行业资讯
📅 2026/7/15 9:38:46
AI 时代会让企业发现:所有系统都经不起无限审查
副标题当生成、评价和攻击的成本同时下降企业需要追求的已经不是完美而是有边界的失败。一、从一个很小的现象说起如果你最近用 AI 写过东西大概率经历过这样一个循环。你让一个 AI 写一篇文章觉得还不错于是让另一个 AI 来评价。第二个 AI 几乎一定能找出问题论证不够扎实、结构有些松散、观点缺少支撑。你老老实实改完再交给第三个 AI它依然能继续指出缺陷。更让人困惑的是即便是同一个 AI换一套提示词也可能对同一篇文章给出完全相反的意见——一会儿说不够深入一会儿说过于复杂一会儿嫌观点不够鲜明一会儿又批评表述过于绝对缺少案例是问题案例太多冲淡主线也是问题太像技术文章不行不够专业也不行。很多人把这归结为 AI 不稳定、不可靠。但如果只停留在这个解释上就错过了一个重要得多的信号。这个现象揭示的是一个长期被忽略的事实评价系统并不是在寻找一个最终正确的答案而是在不断切换观察角度。一篇文章在深度这个角度下有一种缺陷在传播这个角度下有另一种缺陷在严谨这个角度下还有第三种缺陷。这些角度彼此冲突永远无法被同时满足。只要观察角度可以无限增加缺陷就永远不会被彻底消灭。过去这件事之所以不明显是因为审查是昂贵的。请一位编辑、一位专家、一位律师来挑毛病都需要时间和金钱所以任何作品、方案、系统实际上只经受过有限次数、有限角度的审查。所谓挑不出毛病从来不是因为毛病不存在而是因为挑毛病的人不够多、角度不够刁钻。而 AI 把审查的成本压到了接近于零。于是一个残酷的事实浮出水面不是 AI 让文章变得有缺陷了而是 AI 让无限审查第一次变得可行——而没有任何复杂产物经得起无限审查。文章只是最容易被看见的入口。同样的逻辑正在向企业治理、产品设计和安全工程蔓延。二、企业正在进入无限评价时代过去一个产品方案、一套管理制度或者一个技术架构通常只会经过有限的人评审几轮会议、几位专家、一次合规检查。评审的角度是有限的遗漏是默认存在的大家心照不宣。一个方案通过评审本质上只是说它通过了这一小群人、在这一小段时间里、从这几个角度进行的检查。今天AI 可以低成本地扮演几乎所有角色。同一份方案你可以让它以客户的身份挑体验问题以法务的身份挑责任边界以投资人的身份挑商业逻辑以安全工程师的身份挑攻击面以财务负责人的身份挑成本结构以监管者的身份挑合规漏洞甚至以竞争对手和恶意攻击者的身份专门寻找可以利用的入口。过去组建这样一个全角色评审团需要巨大的组织成本现在只需要换几个提示词。结果几乎是注定的不同角色会给出不同甚至完全冲突的结论。安全部门会说权限太宽业务部门会说限制太多财务会说成本太高产品会说体验太差法务会说责任边界不清晰而攻击者则会找到所有人都没有想到的那个入口。这不是评审质量变差了。恰恰相反是评审能力被无限放大了——放大之后任何方案都会显得千疮百孔。不妨做一个简单的实验把你们公司最引以为傲的那份制度文件交给 AI让它分别扮演十个不同的角色来审查。你会发现没有一份文件能全身而退。这不说明制度写得差而说明经得起所有角度的审查这个标准本身就是不可能达成的。过去我们从未意识到这一点只是因为从来没有人真的用十个角度审过同一份文件。这意味着企业决策的前提正在发生变化。过去的隐含目标是设计出一个通过评审的方案因为评审是有限的这个目标是可以达成的。而当评审变得无限这个目标在逻辑上就不再成立。企业今后面对的不是能否设计出一个无人反对的系统而是一个更艰难、也更诚实的问题如何在永远存在反对意见、剩余风险和未知缺陷的前提下仍然做出决策。