Havenlon|AI 时代的执行安全语言体系(七):对抗性完整 Part 1
Working Draft · AI Era Execution Security LanguageThis article is part of the Havenlon Execution Security Language project. The terminology and definitions presented here describe the current working draft and may evolve as the discipline matures.AI 时代执行安全语言体系工作草案本系列旨在建立 AI 时代执行安全的共同语言。 本文中的术语与定义代表当前工作草案 将随着理论研究、工程实践和社区讨论持续修订。传统安全设计经常从一个理想状态出发用户是善意的管理员是可信的Policy 是正确的审批者看到了真实内容硬件按照设计运行SaaS 返回的状态是真实的合法凭证由合法主体使用通过正常接口发起的请求具有正常目的。对抗性完整不接受这些前提天然成立。它要求系统在设计阶段主动考虑组件可能失陷人员可能误用管理员可能作恶AI Agent 可能受到诱导上下文可能被污染Policy 来源可能返回错误判断合法权限可能被用于非法目的正常执行路径可能成为攻击路径多个独立层可能同时失效或协同作恶。因此对抗性完整不是一种“绝对安全”承诺而是一种系统完整性要求系统是否充分考虑了现实中的对抗条件并确保局部失效、局部失陷、合法路径滥用和有限共谋不能未经其他独立约束直接传播为灾难性执行。这里所说的“攻击者”不只包括外部黑客。在 Havenlon 的定义中攻击者是任何能够改变最终执行结果的人、软件、硬件、策略来源、流程、输入或上下文。攻击者可能是有明确恶意的主体也可能只是一个被利用、被污染、被误导或发生错误的正常组件。1. Adversarial Completeness对抗性完整一句话定义对抗性完整是系统完整考虑各种现实对抗条件并确保局部问题不能无约束地传播为灾难性执行的能力。严格定义对抗性完整要求系统不仅验证正常路径是否能够运行还必须分析当输入带有恶意时会发生什么当合法身份被盗用时会发生什么当管理员主动绕过规则时会发生什么当 Policy 来源返回错误结果时会发生什么当审批者被误导时会发生什么当一个组件被攻破时会发生什么当多个组件同时失陷时会发生什么当攻击者完全沿用合法流程时会发生什么当系统无法确定当前状态时会发生什么。一个系统即使使用了密码学、硬件隔离、多签和多人审批也不一定具备对抗性完整。如果攻击者可以通过控制某一个正常组件、某一个管理员或某一个策略来源最终完成灾难性执行那么系统仍然是不完整的。上位概念执行安全安全完整性分层不信任风险约束下位概念对抗性假设对抗环境对抗性输入对抗性策略来源对抗性执行路径对抗性失效对抗环境存续能力相关概念Adversarial Thinking对抗性思维Layered Distrust分层不信任Blast Radius灾难半径Partial Compromise部分失陷Legitimate-Path Abuse合法路径滥用Fail-Secure容易混淆的概念对抗性完整不等于防住所有攻击假设所有组件都是恶意的只做渗透测试增加更多告警规则仅仅提高攻击成本把系统完全离线找到一个绝对可信组件。它关心的重点是即使系统中的部分假设不成立剩余边界是否仍能阻止灾难性结果。约束机制权力分离分层不信任多源 Policy独立最终否决共同治理硬件隔离执行前重新验证限额、限频和范围限制设备签名证据Safe Mode。结果目标局部失陷不等于系统失陷合法权限不等于无限执行能力单一错误不能直接成为灾难部分共谋仍受到其他独立边界约束系统无法确认安全时可以停止执行。在 Havenlon 中Havenlon 不把任何身份、管理员、SaaS、Policy、AI Agent、密钥或硬件视为绝对可信。每一层都可能出错、失陷或被滥用因此任何一层都只能拥有有限权力。2. Adversarial Assumption对抗性假设一句话定义对抗性假设是在系统设计中主动假定某些正常角色、组件和输入可能失效、被攻破、被误用或主动表现出恶意。严格定义传统威胁模型常把攻击者放在系统外部。