摘要
人们讨论 AI 风险时,常常把注意力放在"它会不会思考""会不会产生自我意识""会不会比人聪明"这些问题上。但在真实业务系统里,一个更直接、更现实的风险,并不来自 AI 是否像人一样思考,而是来自它是否能够执行。
一个只会回答问题的 AI,即使答错了,风险通常还停留在信息层。但一个能够调用工具、访问系统、修改数据、触发付款、导出文件、执行脚本、操作设备的 AI,一旦出错,风险就会从"认知错误"变成"现实后果"。这才是 AI 时代安全模型真正发生变化的地方。
过去,AI 只是建议者;现在,AI 正在成为操作者。过去,错误答案只是错误答案;现在,错误答案可能变成错误执行。
所以,AI 真正危险的不是会思考,而是能执行。
一、我们一直把 AI 风险想偏了
过去几年,关于 AI 风险的讨论有很多:有人担心它会不会拥有意识,会不会替代人类,会不会失控,会不会比人类更聪明。这些问题当然值得研究,但对今天的企业、开发者和业务系统来说,一个更现实的问题已经摆在眼前:AI 是否被允许接触真实业务?
如果 AI 只是生成一段文字,它的错误大多还停留在认知层——它可能总结错了文档,翻译错了一句话,写错了一段代码,给出了一个不准确的建议。这些错误会带来麻烦,但中间通常还有人:人会复制,会检查,会修改,会决定要不要使用,会在最后一步承担执行动作。
但当 AI 开始直接调用工具时,性质就变了。它不再只是给建议,而是开始触碰系统状态——它可以帮你操作后台、调用 API、写入配置、触发流程、执行脚本、连接钱包、调度云资源、控制设备。这时,AI 的风险就不再只是"它说错了什么",而是它做了什么。
二、从回答问题,到改变现实
AI 的发展有一个非常关键的转折:从"生成内容",走向"执行动作"。
早期 AI 更多是文本工具——你问它答,你给材料它总结,你给需求它写草稿。这时候,人还在执行链路里,AI 的输出只是候选结果,是否采用仍然由人决定。但 Agent、Tool Calling、MCP 和自动化工作流出现之后,AI 不再只是输出文字,而是开始拥有行动路径:它可以理解一个目标,拆解多个步骤,选择需要调用的工具,生成工具参数,根据返回结果继续下一步,在失败时重试,在缺少信息时补全。
这意味着,AI 不再只是一个语言模型,而开始成为执行链路的一部分,能把一句自然语言请求,转化为一连串真实的系统动作。比如用户说"帮我处理一下这批客户退款",AI 可能会读取客户列表、判断退款条件、调用订单系统、生成退款金额、提交退款请求、更新状态、发送通知。从用户角度看,这很方便;但从安全角度看,这意味着一个模糊的意图,已经穿透了多个系统,并最终影响了真实业务。如果没有执行边界,AI 的每一步判断都可能被直接转化为动作,这就是风险的核心。
三、错误答案和错误执行不是一回事
很多人习惯用"AI 会不会答错"来理解风险。但在执行场景里,错误答案和错误执行,完全不是一个级别。
AI 答错了一个问题,通常还有修正空间:人可以发现,可以不采纳,可以重新问,可以交叉验证。但 AI 执行错了一个动作,结果可能已经发生——钱可能已经转出,权限可能已经开放,数据可能已经导出,服务器可能已经被修改,合约交易可能已经广播,密钥可能已经被使用。这些不是"回答不准确",而是现实状态的改变。
错误答案可以删除,错误建议可以忽略,错误草稿可以修改,但错误执行未必能轻易恢复。
尤其是在不可逆或半不可逆的场景里,执行错误的成本远高于认知错误。这就是为什么,AI 安全不能只围绕"模型输出质量"来讨论。当 AI 拥有执行能力时,核心问题必须变成:它能执行什么?在什么条件下执行?谁允许它执行?谁能阻止它执行?执行前有没有独立检查?执行后有没有可验证的证据?
