Havenlon|AI 时代的执行安全语言体系(八):对抗性完整 Part 2

Havenlon|AI 时代的执行安全语言体系(八):对抗性完整 Part 2
Working Draft · AI Era Execution Security LanguageThis article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.AI 时代执行安全语言体系工作草案本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案 将随着理论研究、工程实践和社区讨论持续修订。9. Malicious Component恶意组件一句话定义恶意组件是主动试图欺骗其他组件、绕过约束或改变最终执行结果的组件。严格定义恶意组件与失陷组件的区别在于失陷组件描述可信状态已经丧失恶意组件描述组件当前主动表现出攻击行为。恶意组件可能发送伪造状态隐藏关键字段构造危险载荷重放旧审批选择最宽松 Policy故意制造状态不同步删除失败记录诱导其他组件进入不安全路径。上位概念对抗性组件对抗性环境下位概念恶意应用恶意 SaaS恶意仲裁器恶意执行器恶意证据节点相关概念Compromised ComponentCoordinated CompromiseCross-Domain Authority InheritanceAdversarial Execution Path约束机制固定协议消息白名单域间重新验证防重放不允许发送自由命令异常行为触发隔离。结果目标让一个组件即使主动说谎也不能要求其他信任域无条件接受其结论。在 Havenlon 中不同域之间只交换有限、结构化、可验证的信息。上游组件不能通过自由消息直接控制下游执行行为。10. Misused Component被误用组件一句话定义被误用组件是本身按照设计正常运行但被人员、软件或流程用于超出原定目的的组件。严格定义误用不一定利用软件漏洞。例如用备份工具批量导出敏感数据用管理员接口完成未经治理的变更用签名设备签署被替换的载荷用恢复机制绕开正常审批用 AI Agent 的生产工具权限执行私人任务用测试接口操作生产资源。被误用组件的危险在于组件自身的日志和状态可能显示“一切正常”。上位概念使用风险对抗性完整下位概念管理工具误用密钥设备误用恢复功能误用AI 工具误用审批流程误用相关概念Authorized MisuseLegitimate-Path AbuseInsider MisusePurpose Limitation用途限制Least Privilege约束机制用途绑定场景绑定范围限制操作额度独立审批高风险功能单独治理使用目的留证。结果目标防止一个合法工具因为“功能正常”而被用于不安全目的。在 Havenlon 中执行槽位、密钥槽位和 Intent 类型必须明确绑定。某个执行能力不能被任意复用于其他业务场景。11. Induced Approval诱导审批一句话定义诱导审批是通过操纵展示、上下文、时间压力或信息来源使审批者对其并未真实理解的动作表达同意。严格定义诱导审批不要求伪造审批人的身份。审批可能完全由真实人员、真实设备和真实凭证完成但审批者基于错误信息作出了真实同意。诱导方式可能包括展示安全摘要但隐藏危险字段使用相似地址或对象名称制造紧急情境伪造管理层指令将危险操作包装成日常流程在大量正常请求中夹带异常请求利用审批疲劳由 AI 生成具有说服力但错误的解释。上位概念审批攻击对抗性输入下位概念UI 诱导紧急情境诱导身份冒充诱导批量审批诱导AI 解释诱导相关概念Approval ≠ ExecutionDisplay-to-Execution GapSocial Engineering社会工程Blind SigningPolluted Context权力边界真实审批只能证明审批凭证被使用不能自动证明审批者理解了真实执行语义。约束机制独立可信显示关键字段完整展示高风险动作冷静期批量操作范围限制最终载荷重新确认审批与执行分离异常模式触发额外确认。结果目标让一次被诱导的真实审批不能直接变成不可逆执行。在 Havenlon 中审批只是约束来源之一。即使审批有效最终动作仍需满足本地 Policy、额度、上下文和执行边界。12. Polluted Context污染上下文一句话定义污染上下文是混入错误、伪造、过期或有意误导信息导致系统对当前执行环境形成错误认识的上下文。严格定义污染上下文可能来自被篡改的数据库恶意网页内容错误检索结果伪造的邮件或工单过期的治理状态被污染的 AI 对话历史错误的风险评分被选择性截取的业务材料。污染上下文与对抗上下文的区别是对抗上下文强调上下文被攻击者主动操纵污染上下文强调系统实际接收到的上下文已经不可靠。上位概念上下文风险对抗性完整下位概念AI 上下文污染业务上下文污染治理上下文污染身份上下文污染Policy 上下文污染相关概念Adversarial ContextContext IntegrityContext DriftPolluted IntentPrompt Injection约束机制来源标记可信度分级多源验证新鲜度检查不可信内容隔离关键状态本地读取污染无法排除时拒绝执行。