对抗性假设则把分析范围扩展到系统内部用户可能被诱导管理员可能越权Owner 可能失陷SaaS 可能返回恶意状态AI Agent 可能受到提示注入Policy 可能被错误配置仲裁器可能被攻破执行器可能收到异常载荷证据系统可能试图隐藏事实升级通道可能被利用。对抗性假设不是认定这些主体一定恶意而是拒绝把它们永远正确作为系统安全成立的必要前提。上位概念对抗性完整威胁建模下位概念组件失陷假设管理员失陷假设合法凭证滥用假设Policy 错误假设部分共谋假设相关概念Threat Model威胁模型Zero Trust零信任Layered DistrustCompromised ComponentInsider Misuse约束机制明确每层失陷后的最大能力不允许上游状态无条件继承每层保留独立验证管理权与执行权分离异常时默认拒绝。结果目标把“某个组件永远不会出错”从系统安全前提中移除。在 Havenlon 中架构评审不只询问一个组件正常时能做什么还必须询问如果这个组件完全失陷它最多能够造成什么结果3. Adversarial Environment对抗环境一句话定义对抗环境是系统运行过程中持续存在主动攻击、输入污染、权限滥用、组件失陷和利益冲突可能性的现实环境。严格定义对抗环境不是指系统已经遭到攻击而是系统所处的环境中至少存在以下一种可能有人试图改变执行结果有组件试图绕过约束有输入经过精心构造有合法身份被非法控制有人员利用正常流程谋取异常结果有多个参与方之间存在利益冲突有攻击者观察系统并根据反馈调整行为。在对抗环境中系统不能只判断输入是否格式正确还要判断输入是否试图诱导系统正常流程是否被用于异常目的多个看似独立事件是否构成协同攻击当前上下文是否仍然可信。上位概念运行环境对抗性完整下位概念外部攻击环境内部威胁环境AI Agent 对抗环境多租户对抗环境治理对抗环境相关概念Adversarial ContextAdversarial InputInsider MisuseCoordinated CompromiseAdversarial Survivability约束机制持续状态验证行为范围限制防重放速率限制多层独立验证异常时受控降级。结果目标使系统安全不依赖运行环境长期保持善意和稳定。在 Havenlon 中Havenlon 默认应用、网络、SaaS 和输入都可能处于对抗环境中因此最终执行判断必须保留在独立的本地执行边界。4. Adversarial Execution Path对抗性执行路径一句话定义对抗性执行路径是攻击者利用、组合或操纵正常执行链中的多个步骤使其最终产生异常结果的路径。严格定义对抗性执行路径不一定包含明显的非法接口或漏洞。它可能完全由合法步骤组成使用合法身份登录提交格式合法的请求获得真实审批触发正常 Policy使用合法密钥签名通过官方接口执行。但如果其中的意图、上下文、展示或最终对象被污染整个合法路径仍然可能产生灾难性结果。对抗性执行路径关注的不是某个孤立漏洞而是攻击者如何把多个局部合法行为组合成一个全局危险结果。上位概念对抗性完整执行路径下位概念合法路径攻击审批诱导路径Policy 绕过路径工具链攻击路径恢复路径滥用相关概念Legitimate-Path AbuseExecution Path MutationCoordinated CompromiseCross-Domain Authority InheritanceAttack Chain攻击链风险来源各节点只验证局部条件上游状态被无条件信任不同系统之间缺少意图绑定恢复和紧急路径约束更弱自动化把多个动作连续执行系统只寻找单点异常。约束机制全链路 IntentHashStep Hash路径身份绑定跨域重新验证对恢复路径实施相同约束最终执行重新检查整体语义。结果目标防止多个分别合法的步骤组合成一个未经授权的执行结果。在 Havenlon 中每一个执行步骤必须与原始 Intent 和前序步骤关联。正常路径、重试路径和恢复路径都不能绕开统一执行控制。5. Adversarial Context对抗上下文一句话定义对抗上下文是被攻击者主动操纵、选择或构造用来影响系统判断和最终执行结果的环境信息。严格定义上下文可能包括时间地点身份状态设备状态对话历史检索结果业务数据组织关系风险评分外部系统返回值。对抗者不一定直接修改执行命令。它可以通过修改系统用于判断的上下文使系统自行得出错误结论。例如向 AI Agent 提供伪造的业务背景伪造设备位置操纵风险评分隐藏已经发生的相关交易选择性提供审批材料让 Policy 看到过期状态。