Havenlon|AI 时代的执行安全语言体系(六):执行缝隙 Part 2

📅 2026/7/18 4:25:46
Havenlon|AI 时代的执行安全语言体系(六):执行缝隙 Part 2
Working Draft · AI Era Execution Security LanguageThis article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.AI 时代执行安全语言体系工作草案本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案 将随着理论研究、工程实践和社区讨论持续修订。11. Payload Substitution载荷替换一句话定义载荷替换是经过提议、展示、审批或签名的执行载荷被另一个不同载荷替代的行为。严格定义载荷替换可以发生在UI 到后端之间审批系统到执行系统之间仲裁域到执行域之间签名前与签名后本地设备到广播服务之间自动化工作流的不同节点之间。替换后的载荷可能仍然格式合法签名有效权限允许接口可接受。因此载荷替换不一定表现为协议错误它可能通过完全合法的执行路径发生。上位概念执行缝隙内容替换下位概念完整载荷替换部分载荷替换签名前替换签名后替换广播载荷替换相关概念Parameter SubstitutionObject SubstitutionPayload IntegrityIntentHashFinal Signing Payload风险来源中间数据库可修改不同阶段重新生成载荷审批只绑定请求 ID签名没有覆盖完整字段执行服务接受任意封装上游软件控制最终广播。约束机制载荷哈希全字段签名IntentHash 绑定步骤链执行域重新解析固定消息协议广播回执校验。结果目标保证从审批到执行使用的是同一个确定载荷。在 Havenlon 中FinalSigningPayload 和 chain_digest 用于绑定关键执行内容任何字段变化都会使最终验证失败。12. Parameter Substitution参数替换一句话定义参数替换是执行动作类型不变但其中一个或多个关键参数被修改的行为。严格定义参数替换可能涉及金额数量时间权限级别资源范围重试次数有效期目标环境设备编号合约参数。参数替换的危险在于它经常不会改变动作表面类别。例如仍然是转账但金额改变仍然是数据导出但范围扩大仍然是权限授予但角色升级仍然是服务重启但对象变成全部节点。上位概念载荷替换下位概念金额替换范围替换时间替换权限参数替换环境参数替换相关概念Object SubstitutionAmount IntegrityScope LimitPayload BindingSemantic Gap风险来源默认参数类型转换数值溢出单位错配前端隐藏字段Agent 自动补全执行前参数重写。约束机制参数白名单参数范围单位显式化关键参数逐项绑定审批时完整展示最终执行重新验证超限默认拒绝。结果目标保证被审批的动作规模、时间和范围不会在执行前被扩大。在 Havenlon 中金额、币种、目标、链标识、密钥槽位和执行槽位等参数进入最终签名载荷。13. Object Substitution对象替换一句话定义对象替换是执行动作指向的目标对象被替换而动作类型和其他参数可能保持不变的行为。严格定义对象可以是收款地址用户账户文件数据库服务器设备合约证书治理成员权限角色。对象替换尤其危险因为界面或审批流程可能只展示对象的名称、别名或缩略信息。攻击者可以让系统表面上仍然执行同一种动作但实际作用于另一个目标。上位概念载荷替换下位概念地址替换账户替换文件替换设备替换成员替换合约替换相关概念Destination IntegrityObject IntegritySemantic GapDisplay-to-Execution GapAddress Poisoning风险来源对象使用可变别名地址缩写同名资源DNS 或服务发现污染剪贴板替换UI 展示对象与执行对象分离Agent 从错误搜索结果中选择对象。约束机制唯一对象标识地址完整展示对象白名单对象指纹目标与 IntentHash 绑定执行前独立确认对象解析结果固定。