AI Agent 正在消除企业的“摩擦”屏障,企业需重新设计“门闩”机制
文章指出,AI Agent 在提升企业效率的同时,正在系统性地消除流程中依赖人形成的天然停顿(摩擦),而这些摩擦过去是免费的安全系统。通过孟加拉央行被盗和骑士资本亏损两个案例,说明“麻烦”曾拦住灾难。文章分析 AI 带来的结构性变化:错误加速、阻力变小、AI 能包装错误。企业安全重心应从“钥匙”(谁可发起)转向“门闩”(什么动作可真正执行),并给出了合格门闩的四个条件。
事件概述:两个价值十亿美元的“等一下”
- 孟加拉央行被盗(2016年):黑客通过真实凭证发起近十亿美元转账,系统视为正常。最终因收款方名称拼写错误("foundation"写成"fandation"),被中转行员工打电话核实后拦住后续八亿多美元损失,但已放行的8100万美元大部分未追回。
- 骑士资本(Knight Capital)亏损(2012年):因一段错误旧代码被激活,交易系统45分钟内自动执行数百万笔错误订单,亏掉约4.4亿美元,公司几天内濒临倒闭。整个过程中没有黑客,每一笔订单在系统看来都是合法的,唯一问题在于流程太顺。
共同启示:拦住灾难的是摩擦(麻烦),放跑灾难的是顺滑。企业流程中的“低效率”环节(如复核、审批、等待)充当了隐形安全系统,现在被AI Agent系统性地拿走。
核心信息:AI Agent 带来的结构性安全变化
AI Agent 不同于以往只加速单一环节的工具,它将多个分散步骤连成连续动作,抹掉了环节之间的缝隙。这带来三个被低估的变化:
- 错误传播速度从分钟级缩短到秒级(骑士资本45分钟亏4.4亿美元,AI Agent 可能在数秒内完成)。
- 错误动作在流程中的阻力变小:审批人只能看到AI生成的动作摘要,无法掌握全部执行参数,难以发现错误。
- AI 能为错误动作生成看似合理的说明,将异常包装成正常。
风险分析:合法授权下的错误执行
企业风险核心藏在展示层、审批层与执行层的语义缝隙中:审批页面显示的是概括性描述,但真实执行包含具体参数。AI 接管“翻译”和“执行”后,审批人看到的是摘要,系统执行的是参数,两者间存在语义差异。审批通过只能证明流程走完,不能证明动作正确。这类风险不表现为异常,而是披着合法合规的外衣——账号、权限、审批全为真实,仅最终执行动作错误,现有安全体系很难识别。
安全重心迁移:从“钥匙”到“门闩”
过去企业安全围绕“钥匙”构建(谁能登录、谁能发起),核心解决进入资格和发起资格。AI Agent 进入执行链后,必须增加独立的“门闩”机制,判断动作是否该真正执行,将发起资格和执行资格拆分。这不是回到低效率,而是把原来靠人形成的天然停顿用工程结构重新补全。
合格门闩的四个不可妥协的条件
- 拆分发起权与执行权:任何一方不能因发起、审批就天然拥有最终执行权,高风险动作最后一步必须单独重新判断。
- 校验真实执行内容,而非仅核对流程状态:必须绑定并核对对象、金额、参数、时间、上下文、调用方式等真实执行内容。
- 拥有独立阻断能力:不仅记录日志,还能在必要时让动作真的过不去(拒绝执行)。
- 独立于发起、审批、解释所在的信任域:避免被同一套软件逻辑攻破。
结论
未来衡量企业自动化成熟度的标准将从“能自动完成多少”转向“能证明在哪里停得住”。停得住的自动化才敢全速推进。文章最后强调:AI 不会拼错单词,下一次能拦住灾难的只能是企业亲手装回去的那道门闩。
