Havenlon|AI 时代的执行安全语言体系(九):对抗性完整 Part 3
Working Draft · AI Era Execution Security LanguageThis article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.AI 时代执行安全语言体系工作草案本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案 将随着理论研究、工程实践和社区讨论持续修订。17. Authorized Misuse授权滥用一句话定义授权滥用是主体利用自己真实拥有的合法权限完成超出合理目的、范围或治理预期的动作。严格定义授权滥用不需要凭证被盗。主体可能是权限的合法持有人但使用权限操作不应操作的对象扩大执行范围绕过业务目的在异常时间执行重复使用一次性授权将权限用于私人目的组合多个有限权限形成危险能力。授权回答“谁可以做什么”但不能单独回答为什么做、在什么情况下做、最多能做多少以及结果是否仍然可接受。上位概念权限滥用合法路径滥用下位概念管理员授权滥用Owner 授权滥用API 权限滥用密钥授权滥用Agent 工具权限滥用相关概念Authorization ≠ Safe ExecutionInsider MisusePurpose LimitationBlast RadiusLeast Privilege约束机制目的绑定最小权限动态范围时间限制额度限制高风险动作共同治理独立证据。结果目标让合法权限持有者也不能超出治理边界独自造成灾难。在 Havenlon 中合法身份和授权只允许主体进入提议或审批流程不能自动获得无上限的执行实施权。18. Insider Misuse内部人员滥用一句话定义内部人员滥用是组织内部拥有合法身份、知识或权限的人员故意或非故意地利用这些条件造成异常执行。严格定义内部人员风险包括主动作恶受贿或胁迫判断错误误操作违反流程凭证共享绕开审计在离职前批量操作帮助外部攻击者完成关键步骤。内部人员比外部攻击者更了解正常业务流程审批习惯管理员后门恢复机制哪些告警会被忽略如何让异常行为看起来正常。上位概念内部威胁授权滥用下位概念管理员滥用审批者滥用运维人员滥用开发人员滥用供应链人员滥用相关概念Authorized MisuseGovernance CaptureMulti-Layer CollusionSeparation of DutiesNon-Transferable Authority约束机制职责分离双人或多人治理生产访问隔离高风险操作冷静期设备签名证据离职与身份撤销无单方灾难性权力。结果目标让组织内部任何单个人都无法仅凭自身权限完成灾难性执行并抹除证据。在 Havenlon 中Owner、成员、运维人员和后台管理员均被视为有限信任角色不存在不受约束的超级主体。19. Partial Compromise部分失陷一句话定义部分失陷是系统中的一个或多个组件、身份或信任域已经失去可信性但系统整体尚未完全失控的状态。严格定义现实攻击往往不是一次控制全部系统而是逐步获得一个应用账户一个 SaaS 管理员一个审批成员一个设备凭证一个 Policy 来源一个执行节点一段通信路径。部分失陷是分层不信任设计必须处理的基本状态。系统不能因为某一层失陷就立即把其他层视为同时失陷也不能因为其他层仍然正常就忽略该层带来的风险。上位概念系统失陷对抗性完整下位概念单组件失陷单身份失陷单信任域失陷单策略来源失陷部分治理失陷相关概念Compromised ComponentCoordinated CompromiseBlast RadiusFailure ContainmentLayered Distrust约束机制信任域隔离权力不自动继承撤销和隔离剩余层重新验证临时降低额度Safe Mode物理恢复。结果目标让系统在部分失陷后仍然能够拒绝危险执行限制损失保留证据完成安全恢复。在 Havenlon 中Havenlon 的基本设计目标不是证明所有层都安全而是在一层或数层失陷时仍然保留其他独立约束。20. Coordinated Compromise协同失陷一句话定义协同失陷是多个组件、身份或信任域同时被同一攻击者控制并配合完成攻击的状态。严格定义协同失陷可能包括应用与 SaaS 同时失陷管理员与审批账户同时失陷Policy 来源与审批界面同时被控制仲裁域与通信通道同时失陷多个治理成员的凭证被统一控制。协同失陷比部分失陷更危险因为攻击者可以利用不同层的合法输出相互证明。例如恶意应用生成请求恶意 SaaS 返回审批通过被污染的 Policy 返回允许被控制的管理员确认异常状态正常。上位概念部分失陷多点攻击下位概念跨域协同失陷多身份协同失陷管理与审批协同失陷Policy 与应用协同失陷相关概念Multi-Layer CollusionCross-Domain Authority InheritanceGovernance CaptureFailure ContainmentCatastrophic Authority约束机制保留至少一个独立物理边界多种不同控制来源硬限制不可被远程修改高风险动作冷静期异常组合检测恢复与替换机制限制最大不可逆损失。结果目标使攻击者即使控制多个软件层仍需跨越独立的本地、硬件或共同治理约束。