这里有一个容易被忽略的维度:可逆性本身,在不同动作之间差异极大,而人们往往用同一套心态去对待它们。发一封邮件,理论上可以再发一封更正的邮件去补救,虽然尴尬但可挽回;而一笔已经上链广播的加密资产转账,或者一次已经把敏感数据推送到外部的导出操作,几乎没有"撤回"这个选项。同样是"AI 执行错了一步",前者是可以事后修补的失误,后者是无法回头的既成事实。如果一套系统对这两类动作施加的执行控制强度是一样的,那它要么在低风险动作上过度设防、拖累效率,要么在高风险动作上防护不足、埋下隐患。真正合理的做法,是让执行控制的强度,与动作的不可逆程度相匹配。
四、工具调用改变了 AI 的安全属性
Tool Calling 看起来只是一个产品功能——模型调用工具,工具返回结果,模型继续处理。但从架构角度看,它改变的是 AI 的安全属性。
在没有工具调用时,AI 主要影响信息空间:它生成文字、图片、代码、分析,它影响人的判断,但不直接改变外部系统。加入工具调用之后,AI 开始影响执行空间,可以通过工具改变系统状态。这一步非常关键,因为安全边界不再只是模型边界,还包括工具边界、权限边界、数据边界、API 边界、执行边界、审计边界和回滚边界。
一个 AI Agent 的风险,不只取决于模型有多聪明,也取决于它连接了哪些工具。连接日历是一种风险,连接邮箱是另一种风险,连接 CRM 是更高风险,连接支付系统风险进一步上升,而连接云资源、生产脚本、资产转移、密钥系统和设备控制,就是完全不同的安全等级。所以,讨论 AI 安全时,不能只问模型是什么,还要问:它能碰到什么?能力边界,才是 Agent 安全的关键。
五、AI 的危险来自"能力 + 权限 + 连续性"
一个 AI Agent 真正危险,不是因为它单独具备某一种能力,而是因为三件事叠加在一起:能力、权限、连续性。能力,是指它能理解目标、生成计划、调用工具、处理反馈;权限,是指它可能获得访问系统、调用接口、读写数据、触发流程的资格;连续性,是指它可以在多个步骤之间保持上下文,并持续推进任务。
这三者叠加之后,AI 就不再是一个工具,而更像一个自动执行体。它不只是执行一条固定命令,而会根据目标选择路径,根据返回结果调整动作,把多个工具串起来,把一个模糊请求转化为一串连续行为。这就和传统自动化脚本不同——脚本通常是固定路径,AI Agent 则可能是动态路径。这既是它的价值,也是它的风险,因为动态路径意味着:
你很难提前枚举所有执行分支,很难保证每一步都符合原始意图,很难确认工具调用没有超出边界。
所以,AI Agent 的安全问题,不能只靠"给它更好的提示词"。提示词可以约束行为,但不是执行边界;真正的执行能力,必须有系统级的边界来控制。
传统脚本和 AI Agent 之间的这种差异,值得再多说一句。一个传统的自动化脚本,它的每一条执行路径,本质上都是开发者在编写时就已经确定好的——它会调用哪些接口、按什么顺序、传什么参数,都写在代码里,可以被逐行审查,可以被完整测试覆盖。安全团队面对它时,至少知道"它可能做什么"是一个有限且可枚举的集合。而一个 AI Agent 面对同一个任务,可能这一次选择了 A 路径,下一次因为上下文略有不同就选择了 B 路径,甚至在遇到某个意料之外的返回结果时,临时决定调用一个此前从未用过的工具。它的行为空间不是被提前写死的,而是在运行时根据情况动态生成的。这种灵活性正是它强大的原因,但也意味着,你没法像审查脚本那样,事先把它所有可能的动作都检查一遍——你只能在每一个动作真正发生的那一刻,去判断它是否越界。
六、AI 会把"意图"快速转化为"现实动作"
系列前一篇我们说过:Intent 不是 Execution。AI 的风险恰恰在于,它会加速 Intent 到 Execution 的转换。
过去,一个人的意图要变成现实动作,中间有很多环节:他说出来,别人理解,写成申请,进入系统,等待审批,人工执行,最终落地——每一步都有摩擦。AI Agent 则会大幅减少这些摩擦,用户只需要说一句"帮我把这件事处理掉",Agent 可能就开始理解任务、调用系统、生成参数、执行动作、反馈结果。这会让业务效率大幅提升,但也会让风险发生得更快。
因为意图本来就是模糊的。"处理掉"是什么意思?"优化一下"是什么意思?"必要时修复"是什么意思?人类在沟通中会补充、确认、追问,而 AI Agent 可能会根据上下文自动补全。补全是能力,也是风险——因为一旦补全结果进入执行链路,就可能产生真实后果。所以在 AI 时代,安全系统必须意识到:自然语言意图不是可以直接执行的安全对象,它必须被转换、约束、验证,并在最终执行前重新检查。
七、真正的问题不是 AI 会不会犯错,而是犯错后能不能造成后果
任何系统都会犯错:人会犯错,软件会犯错,AI 也会犯错。问题不在于能不能彻底消灭错误,而在于——错误能走多远?
