过去几十年企业系统的安全设计基本上都是围绕“权限”展开的。无论是账号体系、角色权限、审批流程、操作日志、多因素认证还是后来的零信任、风控、多签机制本质上都在回答一个问题一个人、一个账号、一个系统到底有没有资格发起某种操作。在传统软件时代这套逻辑大体是成立的。因为大多数系统仍然是由人来使用的。人登录系统。 人查看数据。 人填写表单。 人提交申请。 人完成审批。 人点击确认。软件只是工具系统只是流程最终动作通常仍然由人驱动。但是到了 AI 时代这个前提正在发生变化。AI agent、自动化脚本、智能工作流、跨系统 API 调用正在让软件系统从“被人使用的工具”逐渐变成“能够主动发起操作的参与者”。这意味着企业系统不能再只关心传统意义上的访问权限、提交权限和审批权限。它还需要重新抽象出一层更底层、更关键的能力执行权限。一、访问权限解决的是“谁能进入系统”企业信息化早期最核心的问题是访问控制。谁能登录后台。 谁能查看客户数据。 谁能进入财务系统。 谁能看到订单、库存、合同、员工信息。这个阶段的权限模型主要是围绕身份和访问边界建立的。于是企业系统里出现了账号、密码、角色、部门、权限组、菜单权限、数据权限等机制。这一层解决的问题是谁能进来谁能看到什么。这是一切企业系统安全的基础。如果没有访问权限控制系统就没有最基本的边界。但访问权限本身并不关心动作是否应该发生。一个人能进入系统只代表他有访问资格并不代表他可以执行高风险操作。所以随着系统越来越复杂企业开始需要第二层权限。二、提交权限解决的是“谁能发起动作”当企业系统从信息展示工具变成业务处理工具后权限模型开始从“能不能看”扩展到“能不能操作”。一个销售可以查看客户信息但不一定可以修改合同金额。 一个运营可以查看订单但不一定可以退款。 一个普通员工可以查看流程但不一定可以提交付款申请。 一个技术人员可以查看配置但不一定可以发布生产环境变更。于是系统里开始出现更细粒度的操作权限。比如新增、修改、删除、导出、提交、发起、发布、转账、退款、冻结、解冻等动作权限。这一层解决的问题是谁可以发起某个动作。相比访问权限提交权限已经更接近业务风险。因为它开始控制系统状态的变化。但问题是很多高风险动作并不应该由一个人发起后就直接完成。所以企业系统继续演进出现了审批权限。三、审批权限解决的是“谁能批准动作”随着企业规模扩大很多操作不能再由单个人直接完成。付款需要审批。 采购需要审批。 合同需要审批。 权限变更需要审批。 资金调拨需要审批。 代码上线需要审批。 生产配置修改需要审批。于是企业系统引入了审批流、工作流、多人确认、分级授权、风控规则、多签机制和操作日志。这一阶段企业系统不只是判断谁能发起动作还要判断这个动作有没有经过组织流程的批准。这层权限解决的问题是谁可以同意这个动作继续往下走。这套体系支撑了很长时间。因为在过去大部分关键动作仍然是由人提交、由人审批、由人确认执行。但 AI 时代的问题在于系统里的“动作发起者”正在变化。过去是人操作软件。现在越来越多场景变成了软件操作软件AI 操作系统agent 调用 API自动化链路触发执行。这时候仅仅有访问权限、提交权限和审批权限就不够了。四、AI 时代改变了企业系统的基本假设AI agent 和传统软件工具最大的区别不是它能不能生成文本也不是它能不能调用接口而是它可能把多个环节串起来。它可以读取上下文。 可以分析数据。 可以生成操作建议。 可以调用业务系统。 可以提交请求。 可以触发审批。 可以执行脚本。 可以发起交易。 可以连接多个系统完成一整套流程。这让企业系统面对一个新的问题一个动作看起来可能是合法的但它未必应该被执行。因为请求可能来自一个被污染的上下文。 参数可能被 AI 理解错。 业务意图可能被错误转换。 审批可能只是形式上通过。 自动化链路可能被注入。 API token 可能被滥用。 软件系统本身也可能已经被攻破。在传统权限模型里只要账号正确、权限足够、流程通过系统通常就会继续执行。但是在 AI 时代这个假设会变得越来越危险。因为风险不一定发生在登录阶段。 也不一定发生在提交阶段。 甚至不一定发生在审批阶段。真正的风险可能发生在动作进入最终执行路径的那一刻。比如资金转出、链上交易签名、生产环境配置变更、权限提升、数据删除、自动化部署、外部 API 调用这些动作一旦执行很多结果都很难撤回。所以企业需要重新区分两件事一个请求是否被允许发起。和一个动作是否应该真正执行。这两件事过去经常被混在一起。但在 AI 时代它们必须被拆开。五、执行权限解决的是“动作能不能真正发生”访问权限关注的是进入系统。 提交权限关注的是发起动作。 审批权限关注的是流程同意。 执行权限关注的是最终动作是否可以发生。这是一个更靠近结果的权限层。它不只是判断“谁有权限”而是判断这个动作来自哪里。 它绑定了什么上下文。 它是否经过了必要授权。 它是否符合策略。 它的参数是否被篡改。 它是否超出了允许范围。 