那些不理解这个转变的组织会陷入两种典型的失败姿态要么被无穷的反对意见拖入决策瘫痪什么都不敢上线要么干脆对所有批评脱敏退回到评审只是走流程的老路。两者都错了。正确的姿态是第三种——接受缺陷永远存在然后把注意力从缺陷有没有转移到缺陷发生后会怎样。三、总能挑出问题不是失败而是复杂性的必然结果有人会问这是不是说明我们的系统做得还不够好只要继续打磨总有一天能拿出一个挑不出毛病的版本不会有那一天。这不是悲观而是复杂系统的基本性质。一个系统越简单越容易被完整描述也就越接近可以被证明正确。一百行代码可以被逐行审查一条数学定理可以被严格证明。但企业系统从来不是这样的对象。它同时包含人、软件、数据、权限、激励、流程和外部环境而且这些要素之间的关系还在持续变化。人会流动软件会升级数据会积累权限会漂移激励会扭曲外部环境会突变。所以企业面对的根本不是一道存在标准答案的数学题而是一个不断移动的目标。今天正确的制度明天可能因为业务变化而失效今天安全的接口接入 AI Agent 之后可能出现全新的攻击面今天合理的权限设计组织规模扩大一倍之后就可能变成单点风险今天表现良好的模型换一个场景就可能产生完全不同的行为。这类故事在每一家上了规模的公司里都发生过。某个沿用多年的报销流程在公司只有两百人时运转良好到两千人时成了效率黑洞某套为网页端设计的风控规则在开放 API 之后被脚本轻松绕过。没有人做错什么只是环境变了而系统还停在为旧环境优化的版本上。在静止的世界里缺陷是可以被逐个消灭的存量在变化的世界里缺陷是随着环境不断生成的流量。你消灭的速度永远赶不上它生成的速度。完美系统不是暂时还没有被造出来而是在多数复杂环境中它本来就不存在。承认这一点并不丢人。真正危险的是不肯承认这一点的组织——它们会把资源持续投入到再改一版就完美了的幻觉中却从来没有为缺陷一定会出现这个必然事件做过任何结构上的准备。当缺陷真的出现时前者损失的是一次迭代后者损失的可能是整个业务。四、安全行业尤其容易陷入完美幻想在所有行业里安全行业对完美的执念最深也最危险。安全领域长期存在一种隐含的追求只要身份验证足够强、权限设计足够细、模型判断足够准、审计记录足够完整系统最终就会安全。每一次安全事故之后行业的反应几乎都是同一个方向——再加一层验证、再细一层权限、再多一份日志。防线越垒越高预算越花越多而事故并没有消失。这背后有一个朴素的期待安全是一门工程工程问题总有工程解。加人、加钱、加流程问题就会收敛。但安全和其他工程有一个根本不同——它的对手是活的。桥梁工程师不需要担心重力会学习新的攻击方式而安全工程师的每一道新防线都会立刻成为对手研究的新题目。因为现实反复证明攻击者并不需要击败整个系统他只需要找到一个系统设计者没有覆盖的组合。而在这个组合里每一个单独的步骤都可能是完全合法的——用户身份是真的权限审批通过了接口调用符合格式Payload 校验成功签名也是真实的。每一环都对结果仍然是错的资金被转走了数据被导出了系统被接管了。这和 AI 评价文章的现象惊人地相似。一篇文章的每一句话都可以没有语法错误整体却可能完全失去方向一次执行中的每一个步骤都可以通过校验最终结果却违背了所有人的真实意图。局部正确从来不自动等于整体正确。换个角度看安全体系的每一层防护本质上都是一个观察角度认证看的是你是谁权限看的是你能做什么校验看的是格式对不对审计看的是发生过什么。攻击者做的事情就是寻找一条所有角度都看不到的路径。角度是有限的可能的路径却是组合爆炸的——这就是为什么把每一层都做到极致永远推导不出系统是安全的。更麻烦的是AI 正在把攻击者的这种能力平民化。过去找到那个没人想到的组合需要顶尖的经验和漫长的探索现在生成攻击假设、构造异常输入、批量测试边界条件的成本和生成一篇文章的成本一样正在趋近于零。