如果 AI 只在草稿里犯错,影响有限;如果在建议里犯错,仍然可以被人拦住;如果在计划里犯错、但没有工具权限,风险还停在纸面;如果在工具调用前被独立检查,错误可能被拦截。但如果 AI 的错误可以直接进入执行端,它就会造成现实后果。
执行控制的核心价值,不是假设 AI 永远正确,而是假设 AI 可能出错,并提前限制错误能走多远。
安全系统不能建立在"AI 不会犯错"的幻想上,它必须建立在"即使 AI 犯错,也不能让错误直接变成灾难性执行"之上。这才是成熟的工程思维——真正可靠的系统,不是要求上游永远干净,而是设计好下游的边界。上游可以有误解、有噪声、有诱导、有不完整的上下文,但高风险执行,必须在最后一刻被独立控制。
八、为什么"让模型更聪明"不够
很多人会认为:只要模型更强,问题就会减少——它更会推理,更能理解业务,更能识别风险,更能遵守规则。这些当然有帮助,但它不能替代执行边界,因为模型再聪明,仍然处在发起侧和解释侧。
它可能被提示注入影响,可能被上下文污染,可能被工具返回误导,可能根据错误数据做出"正确"的推理,可能在局部目标下做出看似合理但整体危险的动作,可能为了完成任务而过度补全。更重要的是:聪明不等于有边界。一个非常聪明的系统,如果拥有过大的执行权限,仍然危险;甚至某种意义上,更聪明的 Agent 一旦没有边界,风险可能更大,因为它更会找路径、更会绕过阻碍、更会把模糊目标转成可执行步骤。
所以,AI 安全不能只靠提升模型能力,必须区分三件事:Capability(它会不会做)、Authority(它能不能做)、以及执行控制(它在什么条件下才被允许真的做)。把这三件事混在一起,是 AI 时代非常危险的架构错误。
"更聪明反而可能更危险"这个判断,初听有些反直觉,但它背后的逻辑其实很清楚。安全防护在很多时候,依赖的恰恰是攻击者或系统"不够聪明"——一道简单的规则拦截之所以有效,是因为它挡住的对象无法灵活地绕过它。而一个能力越强的 Agent,越擅长在约束条件下寻找达成目标的替代路径。当它被一个明确的目标驱动,又发现常规路径被某条规则挡住时,一个足够强的模型完全可能"创造性"地找到一条规则没有覆盖到的旁路,去达成同一个目标。它这样做时,甚至不带任何恶意,只是在忠实地完成被交代的任务。这就是为什么,能力的提升如果没有边界的同步收紧,安全水位不升反降——你给了它更强的解题能力,却没有同步告诉它哪些解法是绝对不允许的。
九、执行权必须从 AI 能力中拆出来
AI 可以拥有能力:可以理解任务、生成方案、推荐动作、准备参数、分析风险、辅助审批、给出执行建议。但这不意味着 AI 应该自动拥有执行权。执行权必须被单独设计、单独授予、单独限制、单独验证。
尤其在高风险场景里,AI 不能因为"理解了任务",就自动获得"执行任务"的资格。理解和执行之间,必须有边界:AI 可以生成付款建议,但不能直接付款;可以识别需要开权限,但不能直接开最高权限;可以写脚本,但不能直接在生产环境运行;可以分析资产转移路径,但不能直接签名广播;可以建议数据导出范围,但不能直接导出全部数据。
这不是不信任 AI,而是不把执行权和认知能力绑定在一起。过去很多系统把"有权限的人"看成执行主体,AI 时代必须进一步拆开:
会做,不代表能做;能做,不代表可以做;可以做,也不代表现在应该做;现在应该做,也必须证明它确实按边界执行。
这就是执行控制层存在的原因。
十、AI 时代需要"最后一米"的安全
很多安全机制停在前面:身份认证确认是谁,权限系统确认能不能访问,审批系统确认是否允许,风控系统确认是否异常,日志系统记录发生了什么。这些都重要,但 AI 执行场景里,还缺一个问题:在动作真正发生前的最后一米,谁负责拦住它?