结果目标避免系统把错误背景当作真实事实并据此完成高风险执行。在 Havenlon 中外部上下文不能单独形成执行许可。最终仲裁依赖可验证的本地状态、治理状态和明确绑定的数据。13. Polluted Intent污染意图一句话定义污染意图是原始执行目标在产生、表达、转换或传递过程中混入了非预期、错误或恶意内容的意图。严格定义污染意图可能发生在意图形成之前也可能发生在意图进入系统之后。例如用户目标被提示注入改变AI 将网页中的隐藏指令视为用户命令应用在结构化意图时附加额外动作自动化流程扩大执行范围上游系统将不同任务合并恶意数据被解释为执行指令。污染后的意图可能仍然看起来完整、合法且可审批。上位概念意图风险对抗性完整下位概念用户意图污染AI 意图污染结构化转换污染派生意图污染多任务合并污染相关概念Intent IntegrityIntent DriftAdversarial InputPrompt InjectionTool-Call Execution Gap权力边界产生自然语言目标的系统不能自行证明最终 Intent 没有受到污染。约束机制区分数据与命令意图来源绑定关键动作显式化派生动作重新确认IntentHash高风险目标独立审批限制 Agent 自主扩大目标。结果目标确保执行链所保护的是主体真实意图而不是被污染后形成的伪意图。在 Havenlon 中结构化 Intent 必须明确来源、对象、动作和范围。Agent 推导出的高风险子任务不能自动继承原始授权。14. Policy Poisoning策略污染一句话定义策略污染是 Policy 的规则、输入、状态或更新过程被错误或恶意信息影响导致其产生不安全判断的现象。严格定义策略污染可以发生在规则配置风险数据黑白名单模型训练数据Policy 更新版本发布外部情报输入管理员操作状态同步。被污染的 Policy 不一定明显失效。它可能只对特定攻击对象放宽限制同时对其他请求保持正常表现。上位概念Policy 风险对抗性完整下位概念规则污染数据污染风险评分污染白名单污染AI Policy 污染Policy 更新链污染相关概念Adversarial Policy SourcePolicy ≠ Final AuthorityMost Permissive SourcePolicy HashGovernance Capture约束机制Policy 签名版本控制多方审核多源 Policy本地硬限制Policy 变化留证放宽策略延迟生效更严格者优先。结果目标防止攻击者通过修改“规则如何判断”间接获得最终执行权。在 Havenlon 中Policy 不是唯一裁判。即使某个策略来源被污染其他本地限制、治理约束和执行边界仍然有效。15. Governance Capture治理劫持一句话定义治理劫持是攻击者通过控制治理身份、成员关系、阈值或恢复机制使系统治理结果服务于攻击目的的状态。严格定义治理劫持可能通过以下方式实现控制 Owner控制多数审批成员删除反对成员降低审批阈值增加恶意成员滥用恢复机制修改治理 Policy控制治理消息展示伪造成员状态。治理劫持不一定突破执行系统。攻击者可能先合法修改治理结构再利用新的治理结果完成执行。上位概念治理风险对抗性完整下位概念Owner 劫持多数成员劫持阈值劫持恢复机制劫持成员关系劫持相关概念Owner ≠ GodJoint GovernanceMulti-Layer CollusionGovernance StateCatastrophic Authority约束机制治理变更延迟物理确认新成员冷静期关键变更多层批准旧治理状态保护期恢复行为独立留证治理权与执行权分离。结果目标使攻击者即使控制部分治理角色也不能立即重写全部规则并完成灾难性执行。在 Havenlon 中成员变更、Owner 恢复和关键规则修改不能即时、单方生效并受到本地物理约束和证据记录。16. Legitimate-Path Abuse合法路径滥用一句话定义合法路径滥用是攻击者不绕过系统而是利用系统正式提供的正常流程完成异常或危险目的。严格定义合法路径滥用可能使用正常登录正常审批正常 API正常密钥正常恢复流程正常导出功能正常管理员权限正常工具调用。攻击的危险不来自路径非法而来自目标、规模、上下文或行为目的异常。因此只检测非法访问、协议异常和未知接口无法阻止合法路径滥用。上位概念对抗性执行路径权限滥用下位概念管理后台滥用恢复流程滥用导出功能滥用合法 API 滥用合法签名流程滥用相关概念Authorized MisuseMisused ComponentValid Request ≠ Safe ResultAdversarial Execution PathInsider Misuse约束机制结果范围限制额度和频率限制场景绑定异常上下文检查共同治理最终执行边界正常路径同样留证。结果目标使“系统允许使用某项功能”不等于“该功能可以被无限制用于任何目的”。在 Havenlon 中合法请求仍需经过语义、范围、治理和上下文检查。协议合法不是最终执行的充分条件。