:基础公理)
Working Draft · AI Era Execution Security LanguageThis article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.AI 时代执行安全语言体系工作草案本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案 将随着理论研究、工程实践和社区讨论持续修订。基础公理不是对 Havenlon 产品功能的描述而是整套执行控制理论成立的前提。这一章重新拆分传统软件系统中经常被混为一体的几种权力提议一件事、批准一件事、判断一件事、实施一件事以及证明一件事已经发生不应天然属于同一个主体。在 Havenlon 中提议权 ≠ 审批权 ≠ 仲裁权 ≠ 执行实施权 ≠ 证明权。任何主体拥有其中一种权力都不应自动继承其他权力更不应因此获得不受约束的最终执行能力。1. Execution执行一句话定义执行是一个意图、命令或判断从信息状态转化为真实状态变化的过程。严格定义执行是指系统对数字世界、物理设备、资产状态、业务状态、身份关系或治理状态产生实际影响的动作。典型执行包括转移资产签署或广播交易删除或导出数据修改访问权限发布软件或配置重启服务轮换证书控制设备增加或移除治理成员改变不可逆或高影响业务状态。执行的核心不在于是否产生了物理运动而在于系统是否使现实中的权利、资产、状态、责任或控制关系发生了变化。上位概念系统行为状态变化现实影响下位概念现实执行自动化执行AI Agent 执行资产执行治理执行运维执行设备执行相关概念执行能力执行权执行路径执行结果执行证据不可逆动作权力边界能够生成命令不等于能够执行命令。能够调用接口不等于拥有最终执行权。能够完成计算不等于有权将计算结果转化为真实动作。约束机制身份验证意图绑定策略检查独立仲裁共同治理硬件执行边界执行前重新验证限额、限频与范围限制Safe Mode结果目标让执行可被约束让执行结果与原始意图保持一致让高风险执行不能由单点独立完成让执行过程可证明、可审计。在 Havenlon 中Havenlon 关注的不是软件能否生成一个正确命令而是这个命令在真正产生现实影响之前是否经过了独立、不可轻易绕过的执行控制。2. Real-World Execution现实执行一句话定义现实执行是会对资产、业务、权限、设备、组织关系或外部环境产生真实后果的执行。严格定义现实执行不只指机械设备运动或物理世界操作。只要一个数字动作会改变现实中的权利、责任、资产、控制范围或不可逆状态它就属于现实执行。例如一笔链上转账是现实执行删除生产数据库是现实执行将员工加入管理员组是现实执行导出客户数据是现实执行为 AI Agent 开放生产系统权限是现实执行撤销一个人的治理资格也是现实执行。上位概念执行下位概念金融执行资产执行数据执行身份执行治理执行运维执行物理设备执行相关概念现实后果不可逆动作最大不可逆损失灾难半径执行风险权力边界信息生成、分析、建议和模拟通常不构成现实执行。但一旦输出能够直接触发真实状态变化系统就已经从信息系统进入执行系统。约束机制将建议与执行分离将模拟环境与生产环境分离将工具调用与最终执行分离对现实影响动作设置独立执行边界。结果目标防止软件从“提供建议”无约束地升级为“直接造成后果”。在 Havenlon 中Havenlon 判断一个动作是否需要进入执行控制不只看它是不是转账也看它是否能够改变真实业务状态。3. Execution Capability执行能力一句话定义执行能力是一个主体在技术上使某个真实动作发生的能力。严格定义执行能力描述的是“能不能做到”而不是“应不应该允许”。它可能来源于API 调用能力系统管理员权限私钥或证书操作系统权限云平台凭证数据库写权限设备控制接口AI Agent 的工具调用权限自动化工作流中的执行节点。一个主体即使没有制度上的最终授权只要它技术上能够独立造成真实结果就已经拥有事实上的执行能力。上位概念系统能力技术能力下位概念签名能力广播能力删除能力发布能力管理能力工具调用能力设备控制能力相关概念执行权权限凭证访问权灾难性权力灾难半径权力边界执行能力不等于合法授权也不等于安全执行。