最近 AI 圈有一个很有意思的说法以前大家说“养虾”现在很多人开始说“养马”。这里说的不是现实里的小龙虾和马而是 AI Agent 圈子里的一个流行说法。所谓“养马”通常指的是围绕 Hermes Agent 这类 Agent 系统展开的使用和部署热潮。这类 Agent 的重点不只是更会聊天、更会写代码而是开始强调长期记忆、学习闭环、技能沉淀和自我进化能力。这个现象本身很值得关注。因为它说明 AI Agent 正在从一次性工具逐渐向长期协作者演进。过去很多 AI 工具更像临时助手。你给它一个问题它回答一次你让它生成一段代码它生成一次你让它总结一份文档它总结一次。任务完成后大部分上下文就结束了。下一次使用时你往往还要重新解释背景、重新说明偏好、重新描述项目结构。但新一代 Agent 的方向正在发生变化。它们开始强调长期记忆开始沉淀用户和项目背景开始把执行过的流程变成可复用技能也开始在长期使用中逐渐适应用户的工作方式。也就是说Agent 正在从“调用工具”走向“理解任务、规划步骤、调用系统、沉淀经验”。换句话说AI Agent 正在从工具变成数字员工。这个变化非常重要。因为工具通常只是被人使用而数字员工会参与流程。工具通常等待明确指令而数字员工会理解上下文、拆解任务、调用系统并推动结果发生。当 AI Agent 只是回答问题时风险主要停留在内容层。它答错了我们可以纠正它总结错了我们可以重来它写错了文案我们可以修改。但当 AI Agent 开始进入企业系统开始调用接口、提交请求、触发工作流、修改配置、发起交易、操作资产、连接 SaaS 和内部系统时问题就完全不一样了。这时候风险不再只是它说错了什么而是它做了什么。一、Agent 越像数字员工权限问题就越不能只停留在账号层企业系统过去几十年的安全设计大多是围绕账号和权限展开的。谁可以登录谁可以查看数据谁可以提交申请谁可以审批流程谁可以修改配置谁可以导出报表谁可以发起付款这些都是传统权限系统重点解决的问题。这套体系在过去是有效的。因为过去大多数系统仍然是人在操作。人登录系统人点击按钮人提交申请人审批流程人最终确认。软件只是工具系统只是流程最终动作背后通常还有一个明确的人。但 AI Agent 时代这个前提正在变化。一个 Agent 可能同时具备很多能力它能读取文档理解业务规则访问多个系统调用 API生成操作计划执行自动化脚本根据反馈优化步骤甚至在长期使用中形成自己的技能库。这时候如果企业仍然只用传统的账号权限来理解 Agent就会出现问题。因为 Agent 不是普通员工也不是普通软件模块。它更像一个可以跨系统发起动作的自动化主体。它可能不是恶意的但它可能理解错。它可能不是攻击者但它可能被错误上下文诱导。它可能不是内鬼但它可能调用了不该调用的工具。它可能没有主观动机但它可能把错误计划推进到真实执行。所以 AI Agent 越强企业越不能只问这个 Agent 有没有账号权限企业还必须问这个 Agent 发起的动作到底应不应该被执行这就是执行权限的问题。二、从访问权限、提交权限、审批权限到执行权限传统企业系统里我们已经有很多权限概念。访问权限解决的是谁能进入系统、谁能看到什么。提交权限解决的是谁能发起一个动作。审批权限解决的是谁能同意这个动作继续往下走。这些都很重要但它们并没有完全解决一个问题动作真正发生之前谁来做最后裁决在很多传统系统里这个问题经常被隐藏起来。审批通过后财务系统自己付款多签完成后钱包系统自己签名CI 通过后部署系统自己上线管理员确认后后台系统自己修改配置风控通过后支付系统自己放行。也就是说最终执行权通常藏在业务系统内部。谁控制业务系统谁就控制执行。谁能调用关键接口谁就可能推动动作发生。谁拿到有效 token谁就可能绕过很多人工流程。在人主导系统的时代这种结构还能接受。因为动作链路相对短系统边界相对清晰关键动作大多仍然有人参与。但在 AI Agent 时代执行链路会变得更长、更复杂、更自动化。一个 Agent 可能从文档里读取规则从数据库里读取状态从 SaaS 里拉取客户信息从审批系统里提交申请从钱包系统里发起交易从云平台里修改配置最后再把结果写回业务系统。