在 Havenlon 中应用与 SaaS 同时失陷不应直接获得最终执行实施权。Arbiter、Security Domain、本地状态和物理约束仍然独立存在。21. Multi-Layer Collusion多层共谋一句话定义多层共谋是多个原本承担独立职责的主体主动协同利用各自合法权力共同绕过系统约束。严格定义多层共谋与协同失陷的区别是协同失陷强调多个组件被同一攻击者控制多层共谋强调多个合法控制者或组件主动合作作恶。多层共谋可能包括Owner 与审批成员共谋管理员与运维人员共谋Policy 管理者与执行人员共谋多个治理成员联合转移资产供应链和设备管理员共同替换系统SaaS 运营方与本地管理者共同伪造状态。任何治理系统都有共谋边界。对抗性完整不能宣称可以绝对阻止所有合法治理主体全部协同作恶。系统能够做的是提高共谋门槛增加所需参与方延长攻击时间限制单次损失保留独立证据提供发现与恢复窗口。上位概念治理风险对抗性完整下位概念治理成员共谋管理员共谋软件与人员共谋供应链共谋多信任域共谋相关概念Coordinated CompromiseGovernance CaptureCollusion Limit共谋边界Joint GovernanceResidual Risk剩余风险约束机制多样化治理主体物理存在要求时间延迟限额外部证据归档不可删除记录关键变更公开可见分阶段生效。结果目标让共谋需要更多主体、更长时间和更高成本同时限制共谋成功后的最大损失。在 Havenlon 中共同治理不是“多数人永远正确”而是降低单方失陷风险。对于广泛共谋Havenlon 通过限额、延迟、物理恢复和证据链限制后果。22. Attack Surface of Results结果攻击面推荐英文标准名Outcome Attack Surface结果攻击面Attack Surface of Results可保留为历史表达但不建议作为最终英文标准名。一句话定义结果攻击面是所有能够改变最终执行结果、结果范围、结果对象或结果证据的入口和控制关系。严格定义传统攻击面通常关注开放端口API登录界面软件漏洞网络服务外部输入。结果攻击面关注的范围更广谁能够修改执行对象谁能够改变金额谁能够放宽 Policy谁能够诱导审批谁能够改变执行路径谁能够调用执行工具谁能够修改治理状态谁能够删除或重写证据谁能够控制恢复和升级机制。因此一个不直接暴露网络接口的组件也可能构成重要结果攻击面。例如一个可以修改 Policy 的内部管理员虽然不直接执行动作但可以改变最终结果。上位概念攻击面执行风险下位概念意图攻击面审批攻击面Policy 攻击面执行攻击面治理攻击面证据攻击面升级攻击面相关概念Execution PathAuthority InheritanceCatastrophic AuthorityBlast RadiusAdversarial Execution Path约束机制以最终结果反向分析权限列出所有可改变结果的主体分析隐式权力继承分离结果生成与证明限制管理面约束升级与恢复路径。结果目标从“攻击者能不能进入系统”转向攻击者进入任何一个位置后究竟能把最终结果改变到什么程度在 Havenlon 中威胁建模必须围绕 Intent、Policy、治理、仲裁、执行、证据和恢复的完整结果路径展开而不只是检查网络边界。23. Adversarial Failure对抗性失效一句话定义对抗性失效是系统在面对主动操纵、恶意输入、权限滥用或组件失陷时未能保持原定安全边界的失败。严格定义普通故障可能来自硬件损坏网络断开软件崩溃数据异常。对抗性失效则发生在攻击者主动利用系统行为时。例如系统在断联后自动放宽限制攻击者通过重复请求绕过额度管理员修改 Policy 后立即执行AI Agent 被注入后调用危险工具恢复模式成为绕过治理的入口证据系统在异常时停止记录。对抗性失效的关键特征是攻击者能够预期系统如何失败并利用这个失败模式获得更大执行能力。上位概念系统失效对抗性完整下位概念Fail-Open 对抗失效恢复路径失效Policy 降级失效审批绕过失效证据中断失效相关概念Fail-SecureUnsafe FailureBoundary BypassAdversarial EnvironmentSafe Mode约束机制异常时默认拒绝不确定状态闭锁恢复流程共同治理降级模式不放宽执行权拒绝同样留证故障注入与对抗测试。结果目标让攻击者无法通过主动制造故障迫使系统进入更宽松的状态。在 Havenlon 中通信中断、证据背压、状态不一致或链路异常时系统应进入受限或 Safe Mode而不是自动绕过治理继续执行。24. Adversarial Survivability对抗环境存续能力推荐中文简称对抗存续能力“对抗环境存续能力”可作为完整解释名称。一句话定义对抗环境存续能力是系统在部分组件失陷、输入持续受污染或攻击持续存在时仍能维持关键安全边界、限制损失并完成恢复的能力。严格定义对抗存续不等于系统始终保持全部业务功能。在攻击持续存在时一个具有对抗存续能力的系统可能主动降低额度减少可用功能中断自动化要求更多治理主体参与进入 Safe Mode拒绝高风险动作保留核心证据等待物理恢复。因此对抗存续关注的不是系统能否无条件继续运行。而是系统在不确定和失陷状态下能否以受控方式继续存在而不是迅速滑向灾难。