系统风险不能只根据角色名称判断而应根据主体实际能够造成的最大结果判断。约束机制能力拆分凭证隔离权限最小化独立仲裁限额和限频不可绕过的执行边界。结果目标使任何单一主体即使被攻破也缺少独立完成灾难性执行所需的全部能力。在 Havenlon 中应用、SaaS、AI Agent 和管理员可以拥有提议或协同能力但不应独立拥有完整执行能力。4. Execution Right执行权一句话定义执行权是使一个真实动作最终发生的权力与能力的总称。严格定义执行权同时包含两个层面规范层面主体是否被允许使动作发生技术层面主体是否事实上能够使动作发生。传统系统常把访问权限、管理员权限、密钥控制权和最终执行权混为一体。Havenlon 将执行权进一步拆分为提议权审批权仲裁权执行实施权证明权最终执行裁决权。上位概念权力系统控制权下位概念提议权审批权仲裁权执行实施权证明权最终执行裁决权相关概念执行能力授权所有权管理权签名权治理权权力边界拥有访问权、管理权、所有权、审批权或签名权不应自动意味着拥有完整执行权。执行权不应由单一凭证、单一身份或单一信任域完整承载。约束机制权力拆分角色分离独立信任域共同治理最终硬件约束默认拒绝。结果目标避免任何单点拥有不受约束的灾难性执行能力。在 Havenlon 中执行权不是交给一个“更可信的超级管理员”而是被拆散在多个彼此独立、权力有限的角色和边界之间。5. Final Execution Authority最终执行裁决权推荐中文名最终执行裁决权“最终执行权”可作为简称但不建议在严格工程文档中单独使用以免与 Execution Right 混淆。一句话定义最终执行裁决权是在所有提议、审批、策略和约束完成后决定动作最终能否进入真实执行的权威。严格定义最终执行裁决权回答的不是谁提出了请求也不是谁批准了请求而是在此刻的真实状态、上下文和约束条件下这个具体动作是否仍然可以发生它必须面对最终执行对象、金额、参数、时间、环境、治理状态和风险边界而不能只依赖上游已经完成的审批。上位概念执行权裁决权下位概念最终放行最终拒绝物理否决安全中断相关概念仲裁最终重新验证Policy共同治理物理执行边界Safe Mode权力边界最终执行裁决权不等于所有者权限管理员权限SaaS 审批结果AI Agent 判断单一 Policy 判断单一签名结果。约束机制多源约束收敛更严格者优先拒绝优先本地状态检查硬件隔离独立最终否决权。结果目标确保任何单一层的“允许”都不足以单独导致灾难性执行。在 Havenlon 中最终执行裁决权不是由某个软件模块单独拥有而是由多个独立约束共同形成。任何关键约束不满足执行都应停止。6. Right to Propose提议权一句话定义提议权是发起一个执行意图或治理意图的权力。严格定义拥有提议权的主体可以表达希望发生什么对谁发生涉及什么对象期望的参数和范围为什么需要执行。提议只是执行链的起点不构成批准、仲裁或执行。上位概念执行权意图表达权下位概念人工提议AI Agent 提议自动化流程提议治理变更提议相关概念IntentProposerExecution IntentGovernance IntentMachine-Initiated Intent权力边界能够提议不代表请求一定合法内容一定真实上下文没有被污染动作一定会被批准动作最终一定会执行。约束机制身份绑定意图哈希输入校验提议范围限制机器提议与人类授权分离。结果目标允许业务、人员和 AI Agent 表达需求同时阻止提议者直接控制最终结果。在 Havenlon 中AI Agent、应用和用户通常只负责产生意图不直接获得最终执行权。7. Right to Approve审批权一句话定义审批权是对一个已提出的意图表达同意、拒绝或附条件同意的权力。严格定义审批是一种治理判断表示审批者基于当时看到的信息和自身权限对某个意图作出判断。审批结果具有状态性、上下文性和时间性。审批通过不代表最终载荷没有变化执行环境没有变化当前策略仍然有效执行对象与审批展示完全一致真实执行仍然安全。