这时候如果每个系统都只在自己的内部做权限判断企业很难对整条执行链建立一个统一的最终边界。所以AI 时代的权限模型需要继续演进。从访问权限到提交权限到审批权限最后必须走向执行权限。执行权限关注的不是谁能进来也不只是 谁能提交甚至不只是 谁同意了。它真正关注的是这个动作在当前上下文下到底能不能真正发生。三、长期记忆和自我进化会放大 Agent 的执行风险Hermes Agent 这类方向之所以受到关注是因为它们强调长期记忆、学习闭环和技能沉淀。对于效率来说这是很有价值的。一个 Agent 如果能够记住项目背景、理解用户习惯、沉淀任务经验下一次处理类似任务时确实可以更高效。但从企业安全角度看这也会带来新的问题。一个没有长期记忆的 Agent风险主要来自单次任务。一个有长期记忆的 Agent风险会进入长期状态。一个不会沉淀技能的 Agent每次都需要重新被指导。一个会沉淀技能的 Agent可能会把某些流程变成自动化能力。一个只会回答问题的 Agent最多影响认知。一个能调用工具的 Agent开始影响系统状态。一个能自我优化执行流程的 Agent就会逐渐接近真实的数字员工。这并不是说 Agent 不应该进化。相反Agent 一定会继续进化。真正的问题是当 Agent 越来越能干企业是否也同步建立了更强的执行约束如果没有企业就会出现一种新的结构性风险Agent 的能力越来越强但最终执行边界仍然停留在传统软件系统里。这就像给一个越来越聪明的数字员工接入了越来越多工具却没有重新定义它的最终执行权。它可以请求可以计划可以提交可以调用可以优化也可以学习。但企业必须明确一点它不能天然拥有最终执行权。四、AI 可以请求但不应该直接拥有最终执行权这句话非常关键。AI 可以请求可以提议可以生成计划可以辅助审批可以调用工具也可以推动流程。但当动作涉及资金、资产、权限、密钥、生产环境、链上交易、数据删除、基础设施变更时AI 的请求不应该直接等于执行。因为请求和执行不是一回事。请求只是意图审批只是流程风控只是判断日志只是记录。真正改变系统状态的是执行。资金被转出是执行。链上交易被签名是执行。生产配置被发布是执行。权限被提升是执行。数据被删除是执行。自动化脚本改变服务器状态也是执行。所以 AI 时代企业系统真正要补上的不是再多一个审批按钮也不是再多一个权限字段而是一层独立的执行层。这层执行层要回答的问题包括这个请求来自哪里它是否绑定了明确上下文它是否经过了必要授权它是否符合策略边界它是否超出金额、对象、频率、时间和业务范围它是否被篡改它是否应该进入最终执行路径。也就是说执行层不是替代业务系统而是把最终执行权从业务系统和 AI Agent 链路中抽离出来形成一个独立的裁决边界。五、为什么执行层不能只是软件规则很多人会说既然要控制执行那在软件里加规则不就行了吗比如加审批、加风控、加日志、加多签、加权限表、加 API 网关、加 Agent guardrails。这些当然都有价值而且在很多场景下也必须存在。但问题是软件规则本身仍然运行在软件系统里。如果最终执行权仍然由同一个软件系统掌握那么这个系统一旦被绕过、被攻破、被误配置或者被 Agent 错误调用所谓的规则就可能失效。尤其是在 AI Agent 场景下软件链路会变得更复杂。Agent 可能连接多个工具工具可能连接多个 APIAPI 可能连接多个业务系统业务系统又可能连接支付、钱包、云平台、数据库和权限系统。如果执行权仍然分散在这些软件系统内部企业就很难形成一个不可绕过的最终边界。所以 Havenlon 的判断是AI 时代的执行控制不能只停留在软件层。最终执行权需要从纯软件系统中抽离出来放到一个由硬件强制约束的执行边界内。这就是 Havenlon 想要提出的执行控制范式。六、Havenlon 的核心判断AI 时代需要硬件强制的执行层Havenlon 不是在做一套普通的软件审批也不是在做一个传统钱包更不是只做一个 Agent 工具。Havenlon 关注的是一个更底层的问题当 AI Agent 和自动化系统都可以发起动作时最终执行权应该在哪里我们的判断是最终执行权不应该继续完全停留在纯软件系统里。