结果目标保证动作最终作用于原本被理解和批准的对象。在 Havenlon 中最终执行目标to进入 FinalSigningPayload并与链、金额和 IntentHash 共同绑定。14. Execution Drift执行漂移一句话定义执行漂移是一次动作在经过多个处理阶段后最终结果逐渐偏离原始意图或批准范围的现象。严格定义执行漂移不一定由一次明显替换造成。它可能由多次微小变化累积形成参数被自动调整默认值被补充执行时间被延后工具被替换执行范围被扩大重试次数增加外部系统返回不同解释后续流程继续派生动作。单独看每一步都可能“合理”但整体结果已经不再是最初批准的动作。上位概念执行缝隙状态漂移下位概念参数漂移对象漂移时间漂移范围漂移结果漂移相关概念Intent DriftContext DriftScenario DriftApproval DriftExecution Path Mutation风险来源长执行链多系统转换AI 自主规划自动重试模糊目标动态参数后续动作未重新审批。约束机制每一步与原始 Intent 绑定派生动作重新生成意图最大执行范围最大步骤数重试上限关键状态重新审批结果与原始目标比对。结果目标防止一次被批准的小动作在执行链中逐渐演变为更大、更广或不同性质的动作。在 Havenlon 中Step Hash 和链式签名记录每一步变化。超出原始意图范围的派生动作必须重新进入治理和仲裁流程。15. Context Drift上下文漂移一句话定义上下文漂移是执行过程中与风险判断相关的环境条件逐渐发生变化而系统仍继续沿用原有判断的现象。严格定义上下文漂移可能发生在身份状态设备位置时间窗口网络环境成员关系Policy 版本风险等级资产余额业务阶段系统健康状态。与 Context Gap 相比Context Gap 强调两个时点之间存在差异Context Drift 强调上下文在执行过程中逐步变化。上位概念执行漂移上下文风险下位概念身份上下文漂移时间上下文漂移地理上下文漂移治理上下文漂移设备状态漂移相关概念Context GapContext IntegrityTimeGuardDistanceGuardPolicy Freshness风险来源长时间运行的 Agent长事务离线审批延迟执行设备移动成员关系变更风险状态更新不及时。约束机制上下文有效期周期性重新验证关键状态变化触发中断位置与时间约束治理版本绑定长任务分段提交。结果目标保证执行过程中环境发生重大变化时系统能够停止或重新判断。在 Havenlon 中TimeGuard、DistanceGuard、治理版本和本地设备状态用于识别上下文变化必要时进入 Safe Mode。16. Scenario Drift场景漂移一句话定义场景漂移是原本为某一业务环境、风险级别或使用模式设计的逻辑被复用到新的场景后其安全假设不再成立的现象。严格定义同一段代码、Policy 或执行流程在原场景中可能安全但在新场景中可能失效。场景变化可能包括从人工操作变为自动执行从低金额变为高金额从测试环境变为生产环境从单用户变为多租户从内部网络变为互联网暴露从一次调用变为高频批量调用从辅助建议变为 AI Agent 自主执行。场景漂移的核心问题是系统复用了原来的实现却没有重新验证原来的安全假设。上位概念执行漂移上下文漂移设计假设失效下位概念环境漂移规模漂移自动化程度漂移风险等级漂移用户群体漂移相关概念Context DriftReuse RiskAutomation Blast RadiusLegacy AssumptionAdversarial Completeness风险来源成功代码直接复用Policy 复制测试流程迁移到生产手工流程改为自动化AI 接入旧系统业务规模扩大安全边界未随场景变化调整。约束机制场景建模风险重新评估Policy 重新绑定执行额度随场景调整自动化上线前增加独立边界旧逻辑不得默认继承新执行权。结果目标防止“过去安全”被错误推导为“在新场景中仍然安全”。在 Havenlon 中执行器、Policy、额度和治理要求必须绑定具体场景不能因为接口兼容就自动继承原有执行权限。17. Intent Drift意图漂移一句话定义意图漂移是执行链对原始目标的解释在处理过程中逐渐发生变化的现象。