它是否处于正确的时间、对象、金额、频率和风险边界内。 它是否应该进入最终执行路径。换句话说执行权限不是传统 RBAC 权限表里多加一个字段。它应该是一层独立的系统抽象。上层系统可以提出请求。 AI 可以生成计划。 业务系统可以提交动作。 审批系统可以给出授权。 风控系统可以计算风险。但最终是否允许这个动作真正发生需要由执行层进行裁决。这就是执行层存在的意义。六、为什么执行层不能继续藏在业务系统内部在很多传统系统里执行能力是内嵌在业务系统里的。审批通过后财务系统自己付款。 风控通过后支付系统自己放行。 多签完成后钱包系统自己签名。 CI 通过后部署系统自己上线。 管理员确认后后台系统自己修改配置。这种结构在人工主导的时代可以工作因为系统边界相对清晰执行链路也相对短。但 AI 时代的自动化链路会更长、更复杂、更跨系统。一个 agent 可能同时连接 CRM、财务系统、云平台、钱包系统、数据库、客服系统和内部审批系统。它不是在一个系统里完成一个动作而是在多个系统之间连续触发动作。如果执行权仍然分散在每个业务系统内部那么企业很难建立统一的最终控制边界。更严重的是一旦某个业务系统、自动化平台或者 AI agent 链路被攻破攻击者可能不需要突破所有系统只需要控制能够触发执行的那条路径。所以未来的企业系统不能只把执行当成业务流程的最后一步。执行本身需要成为一层独立的基础设施能力。它应该从业务系统中被抽象出来成为企业级的执行边界。七、执行层不是为了阻止 AI而是为了约束 AI 的执行结果这里需要特别强调一点执行层不是反 AI。相反AI 越强越需要执行层。因为企业不可能永远让 AI 只停留在问答、总结、分析和建议阶段。真正有价值的 AI最终一定会进入业务流程连接系统调用工具推动动作发生。问题不在于 AI 能不能请求。问题在于 AI 的请求不能不受约束地变成最终执行。AI 可以生成计划。 AI 可以提出建议。 AI 可以提交请求。 AI 可以辅助审批。 AI 可以调用工具。但当动作涉及资金、资产、权限、生产环境、密钥、合约、数据删除等高风险结果时企业需要一层独立的执行边界确保最终动作仍然受到明确约束。这就是执行权限和普通权限最大的区别。普通权限更多关注主体。执行权限同时关注主体、上下文、策略、授权、动作内容和最终结果。它不是问这个账号有没有权限。而是问这个动作在当前条件下是否应该发生。八、企业系统的权限模型正在进入第四阶段如果从历史演进来看企业系统的权限模型大致经历了几个阶段第一阶段是访问权限。 重点是身份认证和系统访问。第二阶段是操作权限。 重点是用户在系统里能做什么。第三阶段是审批权限。 重点是关键动作是否经过组织流程批准。第四阶段就是执行权限。 重点是动作在最终发生之前是否经过独立的执行裁决。这不是对原有权限体系的否定而是对它的补充。访问权限仍然重要。 提交权限仍然重要。 审批权限仍然重要。 日志审计、风控规则、多因素认证也仍然重要。但它们主要解决的是执行之前的不同环节。AI 时代需要补上的是最后一层执行之前的最终判断。因为真正改变世界状态的不是登录不是提交也不是审批记录。而是执行。资金被转出是执行。 配置被发布是执行。 权限被修改是执行。 数据被删除是执行。 链上交易被签名和广播是执行。 自动化脚本改变生产系统也是执行。企业安全体系最终必须面对这个问题如何确保错误的动作不会被执行。九、从系统边界到执行边界过去企业安全经常围绕系统边界展开。保护账号。 保护网络。 保护后台。 保护数据库。 保护 API。 保护审批系统。这些都很重要。但 AI 时代的挑战在于动作会跨越多个系统边界。一个请求可能从 AI agent 开始经过业务系统、审批系统、风控系统、签名系统、支付系统最后进入真实执行。如果企业只在每个系统内部做局部权限控制就很难对整条执行链路建立最终约束。所以未来更重要的不是单个系统边界而是执行边界。也就是无论请求来自哪个系统 无论请求由人发起还是 AI 发起 无论它经过了多少层软件流程 在进入最终执行之前都必须经过一个明确的执行裁决层。这层边界要回答的不是“请求能不能进入系统”而是“动作能不能变成现实”。这就是执行层的核心价值。结语企业系统过去几十年的权限演进基本是从访问到操作再到审批。这个演进路径适应了人主导软件系统的时代。但 AI 时代正在改变系统的运行方式。软件不再只是等待人点击。 AI 不再只是提供建议。 自动化链路不再只是局部辅助。越来越多系统开始具备主动发起、组合调用和推动执行的能力。因此企业安全体系需要进一步演进。不是只增加更多账号权限。 不是只增加更多审批节点。 也不是只增加更多日志和风控规则。而是要把“执行”本身抽象出来形成一层独立的执行权限和执行边界。访问权限回答谁能进入系统。提交权限回答谁能发起动作。审批权限回答谁能同意动作。执行权限回答动作能不能真正发生。在 AI 时代最后这个问题会越来越重要。因为未来企业真正需要防住的不只是错误的人进入系统。而是错误的动作被系统执行。