它需要被抽象出来进入一个独立的执行层并通过硬件边界进行强制约束。也就是说软件可以请求AI 可以提议系统可以审批风控可以判断业务系统可以提交但真正要不要执行不能完全交给软件自己说了算。最终执行必须有自己的边界。这就是 Havenlon 所说的执行层、执行权限和执行边界。七、从“养马”看未来企业系统的真实问题“养马”这个梗表面上看是 AI 圈的流行语但它背后反映的是一个更深的趋势AI Agent 正在从工具变成长期协作者。当 Agent 只是工具时我们关心它好不好用。当 Agent 变成数字员工时我们必须关心它能不能被约束。当 Agent 能够记忆、学习、调用工具、沉淀技能时我们必须重新定义它和企业系统之间的权限关系。未来企业不会只拥有员工账号还会拥有 Agent 身份、Agent 权限、Agent 工作流、Agent 工具链、Agent 审批策略和 Agent 执行边界。这时候企业系统不能只问这个人是谁、这个账号是谁、这个 Agent 是谁、这个请求是谁发起的还必须问这个动作到底能不能真正发生这就是执行权限。结语Agent 越强执行层越重要AI Agent 的长期方向不会停在聊天、总结和写代码。它一定会进入企业流程连接真实系统发起真实动作并推动真实结果发生。这也是 AI 真正创造价值的地方。但越是这样企业越需要把“请求”和“执行”分开。AI 可以请求软件可以提议系统可以审批流程可以通过但最终执行必须被独立约束。这不是为了限制 AI而是为了让 AI 能够安全地进入真实业务系统。当 Agent 越来越像数字员工企业就越需要一层新的基础设施。它不是访问层不是审批层也不是日志层而是执行层。这也是 Havenlon 正在死磕的方向执行层、执行权限、执行边界。Havenlon 正在提出一种面向 AI 时代的新型执行控制范式把最终执行权从纯软件系统中抽离出来放到一个由硬件强制约束的执行边界内。当 AI Agent 开始真正做事企业最需要控制的已经不只是账号而是动作本身。
从“养马”到执行层:当 AI Agent 变成数字员工,企业必须重新定义最终执行权
最近 AI 圈有一个很有意思的说法以前大家说“养虾”现在很多人开始说“养马”。这里说的不是现实里的小龙虾和马而是 AI Agent 圈子里的一个流行说法。所谓“养马”通常指的是围绕 Hermes Agent 这类 Agent 系统展开的使用和部署热潮。这类 Agent 的重点不只是更会聊天、更会写代码而是开始强调长期记忆、学习闭环、技能沉淀和自我进化能力。这个现象本身很值得关注。因为它说明 AI Agent 正在从一次性工具逐渐向长期协作者演进。过去很多 AI 工具更像临时助手。你给它一个问题它回答一次你让它生成一段代码它生成一次你让它总结一份文档它总结一次。任务完成后大部分上下文就结束了。下一次使用时你往往还要重新解释背景、重新说明偏好、重新描述项目结构。但新一代 Agent 的方向正在发生变化。它们开始强调长期记忆开始沉淀用户和项目背景开始把执行过的流程变成可复用技能也开始在长期使用中逐渐适应用户的工作方式。也就是说Agent 正在从“调用工具”走向“理解任务、规划步骤、调用系统、沉淀经验”。换句话说AI Agent 正在从工具变成数字员工。这个变化非常重要。因为工具通常只是被人使用而数字员工会参与流程。工具通常等待明确指令而数字员工会理解上下文、拆解任务、调用系统并推动结果发生。当 AI Agent 只是回答问题时风险主要停留在内容层。它答错了我们可以纠正它总结错了我们可以重来它写错了文案我们可以修改。但当 AI Agent 开始进入企业系统开始调用接口、提交请求、触发工作流、修改配置、发起交易、操作资产、连接 SaaS 和内部系统时问题就完全不一样了。这时候风险不再只是它说错了什么而是它做了什么。一、Agent 越像数字员工权限问题就越不能只停留在账号层企业系统过去几十年的安全设计大多是围绕账号和权限展开的。谁可以登录谁可以查看数据谁可以提交申请谁可以审批流程谁可以修改配置谁可以导出报表谁可以发起付款这些都是传统权限系统重点解决的问题。这套体系在过去是有效的。