上位概念执行权治理权下位概念单人审批多人审批条件审批阈值审批治理审批相关概念ApprovalApproverIntent BindingDisplay-to-Execution GapInduced Approval权力边界审批者只能对其看到并理解的内容表达判断。审批者不能单独证明最终执行内容未被替换也不应直接拥有执行实施权。约束机制审批内容绑定独立显示多方审批审批有效期最终执行重新验证防止诱导审批。结果目标让审批成为治理约束之一而不是把审批按钮变成最终执行开关。在 Havenlon 中审批完成后动作仍需经过独立仲裁和执行边界验证。8. Right to Arbitrate仲裁权一句话定义仲裁权是根据多个策略来源、治理状态和实时约束对执行请求作出独立判断的权力。严格定义仲裁不是重复审批也不是简单执行 Policy 返回的结果。仲裁负责处理多个策略来源之间的冲突本地状态与 SaaS 状态的差异审批结果与当前执行上下文的差异时间、频率、额度和范围限制执行链完整性是否需要拒绝或进入 Safe Mode。上位概念执行权判断权下位概念策略仲裁状态仲裁风险仲裁本地仲裁多源仲裁相关概念ArbiterPolicy AggregationStricter-WinsDeny DominanceFinal Revalidation权力边界仲裁者可以允许或拒绝进入下一阶段但不应同时持有应用控制权完整执行密钥证据修改权单方面治理修改权。约束机制独立计算域多源策略更严格者优先拒绝优先与执行域隔离。结果目标防止任何单一策略来源或上游软件直接控制最终执行结果。在 Havenlon 中Arbiter 是独立的约束角色它不相信应用、SaaS 或审批结果天然正确。9. Right to Execute执行实施权推荐中文名执行实施权不建议继续单独译作“执行权”以免与 Execution Right 混淆。一句话定义执行实施权是在最终裁决通过后实际完成签名、提交、广播、控制或状态变更的权力。严格定义执行实施权负责把已经通过约束的最终载荷转化为真实动作。它可以包括使用密钥完成签名提交交易调用生产环境接口控制设备写入关键状态执行系统命令。执行实施者不应自行决定业务目标也不应自行修改已经完成绑定的参数。上位概念执行权操作权下位概念签名实施权广播实施权设备控制权状态写入权命令执行权相关概念ExecutorFinal Signing PayloadExecution BindingPhysical Trust BoundarySecurity Domain权力边界执行者只能执行被明确允许和完整绑定的动作。它不应拥有自主生成意图的权力修改审批结果的权力放宽 Policy 的权力绕过仲裁的权力重写执行证据的权力。约束机制仅接受仲裁域输出固定协议参数完整绑定硬件隔离默认拒绝未知请求密钥槽位与执行槽位约束。结果目标使执行组件只能“执行已被允许的内容”不能“自行决定执行什么”。在 Havenlon 中Security Domain 负责执行实施但不直接相信应用也不直接接受 SaaS 命令。10. Right to Prove证明权一句话定义证明权是生成、签署和保存关于执行过程及结果的可信证据的权力。严格定义证明权决定谁有资格对以下事实作出可验证陈述谁提出了意图谁批准了意图哪些策略参与了判断仲裁结果是什么最终执行了什么执行是否成功为什么被拒绝执行链是否连续。证明权不是普通日志写入权。可信证明必须尽可能来自真正参与约束或执行的独立设备而不是仅来自应用或 SaaS 的自我陈述。上位概念执行权事实陈述权下位概念意图证明审批证明策略证明仲裁证明执行证明拒绝证明相关概念EvidenceEvidence ChainDevice-Signed FactFact SourceNon-Repudiation权力边界证明者不能通过修改日志改变已经发生的事实。应用、SaaS 或执行者中的任何一方都不应独自控制全部证据。约束机制设备签名哈希链单调计数器前序哈希独立证据存储外部归档。结果目标让执行事实不依赖某个中心化软件平台的自我描述。在 Havenlon 中设备签名的执行记录是事实来源SaaS 负责协同展示和归档但不单独定义执行事实。