防守方面对的不再是少数聪明的对手而是一台可以无限出题的机器。五、真正成熟的安全不再追求证明系统不会出错如果承认不存在完美系统安全设计的目标就必须发生一次根本性的转向。不再是如何确保错误永远不会发生。而是当错误不可避免地发生时它最多能够走多远。这个转向听起来只是措辞的变化实际上会引出一组完全不同的企业问题。一个错误的判断是否可以不经任何拦截直接进入执行一个管理员是否可以单独造成不可逆的结果一个 AI Agent是否拥有完整的行动权一个被攻破的 SaaS 服务是否能够顺势控制本地的关键系统一次错误的配置是否会扩散到全部业务一个在形式上完全合法的请求是否仍然可以在最终的执行边界上被拒绝注意这些问题的共同点没有一个是在问错误会不会发生全部是在问错误发生之后会怎样。这就是从消灭缺陷转向限制灾难半径。可靠系统的标志不是它从不犯错而是任何一次错误都不能自动获得无限权力。在这个框架下很多传统上被视为冗余甚至低效的设计突然有了新的价值。双人复核不是不信任员工而是不让任何单点判断直接变成现实结果金额和频率的硬限制不是束缚业务而是为最坏情况画出止损线执行边界上那道独立的、不信任任何上游的最终校验不是重复建设而是在认证、审批、模型全部被欺骗之后系统保留的最后一次说不的机会。评价一套安全体系与其问它挡住了多少次攻击不如问一个更尖锐的问题假设你的模型判断错了、你的管理员被钓鱼了、你的上游服务被攻破了——同时发生——损失会在哪里停下来答不出这个问题的体系无论用了多先进的技术都还停留在完美幻想里。六、企业真正需要的是有边界的不完美自然界从来没有进化出完美的生物。一个物种能够存活亿万年不是因为它没有弱点而是因为它的弱点没有在环境变化中导致整个种群同时毁灭。冗余、分散、隔离——生命对抗不确定性的方式从来不是消灭缺陷而是限制任何单一缺陷的杀伤范围。对企业来说这个类比比听起来更严肃。生物从不试图预测每一种病毒它选择的是另一条路免疫系统、细胞隔离、组织再生——一整套感染之后如何不死的机制。数亿年的演化压力最终选择的生存策略不是无懈可击而是可以受伤。这对花费重金追求零事故的企业是一个值得反复咀嚼的提示。企业也是一样。好的组织不可能消除所有错误判断但它会刻意避免几种致命结构一个人控制全部系统一个决策不可撤销一次失败波及所有业务一个模型直接决定现实结果一条错误指令可以不受阻拦地穿透整个执行链。因此未来企业需要设计的目标不是完美而是有边界的不完美Bounded Imperfection。它包含三个基本原则。第一错误可以发生但不能无限扩散。一个模型可以判断错误一个员工可以决策失误但任何单一的错误判断都不应该自动获得完整的执行权。判断和执行之间必须存在结构性的隔离——不是靠下次更小心而是靠架构本身。第二系统可以失效但不能同时失去所有拒绝机制。上游服务可能被攻破审批流程可能被绕过管理员甚至 Owner 本人都可能犯错或被欺骗。这些都允许发生但最终执行的位置上必须保留一道不依赖任何上游的独立约束。所有防线可以逐一失守唯独不能设计成一荣俱荣、一损俱损。第三风险无法清零但必须被限制在可承受范围内。企业真正需要计算的从来不是有没有风险——答案永远是有——而是最坏情况下损失到哪里停止。能明确说出止损位置的企业才有资格谈激进创新说不出的企业每一次冒险都是在赌命。企业要回答的不是会不会出错而是出错之后损失在哪里停止。值得注意的是这三条原则考验的都不是技术能力而是组织的诚实程度。承认自己的模型会错、自己的管理员会被骗、自己的流程会被绕过在很多公司的文化里近乎唱衰自己。但恰恰是这种诚实决定了一家企业是在为真实世界设计系统还是在为 PPT 里的理想世界设计系统。