上位概念对抗性完整上下文风险下位概念身份对抗上下文地理对抗上下文AI 对话对抗上下文治理对抗上下文业务数据对抗上下文相关概念Polluted ContextContext GapContext DriftPrompt InjectionPolicy Poisoning权力边界任何单一上下文来源都不能自动被视为事实。上下文提供者不应因此拥有影响最终执行的隐性权力。约束机制多源交叉验证本地状态来源签名上下文有效期关键状态独立获取无法验证时拒绝执行。结果目标防止攻击者通过控制“系统看到的世界”间接控制系统执行的结果。在 Havenlon 中云端状态、应用数据和 AI 上下文只作为判断输入。本地治理状态与设备状态必须独立验证。6. Adversarial Input对抗输入一句话定义对抗输入是为了诱导系统产生错误判断、越权动作或危险执行而被专门构造的输入。严格定义对抗输入不仅包括传统的畸形数据和漏洞载荷也包括语义上具有误导性的自然语言提示注入内容伪装成普通业务数据的命令边界值单位和精度陷阱故意缺失关键字段的请求通过合法字段组合产生异常语义的参数诱导用户审批的展示内容。对抗输入可能在协议层完全合法但在语义层具有攻击目的。上位概念对抗性完整输入风险下位概念协议对抗输入语义对抗输入AI 提示对抗输入参数边界输入审批诱导输入相关概念Prompt InjectionSemantic GapPolluted IntentInduced ApprovalValid Request ≠ Safe Result约束机制严格解析字段白名单参数范围语义验证不可信内容隔离AI 输出转化为结构化 Intent执行前独立确认。结果目标让格式正确但目的异常的输入不能直接触发高风险执行。在 Havenlon 中应用或 AI 生成的输入不能直接进入执行域。所有高风险输入必须转换为结构化执行意图并经过独立仲裁。7. Adversarial Policy Source对抗性策略来源一句话定义对抗性策略来源是可能因为失陷、利益冲突、错误配置或主动攻击而输出危险策略判断的 Policy 来源。严格定义Policy 来源可能是SaaS本地配置风险引擎管理员AI 模型审批系统外部身份服务合规系统。对抗性策略来源不一定始终返回错误结果。更危险的情况是它在绝大多数时间表现正常只在特定对象、金额、时间或攻击场景下返回更宽松的结果。上位概念对抗性完整Policy 风险下位概念恶意 SaaS Policy被污染的本地 Policy被诱导的 AI Policy被劫持的管理员策略过期外部风险判断相关概念Policy PoisoningPolicy ≠ Final AuthorityMost Permissive SourcePolicy AggregationStricter-Wins权力边界任何 Policy 来源只能提供有限判断不能独立决定最终执行。约束机制多源 PolicyPolicy Hash来源身份绑定版本绑定更严格者优先本地硬限制独立最终否决。结果目标使某一个 Policy 来源即使被攻破也不能单独放行灾难性执行。在 Havenlon 中Bletchley、本地设备与治理状态提供不同约束来源。单一来源的允许不能覆盖其他来源的拒绝。8. Compromised Component失陷组件一句话定义失陷组件是其行为、数据、密钥或控制权已无法继续被安全信任的系统组件。严格定义组件失陷可能表现为被攻击者远程控制密钥泄露固件被替换运行时状态被修改管理账户被盗输出结果被伪造升级链被控制数据库内容被篡改。失陷不要求攻击者获得组件全部控制权。只要组件的输出已经不能继续被视为可靠它就应被当作失陷组件处理。上位概念组件风险对抗性假设下位概念应用失陷SaaS 失陷管理端失陷仲裁器失陷执行器失陷证据系统失陷相关概念Partial CompromiseMalicious ComponentTrust Domain CompromiseBoundary CollapseBlast Radius约束机制最小权限独立信任域输出重新验证密钥用途限制撤销和隔离Safe Mode设备替换恢复。结果目标确保单个组件失陷后攻击者只能获得该组件明确拥有的有限能力。在 Havenlon 中每一层都按照“可能完全失陷”设计。应用失陷不能直接获得 Security Domain 的执行能力SaaS 失陷也不能取消本地限制。

相关新闻

最新新闻

日新闻

周新闻

月新闻