因为过去大多数系统仍然是人在操作。人登录系统人点击按钮人提交申请人审批流程人最终确认。软件只是工具系统只是流程最终动作背后通常还有一个明确的人。但 AI Agent 时代这个前提正在变化。一个 Agent 可能同时具备很多能力它能读取文档理解业务规则访问多个系统调用 API生成操作计划执行自动化脚本根据反馈优化步骤甚至在长期使用中形成自己的技能库。这时候如果企业仍然只用传统的账号权限来理解 Agent就会出现问题。因为 Agent 不是普通员工也不是普通软件模块。它更像一个可以跨系统发起动作的自动化主体。它可能不是恶意的但它可能理解错。它可能不是攻击者但它可能被错误上下文诱导。它可能不是内鬼但它可能调用了不该调用的工具。它可能没有主观动机但它可能把错误计划推进到真实执行。所以 AI Agent 越强企业越不能只问这个 Agent 有没有账号权限企业还必须问这个 Agent 发起的动作到底应不应该被执行这就是执行权限的问题。二、从访问权限、提交权限、审批权限到执行权限传统企业系统里我们已经有很多权限概念。访问权限解决的是谁能进入系统、谁能看到什么。提交权限解决的是谁能发起一个动作。审批权限解决的是谁能同意这个动作继续往下走。这些都很重要但它们并没有完全解决一个问题动作真正发生之前谁来做最后裁决在很多传统系统里这个问题经常被隐藏起来。审批通过后财务系统自己付款多签完成后钱包系统自己签名CI 通过后部署系统自己上线管理员确认后后台系统自己修改配置风控通过后支付系统自己放行。也就是说最终执行权通常藏在业务系统内部。谁控制业务系统谁就控制执行。谁能调用关键接口谁就可能推动动作发生。谁拿到有效 token谁就可能绕过很多人工流程。在人主导系统的时代这种结构还能接受。因为动作链路相对短系统边界相对清晰关键动作大多仍然有人参与。但在 AI Agent 时代执行链路会变得更长、更复杂、更自动化。一个 Agent 可能从文档里读取规则从数据库里读取状态从 SaaS 里拉取客户信息从审批系统里提交申请从钱包系统里发起交易从云平台里修改配置最后再把结果写回业务系统。这时候如果每个系统都只在自己的内部做权限判断企业很难对整条执行链建立一个统一的最终边界。所以AI 时代的权限模型需要继续演进。从访问权限到提交权限到审批权限最后必须走向执行权限。执行权限关注的不是谁能进来也不只是 谁能提交甚至不只是 谁同意了。它真正关注的是这个动作在当前上下文下到底能不能真正发生。三、长期记忆和自我进化会放大 Agent 的执行风险Hermes Agent 这类方向之所以受到关注是因为它们强调长期记忆、学习闭环和技能沉淀。对于效率来说这是很有价值的。一个 Agent 如果能够记住项目背景、理解用户习惯、沉淀任务经验下一次处理类似任务时确实可以更高效。但从企业安全角度看这也会带来新的问题。一个没有长期记忆的 Agent风险主要来自单次任务。一个有长期记忆的 Agent风险会进入长期状态。一个不会沉淀技能的 Agent每次都需要重新被指导。一个会沉淀技能的 Agent可能会把某些流程变成自动化能力。一个只会回答问题的 Agent最多影响认知。一个能调用工具的 Agent开始影响系统状态。一个能自我优化执行流程的 Agent就会逐渐接近真实的数字员工。这并不是说 Agent 不应该进化。相反Agent 一定会继续进化。真正的问题是当 Agent 越来越能干企业是否也同步建立了更强的执行约束如果没有企业就会出现一种新的结构性风险Agent 的能力越来越强但最终执行边界仍然停留在传统软件系统里。这就像给一个越来越聪明的数字员工接入了越来越多工具却没有重新定义它的最终执行权。它可以请求可以计划可以提交可以调用可以优化也可以学习。但企业必须明确一点它不能天然拥有最终执行权。四、AI 可以请求但不应该直接拥有最终执行权这句话非常关键。AI 可以请求可以提议可以生成计划可以辅助审批可以调用工具也可以推动流程。但当动作涉及资金、资产、权限、密钥、生产环境、链上交易、数据删除、基础设施变更时AI 的请求不应该直接等于执行。因为请求和执行不是一回事。