刻是否依然合理因为这些问题本来就不属于密码学的范畴。签名能够证明「授权」却不能证明「授权一定正确」。它是一份忠实的收据不是一次清醒的判断。二、密码学不知道业务而且它是故意的数字签名有一个常被忽略、却极其关键的特点它不理解内容。对于签名算法来说下面这两段数据没有任何本质区别Transfer 100 USDT和Transfer 10,000,000 USDT对于算法而言它们只是两串不同的字节序列。ECDSA 不知道什么是金额。Ed25519 不知道什么是地址。RSA 不知道什么是资产。它们不会判断哪一个更危险也不会告诉你哪一个更符合用户的真实目的。它们只负责回答一个纯粹的数学问题这串字节是不是由这把私钥签的签完之后有没有被人动过。而且密码学是故意保持这种中立的。这不是缺陷而是设计。签名之所以能成为通用的信任基础恰恰因为它不掺杂任何业务判断——它对内容一视同仁才能被用在支付、合同、身份、固件等一切场景里。如果签名算法开始「懂业务」它就不再通用了。密码学的中立是它的美德也是它的边界。它对内容一无所知所以它对「这件事该不该做」永远保持沉默。所以一个签名再安全也无法替代执行决策。指望签名去把关业务风险等于指望一把尺子告诉你该不该盖这栋楼。三、真正的问题往往发生在签名「之前」现实世界里的很多安全事件并不是签名被破解。恰恰相反。在大量真实案例里签名全都是合法完成的私钥没有泄露算法没有被攻破验证全部通过。真正出问题的地方在于——签名前「看到」的内容并不是最终「执行」的内容。我们可以把这种错位列成几组对照用户看到的是 A系统真正签名的却是 B审批的是配置X最终执行的却是配置YAI理解的是一个目标生成出来的却是另一个 Payload。在这些场景里签名仍然真实密钥仍然安全密码学没有任何失效。真正失效的是签名前后的语义一致性——从「用户/审批者看到并同意的东西」到「系统最终动手执行的东西」中间的那条链路被替换、被篡改、被误解了。而签名机制本身对这一切一无所知。因为它有一个天真的默认假设它收到的数据就是它应该签的数据。这个假设把整条上游链路的可信性全部无条件地吞进了那一次签名动作里。链路上任何一个环节出了问题签名都会照签不误并且签得完美无瑕。签名从不追问「你给我签的是不是你真正想签的」。它只是忠实地为它眼前的字节盖章——哪怕这串字节早已被人调了包。四、授权正确不代表执行正确在企业实践里「授权」与「执行」经常被混为一谈。人们习惯性地认为只要满足了下面这些条件之一或全部已经审批通过已经满足多签门限已经拥有管理员权限已经完成身份验证那么就「可以执行」了。但这其实是两个完全不同的阶段。授权回答的是「谁有资格」执行回答的是「现在是否应该」。前者关于身份与权力后者关于时机与状态。举一个极其简单、却极具代表性的例子。一位管理员拥有删除生产数据库的权限。现在是今天凌晨两点他确实完成了登录身份真实权限正确审批齐全——从授权的角度看一切无懈可击。但是就在此刻生产数据库突然开始出现异常同步备份状态未知另一套系统正在执行恢复操作。这时候如果继续执行「删除」——身份没有错权限没有错签名没有错。真正错的是执行的时机。前面所有的授权都成立但世界的状态已经变了而这个动作恰好是不可逆的。授权问的是「你能不能」执行问的是「现在该不该」。一个人有资格开枪不等于此刻这一枪就该开。而签名从来不理解这些上下文。它不知道数据库正在异常不知道备份状态未知不知道现在是不是一个不该动手的时刻。它只知道这个有权限的人签了这条指令。五、AI 把签名的局限放大了一个数量级过去绝大部分软件只是「帮助人完成操作」。真正按下执行键的始终是那个坐在屏幕前、看着内容、做出判断的人。签名绑定的意图与人的意图中间几乎没有缝隙。今天越来越多的系统已经不同。AI 可以直接调用工具、执行脚本、修改配置、调度资源、操作资产、控制设备。