真实世界里欺骗会发生故障会发生误操作会发生——系统的价值就体现在这些事情发生的那一刻。七、AI 会把这个问题推到极致有人可能会问这些原则听起来并不新鲜为什么现在突然变得如此紧迫因为过去有一道我们从未意识到的天然防线人的速度。一个员工判断失误、越权操作、甚至蓄意作恶他的破坏力都受制于人类的执行速度。他再快也不可能在一秒之内修改十万个账户、调用数百万次接口、同时影响全球所有业务。很多企业的安全体系之所以看起来够用不是因为设计得好而是因为错误的执行速度足够慢——慢到总有人来得及发现、来得及阻止、来得及回滚。AI Agent 彻底摧毁了这道隐形防线。它不仅可能判断错误还可以高速、并发、持续地执行错误。人犯错是一次一次地犯机器犯错是一批一批地犯。过去一个错误决策需要几天才能造成的损失现在可能在几秒钟内完成并且在任何人察觉之前已经不可逆。想象一个再普通不过的场景一个负责客户运营的 Agent被授权读写 CRM 和发送邮件。某天它被一封精心构造的邮件注入了错误指令于是开始勤奋地向全部客户批量发送带有错误报价的合同。整个过程中没有任何一步是越权的——它本来就有这些权限。区别只在于有边界的系统会在第一百封邮件时触发频率限制没有边界的系统会在十分钟内发完十万封。AI 时代最危险的不是一次错误的判断而是一个没有边界的错误获得了机器级的执行速度。在这个前提下再去纠结能不能让 AI 更准确一点已经远远不够。无论准确率多高只要不是百分之百剩余的错误就必须被结构性地控制。即使准确率达到 99.99%在百万级的执行量中错误仍然会出现上百次。真正决定后果的不是那 99.99% 的正确而是那 0.01% 的错误发生时系统有没有最后一道边界。可以这样概括准确率决定错误出现的频率架构决定错误造成的后果。前者是模型厂商的问题后者是每一家企业自己的问题——而且没有任何模型升级可以替你解决。八、竞争的分水岭谁的系统在失控边缘仍然稳得住把视线拉回商业本身。AI 让创造的成本下降这已经是共识。但同样重要、却远未被充分讨论的是它也让评价、攻击、测试和反驳的成本同步下降。未来任何企业方案都能被快速找到缺陷任何产品都能被生成新的反例任何安全体系都会遇到设计时从未想象过的场景。这不是某个行业的特殊风险而是所有把 AI 接入业务的企业共同面对的新常态。这会改变企业竞争的重心。过去比的是谁的系统更强大——功能更多、性能更好、防线更厚。未来比的是谁的系统在不完美、被误用和被攻击时仍然不会失控。前者决定你能跑多快后者决定你会不会在某个深夜突然归零。过去比的是谁的系统更强大未来比的是谁的系统在被误用和被攻击时仍然不会失控。那些率先放弃完美幻想的企业反而会获得一种新的竞争力。它们不再把资源浪费在证明自己不会出错上而是把架构建立在假设自己一定会出错之上判断与执行分离权力有边界失败有隔舱最坏情况有明确的止损位。它们的系统未必更聪明但一定更难被任何一次错误摧毁。而这种难以被摧毁会在一次次行业事故中转化为客户信任、监管信任和资本信任——这是 AI 时代最稀缺的资产。对决策者来说这意味着一组新的追问要进入每一次架构评审和每一次 AI 项目立项这个 Agent 最坏能做什么它的判断和执行之间隔着什么当它出错时谁有能力、有权限、有时间按下停止键如果这些问题的答案是不知道或者应该不会出错那么无论演示效果多惊艳这个项目都还没有准备好进入生产环境。AI 时代最成熟的企业不是相信自己已经找到了完美答案而是从一开始就假设答案可能是错的并且为此做好了结构上的准备。我们无法建造一个永远正确的系统但可以建造一个即使犯错也无法轻易造成灾难的系统。这句话值得每一个正在把 AI 接入核心业务的决策者写在架构评审的第一页。