请求只是意图审批只是流程风控只是判断日志只是记录。真正改变系统状态的是执行。资金被转出是执行。链上交易被签名是执行。生产配置被发布是执行。权限被提升是执行。数据被删除是执行。自动化脚本改变服务器状态也是执行。所以 AI 时代企业系统真正要补上的不是再多一个审批按钮也不是再多一个权限字段而是一层独立的执行层。这层执行层要回答的问题包括这个请求来自哪里它是否绑定了明确上下文它是否经过了必要授权它是否符合策略边界它是否超出金额、对象、频率、时间和业务范围它是否被篡改它是否应该进入最终执行路径。也就是说执行层不是替代业务系统而是把最终执行权从业务系统和 AI Agent 链路中抽离出来形成一个独立的裁决边界。五、为什么执行层不能只是软件规则很多人会说既然要控制执行那在软件里加规则不就行了吗比如加审批、加风控、加日志、加多签、加权限表、加 API 网关、加 Agent guardrails。这些当然都有价值而且在很多场景下也必须存在。但问题是软件规则本身仍然运行在软件系统里。如果最终执行权仍然由同一个软件系统掌握那么这个系统一旦被绕过、被攻破、被误配置或者被 Agent 错误调用所谓的规则就可能失效。尤其是在 AI Agent 场景下软件链路会变得更复杂。Agent 可能连接多个工具工具可能连接多个 APIAPI 可能连接多个业务系统业务系统又可能连接支付、钱包、云平台、数据库和权限系统。如果执行权仍然分散在这些软件系统内部企业就很难形成一个不可绕过的最终边界。所以 Havenlon 的判断是AI 时代的执行控制不能只停留在软件层。最终执行权需要从纯软件系统中抽离出来放到一个由硬件强制约束的执行边界内。这就是 Havenlon 想要提出的执行控制范式。六、Havenlon 的核心判断AI 时代需要硬件强制的执行层Havenlon 不是在做一套普通的软件审批也不是在做一个传统钱包更不是只做一个 Agent 工具。Havenlon 关注的是一个更底层的问题当 AI Agent 和自动化系统都可以发起动作时最终执行权应该在哪里我们的判断是最终执行权不应该继续完全停留在纯软件系统里。它需要被抽象出来进入一个独立的执行层并通过硬件边界进行强制约束。也就是说软件可以请求AI 可以提议系统可以审批风控可以判断业务系统可以提交但真正要不要执行不能完全交给软件自己说了算。最终执行必须有自己的边界。这就是 Havenlon 所说的执行层、执行权限和执行边界。七、从“养马”看未来企业系统的真实问题“养马”这个梗表面上看是 AI 圈的流行语但它背后反映的是一个更深的趋势AI Agent 正在从工具变成长期协作者。当 Agent 只是工具时我们关心它好不好用。当 Agent 变成数字员工时我们必须关心它能不能被约束。当 Agent 能够记忆、学习、调用工具、沉淀技能时我们必须重新定义它和企业系统之间的权限关系。未来企业不会只拥有员工账号还会拥有 Agent 身份、Agent 权限、Agent 工作流、Agent 工具链、Agent 审批策略和 Agent 执行边界。这时候企业系统不能只问这个人是谁、这个账号是谁、这个 Agent 是谁、这个请求是谁发起的还必须问这个动作到底能不能真正发生这就是执行权限。结语Agent 越强执行层越重要AI Agent 的长期方向不会停在聊天、总结和写代码。它一定会进入企业流程连接真实系统发起真实动作并推动真实结果发生。这也是 AI 真正创造价值的地方。但越是这样企业越需要把“请求”和“执行”分开。AI 可以请求软件可以提议系统可以审批流程可以通过但最终执行必须被独立约束。这不是为了限制 AI而是为了让 AI 能够安全地进入真实业务系统。当 Agent 越来越像数字员工企业就越需要一层新的基础设施。它不是访问层不是审批层也不是日志层而是执行层。这也是 Havenlon 正在死磕的方向执行层、执行权限、执行边界。Havenlon 正在提出一种面向 AI 时代的新型执行控制范式把最终执行权从纯软件系统中抽离出来放到一个由硬件强制约束的执行边界内。当 AI Agent 开始真正做事企业最需要控制的已经不只是账号而是动作本身。