签名正在以前所未有的速度逼近真实世界——它绑定的对象越来越经常是一段由 AI 自动生成、并将被自动执行的动作。于是一个尖锐的新问题浮现出来签名绑定的到底是「AI 的输出」还是「用户真正的意图」很多时候两者并不完全一致。因为在 AI 的链路里意图会经历一连串可能失真的环节AI 可能理解错误模型可能产生幻觉上下文可能已经漂移Prompt 可能被污染或注入工具调用可能出现偏差。在人主导的旧世界里「所见即所签所签即所愿」大致成立。而在 AI 主导的新世界里「所愿」到「所签」之间多了一整条不透明、可被扰动的转换链路。如果系统仍然固执地认为「已经签名所以一定执行」那么签名实际上就被迫承担了它本不该、也无力承担的责任——它被当成了「用户意图的最终证据」而它其实只是「某段字节被某把钥匙盖过章」的证据。在 AI 面前签名依然诚实但它守护的对象变了它守护的是模型的输出而不是人的意图。当二者分叉忠于签名就可能背叛用户。六、Final Veto 保护的是「执行」而不是「签名」这正是 Final Veto 出现的原因。需要特别澄清它并不是为了否定密码学也不是为了替代签名。恰恰相反它完全承认签名不可替代的价值。它拒绝的只是让签名去承担「所有」责任。分工可以说得非常清楚签名负责证明授权已经形成。Final Veto负责判断执行是否仍然被允许。这两个能力彼此独立且不能相互替代。授权可以完全成立而执行仍然可能被拒绝——不是因为签名错了而是因为最后的执行条件已经改变时机不对了、状态漂移了、语义不一致了、证据不完整了。签名说的是「这件事被授权了」Final Veto 说的是「这件事此刻还能不能发生」。前者是历史后者是当下把当下的裁决权交还给当下才是执行安全真正关心的事。一个健康的系统应该让这两句话同时存在而不是让前一句自动淹没后一句。七、真正需要保护的是「执行事实」许多企业今天的安全体系仍然主要围绕「身份」构建登录、权限、审批、签名。这些都没有错而且必要。但 AI 时代真正需要回答的问题已经悄悄发生了迁移。企业真正需要保护的正在从「谁访问了什么」转向「最终发生了什么」最终修改了什么最终支付了什么最终部署了什么最终控制了什么最终删除了什么最终启动了什么因为在现实世界里承担后果的从来不是那一枚签名而是那一次执行。签名不会让钱消失执行才会签名不会让数据库清空执行才会签名不会让设备启动执行才会。签名留下的是「谁同意」的记录执行留下的是「世界被改成什么样」的事实。追责可以看前者但灾难只认后者。因此一个真正完整的执行安全系统不应该停留在回答「谁签了」。它还必须继续追问、并有能力干预「最后到底要发生什么」八、签名是一种「能力」不是一种「裁决」数字签名是一项极其伟大的发明。它解决了互联网几十年来最重要的问题之一如何证明授权真实存在。但它从来没有、也从来不打算解决另一个问题授权之后是否仍然应该执行。这是两种性质不同的能力一种负责建立可信一种负责限制执行一种证明「有人同意」一种决定「事情是否发生」一种面向过去同意已经发生一种面向当下现在还该不该做。在人操作、低频、可逆的旧世界里把这两种能力揉在一起代价不大甚至方便。但当越来越多的软件拥有了直接影响现实世界的能力之后把「授权」和「裁决」继续混为一谈就变成了一种结构性的风险。真正成熟的执行安全体系需要把它们重新拆开让签名继续负责授权让最后的执行边界保留独立拒绝的能力。这并不是削弱签名。恰恰相反——这是让签名重新回到它真正擅长的位置。它回答它最擅长的那个问题谁同意了。至于另一个问题——这件事此刻是否还应该发生——那应该交给最后一道独立的执行边界来回答。让签名做签名的事让否决做否决的事。混淆二者是在用一份过去的收据为一个当下的动作背书。这就是 Final Veto。下一篇预告 · Final Veto三为什么多签仍然挡不住错误执行。我们将说明为什么把「更多的同意」叠加在一起依然无法替代一个能说「不」的独立边界。