严格定义意图漂移可以发生在自然语言解释AI 任务分解业务规则转换多轮对话自动化流程派生人工转述跨系统映射。例如最初目标是恢复某一个服务。经过 Agent 规划后可能逐步变成重启相关服务、清理缓存、更新配置、重置证书并重启整个集群。每一步都可能被解释为“为了完成原目标”但最终动作已明显超出原始授权。上位概念执行漂移意图风险下位概念目标扩张目标替换派生意图任务分解漂移多轮对话漂移相关概念Intent-to-Execution GapMachine-Initiated IntentExecution DriftTool-Call Execution GapScope Creep风险来源模糊目标AI 自主规划任务自动分解多轮上下文污染缺少执行范围子任务未经重新确认Agent 把手段当成目标。约束机制原始目标结构化最大动作范围派生意图显式化高风险子任务重新审批原始 IntentHash 贯穿禁止超范围工具调用任务完成条件明确。结果目标让执行链中的所有派生动作都能被证明仍服务于原始目标并未扩大授权边界。在 Havenlon 中每个执行步骤必须关联原始 IntentHash。超出原意图的动作不能仅作为“子任务”被自动继承执行权。18. Approval Drift审批漂移推荐中文名审批漂移“审批内容漂移”可作为解释性名称。一句话定义审批漂移是审批所覆盖的内容、条件或范围在执行过程中发生变化但原审批仍被继续使用的现象。严格定义审批漂移不仅包括审批内容被修改也包括执行时间改变执行次数增加执行范围扩大对象关系变化风险等级变化Policy 版本变化治理成员变化审批被用于派生动作。例如一个审批可能原本只覆盖一次操作但系统将其解释为一段时间内的持续授权。上位概念执行漂移审批风险下位概念审批内容漂移审批范围漂移审批时间漂移审批次数漂移审批场景漂移相关概念Approval-to-Execution GapApproval ExpiryApproval ReplayIntent BindingGovernance State风险来源审批语义模糊审批有效期过长批量执行复用单次审批派生动作沿用原审批审批未绑定 Policy 版本审批后治理状态改变。约束机制审批作用域有效期使用次数对象与参数绑定Policy 版本绑定派生动作重新审批执行前确认审批仍有效。结果目标保证审批只用于它明确覆盖的对象、范围、时间和次数。在 Havenlon 中审批结果与具体 Intent、步骤、治理状态和有效期绑定不作为无限期或无限范围的通用授权。19. Execution Path Mutation执行路径变异一句话定义执行路径变异是一个动作在执行过程中偏离原定流程经过未被批准、未被验证或风险不同的替代路径完成。严格定义即使最终结果表面相同不同执行路径也可能具有完全不同的安全含义。例如原计划通过受控 API 执行实际改为直接数据库写入原计划使用指定签名设备实际切换到软件密钥原计划经过审批队列实际通过管理员后台绕过原计划单次执行失败后进入自动重试路径原计划在本地执行实际转由云端代理完成原计划经过证据链实际使用紧急通道。执行路径变异可能由故障恢复、性能优化、自动重试、版本兼容或攻击者绕过造成。上位概念执行缝隙执行漂移路径完整性下位概念绕过路径降级路径恢复路径重试路径备用执行路径紧急执行路径相关概念Execution PathBoundary BypassFailoverFallbackEvidence ContinuityCross-Domain Authority Inheritance风险来源隐藏备用接口管理员后门自动降级兼容旧协议重试逻辑绕过检查备用执行器权限过宽紧急恢复机制不受治理。权力边界任何备用、恢复或降级路径都不能因为“不是正常路径”而获得更宽松的执行权。约束机制所有执行路径统一进入控制边界路径标识绑定禁止绕过式 fallback重试继承原始约束恢复路径共同治理备用执行器独立审计路径变化必须留证。结果目标确保系统无论通过正常、重试、恢复还是降级路径执行都不能绕过原有安全约束。在 Havenlon 中执行链、Step Hash 和 Evidence Store 记录动作实际经过的路径。未知路径、链路断裂或未经允许的执行路径必须被拒绝。