上位概念系统韧性对抗性完整安全恢复下位概念部分失陷存续断联存续SaaS 失陷存续治理异常存续证据背压存续相关概念Resilience韧性Fail-SecureControlled DegradationFailure ContainmentSafe ModeRecovery Boundary核心能力发现异常隔离失陷层保留独立约束降低执行能力保留证据限制不可逆损失支持安全恢复防止恢复路径被滥用。结果目标即使系统不能继续正常运行也不能让攻击者借机获得更大的执行权。在 Havenlon 中Havenlon 在 SaaS 断联、Policy 不一致、证据背压或设备状态异常时可以进入受限状态。安全边界优先于业务连续性。本章中的攻击者定义Havenlon 不把攻击者限制为系统外部的入侵者。攻击者包括但不限于外部黑客 失陷的用户身份 被盗用的管理员账户 主动越权的 Owner 被诱导的审批者 受到提示注入的 AI Agent 被污染的 Policy 来源 行为异常的 SaaS 被替换的应用组件 被误用的硬件设备 恶意的恢复流程 被操纵的业务上下文 协同作恶的治理成员 能够改变最终执行结果的供应链角色更准确的定义是任何能够影响意图、展示、审批、策略、治理、仲裁、执行、证据或恢复并由此改变最终执行结果的主体都是威胁模型中的潜在攻击者。对抗性完整的层级关系Adversarial Assumption对抗性假设 ↓ 承认系统运行于 Adversarial Environment对抗环境 ↓ 识别可能出现的 ├── Adversarial Input对抗输入 ├── Adversarial Context对抗上下文 ├── Adversarial Policy Source对抗性策略来源 ├── Compromised Component失陷组件 ├── Malicious Component恶意组件 └── Misused Component被误用组件 ↓ 攻击可能形成 ├── Induced Approval诱导审批 ├── Polluted Intent污染意图 ├── Policy Poisoning策略污染 ├── Governance Capture治理劫持 ├── Legitimate-Path Abuse合法路径滥用 ├── Authorized Misuse授权滥用 └── Insider Misuse内部人员滥用 ↓ 进一步发展为 ├── Partial Compromise部分失陷 ├── Coordinated Compromise协同失陷 └── Multi-Layer Collusion多层共谋 ↓ 最终攻击 Outcome Attack Surface结果攻击面 ↓ 可能造成 Adversarial Failure对抗性失效 ↓ 系统必须具备 Adversarial Survivability对抗存续能力对抗性完整与传统完整性的区别传统完整性通常关注数据有没有被修改 消息是不是来自合法身份 签名是否有效 文件是否保持一致对抗性完整进一步询问合法身份是否可能被滥用 正确数据是否可能表达错误语义 真实审批是否可能受到诱导 有效签名是否可能对应危险执行 正常 Policy 是否可能被污染 合法路径是否可能被用于攻击 部分失陷是否能够传播为完整失陷 系统失败时是否反而放宽了执行权因此数据保持完整不代表执行意图完整。密码学验证正确不代表执行结果正确。每一个组件都按照协议运行也不代表整个系统没有被对抗性利用。对抗性完整的验证问题评估一个系统是否具备对抗性完整至少应回答应用完全失陷后最多能做什么SaaS 完全失陷后最多能做什么Owner 凭证被盗后最多能做什么一个审批者被诱导后是否会直接执行Policy 来源返回错误允许后还有谁能够拒绝合法身份能否通过正常接口完成灾难性动作能否通过修改治理规则立即绕开限制两个或三个关键层同时失陷后还剩哪些独立边界攻击者能否通过制造故障让系统进入更宽松状态执行者能否删除或重写自己的执行证据恢复路径是否比正常路径拥有更高权限当系统不能确认当前状态时是继续执行还是停止执行如果这些问题没有明确答案系统就不能被认为具备完整的对抗设计。本章核心公理对抗性完整不要求每一层永远可信而要求任何一层不可信时系统仍然存在可以阻止灾难的其他边界。攻击者不只是非法进入系统的人也包括能够通过合法身份、合法流程和合法组件改变最终执行结果的主体。真正危险的攻击不一定绕过规则它也可能让所有规则看起来都被正确执行。一个组件没有漏洞不代表它不会被误用一个请求完全合法不代表它的结果可以接受。系统不能只防止组件被攻破还必须限制组件被攻破之后能够造成的最大后果。对抗环境中的安全不是始终保持全部功能而是在不确定状态下仍然能够拒绝、降级、留证和恢复。Havenlon 对对抗性完整的基本回应Havenlon 不承诺防止所有攻击也不假设可以找到一个永远正确的最终组件。它采用的是另一种方法假定任意单层都可能失陷限制每一层拥有的权力阻止权力跨信任域自动继承让多个独立约束共同限制执行让任一来源的允许都不是充分条件在最终执行前保留独立否决能力通过限额、限频、时间和范围约束限制灾难半径让执行、拒绝、失效和恢复都留下可验证证据在状态不确定时优先停止高风险执行即使无法完全阻止共谋也要增加共谋成本、延长攻击时间并限制最大损失。最终原则是对抗性完整不是证明系统永远不会被攻破而是确保系统中的任何局部失陷都不能未经其他独立约束直接成为灾难性执行。