该图片使用了 AI 生成技术

1. 现阶段,社会仍然在关注 AI 能为我们做什么
现阶段,整个社会对 AI 的主要期待,仍然集中在 " 它能为我们做更多事情 " 上。
让 AI 写代码,让 AI 做客服,让 AI 处理文档,让 AI 分析数据,让 AI 管理工作流,让 AI 代替人完成重复性的任务。几乎所有行业都在围绕一个共同目标展开:如何让 AI 更有能力,如何让 AI 更自动化,如何让 AI 从一个聊天工具,变成真正可以参与生产的执行工具。
这很正常。
任何一项重大技术刚出现时,社会最先关注的通常都是它的能力释放。蒸汽机刚出现时,人们关心的是它能不能带动机器,能不能提高工厂产能。电力普及时,人们关心的是它能不能点亮城市,能不能驱动设备。互联网兴起时,人们关心的是信息能不能更快流动,商业能不能更高效连接。移动互联网出现时,人们关心的是服务能不能随时随地触达用户。
AI 也是一样。
今天我们正处在 AI 能力快速释放的阶段。这个阶段的核心叙事是效率,是自动化,是替代人工,是让系统变得更聪明。企业希望 AI 降低成本,个人希望 AI 提升效率,开发者希望 AI 帮助写代码,创业公司希望 AI 重新组织业务流程。整个社会都在努力把 AI 接入更多场景,让它承担更多任务。
2. 重大技术都会经历从能力扩张到控制约束的过程
但是,几乎所有重大技术的发展,都会经历一个从 " 能力扩张 " 到 " 控制约束 " 的过程。
一开始,人类总是兴奋于新技术能做什么。等它真正进入生产系统、社会系统和基础设施之后,问题就会变成:我们应该怎样管理它,约束它,限制它,防止它造成不可控的后果。
这不是对技术的否定,而是技术成熟的必经阶段。
汽车刚出现时,人们关注的是速度和便利。后来,社会必须建立交通规则、驾驶资格、红绿灯、车道、保险、碰撞标准和刹车系统。飞机刚出现时,人们关注的是飞行本身。后来,航空系统必须建立空管、飞行许可、航线规则、维护标准和安全冗余。金融电子化早期,人们关注的是转账速度和结算效率。后来,银行系统必须建立限额、风控、清算、反欺诈和合规审核。
任何一种技术,一旦从实验室进入社会运行系统,它就不再只是 " 能不能做 " 的问题,而会变成 " 应该在什么边界内做 " 的问题。
AI 现在正走到这个转折点。
3. AI agent 改变了 AI 安全问题的本质
过去的 AI 更像一种信息工具。它回答问题,生成内容,辅助判断,帮助人理解复杂资料。即使它犯错,很多时候错误仍然停留在信息层面。答案可以修改,文档可以重写,建议可以重新评估。
但是 AI agent 的出现改变了这件事。
AI agent 不再只是给出答案,而是开始接入工具、账号、API、数据库、云平台、支付系统、钱包系统和企业内部流程。它不只是 " 说 ",而是开始 " 做 "。它可以拆解任务,可以调用接口,可以连续执行步骤,可以在某些场景下绕过人的逐步操作,直接影响真实系统。
当 AI 只是回答问题时,我们讨论的是模型是否准确。
当 AI 开始执行任务时,我们必须讨论它是否应该拥有这种执行能力。
这就是问题的本质变化。
现阶段,大家还在问:AI 能不能帮我做更多?
下一阶段,大家一定会问:AI 哪些事情绝对不能做?
这不是悲观,也不是保守,而是社会技术发展的自然规律。任何一个强大的工具,在能力被释放之后,都会要求对应的控制体系出现。能力越强,控制越重要。影响越大,边界越重要。越接近资金、生产、代码、身份和关键基础设施,就越不能只依赖模型自己的判断。
4. AI 安全会从内容安全走向行为控制
今天很多人谈 AI 安全,仍然主要停留在内容安全、提示词安全和模型安全上。比如 AI 有没有幻觉,会不会被 prompt injection 诱导,会不会输出错误内容,会不会泄露敏感信息。这些问题当然重要,但它们只是第一阶段的问题。
真正进入生产环境后,AI 安全会从 " 内容是否安全 " 走向 " 行为是否可控 "。
内容安全关心的是 AI 说了什么。
行为控制关心的是 AI 做了什么,以及它有没有资格做这件事。
一个 AI 可以生成一段代码,这是一回事。它能不能把这段代码直接部署到生产环境,是另一回事。
一个 AI 可以分析一笔付款是否合理,这是一回事。它能不能直接发起付款,甚至完成资金转移,是另一回事。
一个 AI 可以读取业务数据做分析,这是一回事。它能不能修改数据库、调整权限、关闭监控、删除日志,又是另一回事。
同一个 AI,在不同边界下,风险完全不同。
5. 下一阶段需要的是系统化的 AI 控制机制
所以未来的关键,不是简单地说 " 允许 AI" 或者 " 禁止 AI"。这种二元判断太粗糙。真正需要的是一套社会化、工程化、系统化的 AI 控制机制。
它需要回答这些问题:
AI 可以访问什么资源?