这是最关键的一米——付款前的最后一米,广播前的最后一米,导出前的最后一米,开权限前的最后一米,执行脚本前的最后一米,使用密钥前的最后一米。AI 可以参与前面的理解、计划和建议,但最后一米不能只靠 AI 自己说"我认为可以",因为一旦它越过这一步,系统状态就会改变。
所以,AI 时代需要的不是更多"相信 AI",而是更清楚地定义:AI 可以走到哪里,哪里必须停下来,哪里必须交给独立边界。这不是保守,而是让 AI 真正能进入真实业务的前提——没有最后一米的控制,企业只会在低风险场景里使用 AI;有了最后一米的控制,AI 才有可能安全地触碰关键业务。
之所以强调"最后一米",是因为前面所有环节的判断,都是基于当时的信息做出的,而现实会在这段距离里继续变化。身份认证发生在会话开始,权限判断发生在任务分配,审批发生在计划成型——这些都在动作真正落地之前,有时甚至提前了很久。在这中间的每一秒里,参数可能被改动,环境可能被攻破,上下文可能被污染。最后一米之所以关键,正是因为它是唯一一个"判断时刻"和"执行时刻"几乎重合的位置。只有在这里做的核验,才真正对应即将发生的那个动作本身,而不是对应一个可能已经过时的、更早时候的状态快照。
十一、执行控制不是反 AI,而是让 AI 能被真正使用
很多人听到"限制 AI 执行",会以为这是反自动化。其实正好相反。真正阻碍 AI 进入核心业务的,不是能力不够,而是边界不清。企业不是不想让 AI 做更多事,而是不敢让 AI 碰真正重要的事——不敢让它付款,不敢让它开权限,不敢让它改生产,不敢让它管密钥,不敢让它自动处理高价值资产。为什么不敢?因为一旦出错,后果太真实。
所以,要让 AI 真正进入业务深水区,靠的不是盲目信任,而是执行边界。AI 负责生成能力,执行控制负责定义边界;AI 负责把事情做出来,执行控制负责决定事情能不能真的发生;AI 提升生产力,执行控制限制失控半径。这两者不是冲突关系,而是互补关系——没有 AI,系统缺少效率;没有执行控制,系统缺少安全边界。未来真正成熟的 AI 系统,不是让 AI 无限制执行,而是让 AI 在清晰的边界内执行。
十二、AI 时代真正要治理的是执行权
如果只看表面,AI 风险像是模型问题;深入一点看,它其实是权限问题;再深入一点看,它是执行权问题。谁能发起动作?谁能选择工具?谁能生成参数?谁能触发执行?谁能越过限制?谁能在最后一刻否决?谁能证明最终发生了什么?这些问题,才是 AI 进入真实业务后必须回答的。
AI 越强,越不能让执行权模糊。因为越强的系统,越能把意图变成动作,越能连接多个工具,越能连续推进目标,也越容易让人误以为"它懂了,所以它可以做"。但懂了,不代表可以做;会做,不代表应该做;应该做,不代表可以绕过边界。执行权必须独立出来——这不是 AI 时代的附加安全措施,而是一个基础架构问题。
结语
AI 真正危险的不是会思考,而是能执行。会思考,只是影响判断;能执行,才会改变现实。
当 AI 只能回答问题时,人仍然站在最后一步;当 AI 能调用工具时,它就开始进入执行链路;当 AI 能连续调用多个工具时,它就可能把一个模糊意图变成一串真实动作;当 AI 能触碰付款、权限、数据、脚本、密钥、资产和设备时,安全模型就必须重新设计。这个时代真正需要问的,不是 AI 是否聪明,而是:它能执行什么?执行前谁控制?执行中谁限制?执行后谁证明?出错时损失能不能被限制在边界内?
这也是本系列接下来要继续展开的地方:Tool Calling 表面上只是改变了交互方式,实际上悄悄改写了整套安全模型;审批和真实执行之间,那道被称为 Execution Gap 的缝隙,究竟是怎么被打开又是怎么被利用的;为什么静态的审批规则,天生挡不住动态发生的执行风险;为什么当执行系统和审批系统处在同一个信任域里,软件往往管不住软件;为什么真正的执行控制,必须独立于业务系统之外单独存在;不可绕过、防篡改、可验证,为什么是执行控制层不可退让的底线;一个只能说"不"的系统,为什么反而是最安全的设计;以及,把执行权真正关进笼子,会成为 AI 时代新的安全常识。
AI 会越来越强,工具调用会越来越普遍,Agent 会越来越多地进入真实业务。这不是坏事,但前提是,执行权不能被悄悄交出去。AI 可以拥有能力,但执行必须有边界。因为在 AI 时代,真正决定安全的,不是模型说了什么,而是系统允许它做了什么。