从访问权限到执行权限：AI 时代企业系统需要重新抽象一层执行层

过去几十年，企业系统的安全设计，基本上都是围绕“权限”展开的。

无论是账号体系、角色权限、审批流程、操作日志、多因素认证，还是后来的零信任、风控、多签机制，本质上都在回答一个问题：

一个人、一个账号、一个系统，到底有没有资格发起某种操作。

在传统软件时代，这套逻辑大体是成立的。因为大多数系统仍然是由人来使用的。

人登录系统。 人查看数据。 人填写表单。 人提交申请。 人完成审批。 人点击确认。

软件只是工具，系统只是流程，最终动作通常仍然由人驱动。

但是到了 AI 时代，这个前提正在发生变化。

AI agent、自动化脚本、智能工作流、跨系统 API 调用，正在让软件系统从“被人使用的工具”，逐渐变成“能够主动发起操作的参与者”。

这意味着，企业系统不能再只关心传统意义上的访问权限、提交权限和审批权限。

它还需要重新抽象出一层更底层、更关键的能力：

执行权限。

一、访问权限解决的是“谁能进入系统”

企业信息化早期，最核心的问题是访问控制。

谁能登录后台。 谁能查看客户数据。 谁能进入财务系统。 谁能看到订单、库存、合同、员工信息。

这个阶段的权限模型，主要是围绕身份和访问边界建立的。

于是企业系统里出现了账号、密码、角色、部门、权限组、菜单权限、数据权限等机制。

这一层解决的问题是：

谁能进来，谁能看到什么。

这是一切企业系统安全的基础。

如果没有访问权限控制，系统就没有最基本的边界。但访问权限本身并不关心动作是否应该发生。一个人能进入系统，只代表他有访问资格，并不代表他可以执行高风险操作。

所以，随着系统越来越复杂，企业开始需要第二层权限。

二、提交权限解决的是“谁能发起动作”

当企业系统从信息展示工具变成业务处理工具后，权限模型开始从“能不能看”扩展到“能不能操作”。

一个销售可以查看客户信息，但不一定可以修改合同金额。 一个运营可以查看订单，但不一定可以退款。 一个普通员工可以查看流程，但不一定可以提交付款申请。 一个技术人员可以查看配置，但不一定可以发布生产环境变更。

于是系统里开始出现更细粒度的操作权限。

比如新增、修改、删除、导出、提交、发起、发布、转账、退款、冻结、解冻等动作权限。

这一层解决的问题是：

谁可以发起某个动作。

相比访问权限，提交权限已经更接近业务风险。因为它开始控制系统状态的变化。

但问题是，很多高风险动作并不应该由一个人发起后就直接完成。

所以企业系统继续演进，出现了审批权限。

三、审批权限解决的是“谁能批准动作”

随着企业规模扩大，很多操作不能再由单个人直接完成。

付款需要审批。 采购需要审批。 合同需要审批。 权限变更需要审批。 资金调拨需要审批。 代码上线需要审批。 生产配置修改需要审批。

于是企业系统引入了审批流、工作流、多人确认、分级授权、风控规则、多签机制和操作日志。

这一阶段，企业系统不只是判断谁能发起动作，还要判断这个动作有没有经过组织流程的批准。

这层权限解决的问题是：

谁可以同意这个动作继续往下走。

这套体系支撑了很长时间。因为在过去，大部分关键动作仍然是由人提交、由人审批、由人确认执行。

但 AI 时代的问题在于，系统里的“动作发起者”正在变化。

过去是人操作软件。

现在越来越多场景变成了软件操作软件，AI 操作系统，agent 调用 API，自动化链路触发执行。

这时候，仅仅有访问权限、提交权限和审批权限，就不够了。

四、AI 时代改变了企业系统的基本假设

AI agent 和传统软件工具最大的区别，不是它能不能生成文本，也不是它能不能调用接口，而是它可能把多个环节串起来。

它可以读取上下文。 可以分析数据。 可以生成操作建议。 可以调用业务系统。 可以提交请求。 可以触发审批。 可以执行脚本。 可以发起交易。 可以连接多个系统完成一整套流程。

这让企业系统面对一个新的问题：

一个动作看起来可能是合法的，但它未必应该被执行。

因为请求可能来自一个被污染的上下文。 参数可能被 AI 理解错。 业务意图可能被错误转换。 审批可能只是形式上通过。 自动化链路可能被注入。 API token 可能被滥用。 软件系统本身也可能已经被攻破。

在传统权限模型里，只要账号正确、权限足够、流程通过，系统通常就会继续执行。

但是在 AI 时代，这个假设会变得越来越危险。

因为风险不一定发生在登录阶段。 也不一定发生在提交阶段。 甚至不一定发生在审批阶段。

真正的风险，可能发生在动作进入最终执行路径的那一刻。

比如资金转出、链上交易签名、生产环境配置变更、权限提升、数据删除、自动化部署、外部 API 调用，这些动作一旦执行，很多结果都很难撤回。

所以企业需要重新区分两件事：

一个请求是否被允许发起。和一个动作是否应该真正执行。

这两件事过去经常被混在一起。

但在 AI 时代，它们必须被拆开。

五、执行权限解决的是“动作能不能真正发生”

访问权限关注的是进入系统。 提交权限关注的是发起动作。 审批权限关注的是流程同意。 执行权限关注的是最终动作是否可以发生。

这是一个更靠近结果的权限层。

它不只是判断“谁有权限”，而是判断：

这个动作来自哪里。 它绑定了什么上下文。 它是否经过了必要授权。 它是否符合策略。 它的参数是否被篡改。 它是否超出了允许范围。 它是否处于正确的时间、对象、金额、频率和风险边界内。 它是否应该进入最终执行路径。