AI 可以调用哪些接口?
AI 可以自动完成哪些任务?
哪些任务只能由 AI 发起,不能由 AI 最终执行?
哪些任务必须经过人类确认?
哪些任务必须经过多人确认?
哪些任务即使内部系统同意,也必须被外部独立边界拦截?
哪些动作一旦超过风险阈值,就必须停下来?
哪些事情从制度上、工程上、物理上都不应该被 AI 触碰?
这才是下一阶段真正的 AI 安全问题。
6. 传统权限系统不足以处理 AI agent 的复杂行为
过去的软件系统里,我们默认人是最终责任主体。账号是人使用的,权限是分配给人的,审批是人做的,审计也是围绕人的行为展开的。但是 AI agent 会让这个边界变得模糊。因为未来很多动作可能并不是某个人一步一步点出来的,而是人给了目标,AI 自动拆解并执行。
这时候,如果系统仍然只问 " 这个账号有没有权限 ",就会出现问题。
因为真正的问题已经变成:
这个动作在这个场景下是否应该发生?
AI 是否理解这个动作背后的风险?
即使它理解了,系统是否应该相信它的理解?
如果 AI 被外部输入诱导,系统有没有能力阻止它?
如果 SaaS 层、应用层、插件层、工作流层出现问题,底层有没有最后一道不可绕过的边界?
社会对 AI 的控制,最终不会停留在提示词里,也不会停留在应用层按钮里。提示词可以被绕过,应用逻辑可以出错,SaaS 可以被攻击,内部人员也可能作恶。真正重要的是在关键动作发生之前,有一套独立、可验证、不可轻易绕过的控制体系。
7. 越接近真实资产和生产系统,AI 控制越重要
这件事在金融、Web3、企业自动化、云平台运维、工业控制和关键基础设施里会尤其明显。
因为这些场景有一个共同特点:错误不是简单的文本错误,而是真实后果。资金可能被转走,权限可能被提升,系统可能被关闭,数据可能被破坏,生产环境可能被影响。
当 AI 的输出只是建议时,人可以判断。
当 AI 的输出变成动作时,系统必须先判断。
这就是从 "AI 辅助人 " 到 "AI 参与执行 " 之后,安全逻辑必须发生的变化。
三年内,AI 控制一定会被提到安全的一线,并不是因为 AI 会突然变坏,而是因为 AI 会变得太有能力。一个弱小的 AI 没有多少控制价值,因为它做不了太多事。一个强大的 AI 才真正需要边界,因为它有能力直接影响现实系统。
8. 从历史看,强大技术最终都需要控制体系
这和人类历史上的许多技术一样。
火带来了文明,也需要炉灶、规则和防火制度。
电带来了工业,也需要绝缘、断路器和电网标准。
汽车带来了流动性,也需要刹车、交通法和驾驶资格。
金融系统带来了效率,也需要清算、限额、合规和风控。
AI 带来的不是单一工具的升级,而是认知能力和执行能力的结合。一旦这种能力接入真实系统,它就必须进入控制框架。
所以未来的 AI 竞争,不会只有模型能力竞争,也不会只有谁的 agent 更聪明、谁的工具调用更多、谁的自动化链路更长。更深层的竞争会变成:谁能让 AI 在复杂系统里安全地运行,谁能定义 AI 的边界,谁能把 AI 的能力约束在可接受的范围内。
这不是限制创新。
恰恰相反,只有控制体系成熟之后,AI 才能真正进入更重要的场景。
没有刹车的汽车,很难进入现代交通系统。
没有空管的飞机,很难成为全球交通基础设施。
没有风控的金融系统,很难承载大规模交易。
同样,没有控制边界的 AI,也很难被放心地接入企业核心系统、资金系统和关键生产环境。
9. 下一阶段的主题,是让 AI 在边界内做事
因此,下一阶段 AI 发展的主题,一定会从 " 让 AI 做更多 ",逐步转向 " 让 AI 在边界内做事 "。
这会成为一个新的安全主线。
不是 AI 能不能做,而是 AI 应不应该做。
不是 AI 会不会回答,而是 AI 能不能行动。
不是 AI 是否足够聪明,而是系统是否足够清楚地定义了它不能跨过的线。
未来真正成熟的 AI 系统,不应该只是一个更强的模型,而应该是一个有边界、有约束、有分层控制、有最终拦截机制的执行体系。
AI 的能力扩张已经开始。
AI 的控制问题,接下来一定会上升到安全的一线。
本内容由作者授权发布,观点仅代表作者本人,不代表虎嗅立场。如对本稿件有异议或投诉,请联系 tougao@huxiu.com。


登录后才可以发布评论哦
打开小程序可以发布评论哦