换句话说，执行权限不是传统 RBAC 权限表里多加一个字段。

它应该是一层独立的系统抽象。

上层系统可以提出请求。 AI 可以生成计划。 业务系统可以提交动作。 审批系统可以给出授权。 风控系统可以计算风险。

但最终是否允许这个动作真正发生，需要由执行层进行裁决。

这就是执行层存在的意义。

六、为什么执行层不能继续藏在业务系统内部

在很多传统系统里，执行能力是内嵌在业务系统里的。

审批通过后，财务系统自己付款。 风控通过后，支付系统自己放行。 多签完成后，钱包系统自己签名。 CI 通过后，部署系统自己上线。 管理员确认后，后台系统自己修改配置。

这种结构在人工主导的时代可以工作，因为系统边界相对清晰，执行链路也相对短。

但 AI 时代的自动化链路会更长、更复杂、更跨系统。

一个 agent 可能同时连接 CRM、财务系统、云平台、钱包系统、数据库、客服系统和内部审批系统。它不是在一个系统里完成一个动作，而是在多个系统之间连续触发动作。

如果执行权仍然分散在每个业务系统内部，那么企业很难建立统一的最终控制边界。

更严重的是，一旦某个业务系统、自动化平台或者 AI agent 链路被攻破，攻击者可能不需要突破所有系统，只需要控制能够触发执行的那条路径。

所以，未来的企业系统不能只把执行当成业务流程的最后一步。

执行本身需要成为一层独立的基础设施能力。

它应该从业务系统中被抽象出来，成为企业级的执行边界。

七、执行层不是为了阻止 AI，而是为了约束 AI 的执行结果

这里需要特别强调一点：

执行层不是反 AI。

相反，AI 越强，越需要执行层。

因为企业不可能永远让 AI 只停留在问答、总结、分析和建议阶段。真正有价值的 AI，最终一定会进入业务流程，连接系统，调用工具，推动动作发生。

问题不在于 AI 能不能请求。

问题在于 AI 的请求不能不受约束地变成最终执行。

AI 可以生成计划。 AI 可以提出建议。 AI 可以提交请求。 AI 可以辅助审批。 AI 可以调用工具。

但当动作涉及资金、资产、权限、生产环境、密钥、合约、数据删除等高风险结果时，企业需要一层独立的执行边界，确保最终动作仍然受到明确约束。

这就是执行权限和普通权限最大的区别。

普通权限更多关注主体。

执行权限同时关注主体、上下文、策略、授权、动作内容和最终结果。

它不是问：

这个账号有没有权限。

而是问：

这个动作在当前条件下是否应该发生。

八、企业系统的权限模型正在进入第四阶段

如果从历史演进来看，企业系统的权限模型大致经历了几个阶段：

第一阶段是访问权限。 重点是身份认证和系统访问。

第二阶段是操作权限。 重点是用户在系统里能做什么。

第三阶段是审批权限。 重点是关键动作是否经过组织流程批准。

第四阶段就是执行权限。 重点是动作在最终发生之前，是否经过独立的执行裁决。

这不是对原有权限体系的否定，而是对它的补充。

访问权限仍然重要。 提交权限仍然重要。 审批权限仍然重要。 日志审计、风控规则、多因素认证也仍然重要。

但它们主要解决的是执行之前的不同环节。

AI 时代需要补上的，是最后一层：

执行之前的最终判断。

因为真正改变世界状态的，不是登录，不是提交，也不是审批记录。

而是执行。

资金被转出，是执行。 配置被发布，是执行。 权限被修改，是执行。 数据被删除，是执行。 链上交易被签名和广播，是执行。 自动化脚本改变生产系统，也是执行。

企业安全体系最终必须面对这个问题：

如何确保错误的动作不会被执行。

九、从系统边界到执行边界

过去企业安全经常围绕系统边界展开。

保护账号。 保护网络。 保护后台。 保护数据库。 保护 API。 保护审批系统。

这些都很重要。

但 AI 时代的挑战在于，动作会跨越多个系统边界。

一个请求可能从 AI agent 开始，经过业务系统、审批系统、风控系统、签名系统、支付系统，最后进入真实执行。

如果企业只在每个系统内部做局部权限控制，就很难对整条执行链路建立最终约束。

所以未来更重要的不是单个系统边界，而是执行边界。

也就是：

无论请求来自哪个系统， 无论请求由人发起还是 AI 发起， 无论它经过了多少层软件流程， 在进入最终执行之前，都必须经过一个明确的执行裁决层。

这层边界要回答的不是“请求能不能进入系统”，而是“动作能不能变成现实”。

这就是执行层的核心价值。

结语

企业系统过去几十年的权限演进，基本是从访问到操作，再到审批。

这个演进路径适应了人主导软件系统的时代。

但 AI 时代正在改变系统的运行方式。

软件不再只是等待人点击。 AI 不再只是提供建议。 自动化链路不再只是局部辅助。

越来越多系统开始具备主动发起、组合调用和推动执行的能力。

因此，企业安全体系需要进一步演进。

不是只增加更多账号权限。 不是只增加更多审批节点。 也不是只增加更多日志和风控规则。

而是要把“执行”本身抽象出来，形成一层独立的执行权限和执行边界。

访问权限回答：

谁能进入系统。

提交权限回答：

谁能发起动作。

审批权限回答：

谁能同意动作。

执行权限回答：

动作能不能真正发生。

在 AI 时代，最后这个问题会越来越重要。

因为未来企业真正需要防住的，不只是错误的人进入系统。

而是错误的动作被系统执行。