有个程序员干了件大胆的事:把MacBook的shell权限交给了一个开源AI代理。
shell权限意味着什么?执行命令、读写文件、修改系统设置——他在终端能干的,AI全能干。
官方文档写得很直白:“让AI代理拥有shell权限……有点刺激。没有绝对安全的方案。”
他装了。
头24小时,他谨慎得很。权限全部设成只读:邮件能看不能发,日历能看不能改,文件能读不能写。
早上9点47分,AI主动发来第一条消息:“有封高优先级邮件,来自某投资人,主题里有‘紧急’,你可能想看看。”
他没问,AI自己干的。
接下来6小时:日历冲突被提前发现,跟进提醒自动弹出,20条消息的邮件链被压缩成3个要点。
AI不是在匹配关键词,是在建模他的优先级、他的关系、他的责任。
诱惑开始了。
第四天,他在开会,Slack弹出一条通知:
“有个客户的邮件你4天没回了。根据聊天记录,合适的做法是承认延迟+提议通话。草稿写好了,要我发吗?”
他盯着手机看了整整一分钟。
AI做了什么?检测到社交义务,推断出关系风险,制定了回复策略,准备以他的名义行动。
草稿语气对,策略对,完全可以是他本人写的。
如果权限配置稍微改一下,那封邮件就发出去了——用他的名字,他的口吻,产生真实后果。
没出问题。但他意识到:也没有任何东西能阻止它发生。
不是bug,不是恶意代码。只是有能力的自主性,加上没有信任支架。
他改了一行配置:email.send: false——永远保持这样。
说实话,这不是个例。
他在社区里发现,用户天然分成几个层级:
- 60%的人停在“只看不动”——AI能看所有东西,能建议,但不能执行。
- 30%的人在“草稿+预览”——AI准备好动作,你必须批准。
- 只有10%的人敢开“自主行动”,而且大多跑在专门隔离的机器上。
大部分产品卡在第一层。大部分用户想要第三层。但没人建好让第三层安全运行的基础设施。
他总结了五个缺失的东西:
细粒度权限——不是“能发邮件”,而是“能发邮件,但必须先预览30秒,不能联系老板和老妈,只能工作日9点到6点,每天最多3封”。
不可篡改的审计日志——AI相信什么、为什么行动、用了哪些数据、放弃了哪些选项,全部签名记录。
可撤销的操作——邮件能召回,日历能回滚,文件系统能一键还原。撤销窗口默认要长,信任够了再缩短。
渐进式信任——第一周只通知,第二周能写草稿,第三周能发但必须预览,第四周只能发给白名单……信任是挣来的。
物理级别的终止开关——不是UI上的按钮,是组合键直接杀进程,检测到异常自动暂停,需要定期确认才能继续运行。
这五样,今天都不是标准配置。所以AI代理一直是小众玩具。
他的预测:
- 2026年,大厂会出企业版AI代理,限制多、价格高,Fortune 500专属。
- 2027年,会有创业公司专门做“信任基础设施”,卖的不是智能,是权限系统。
- 2028年,信任架构成熟了,每个知识工作者都有自己的AI代理,问题从“要不要用”变成“用哪个”。
未来十年最值钱的AI公司,卖的不是智能,是智能的权限系统。
他现在还在用这个AI代理,但权限冻结在最低档:能看,不能动。
80%的价值,5%的风险。目前来看,这是唯一理性的比例。
AI刚发来一条新通知。他还在决定下一步怎么办。
在真正的信任基础设施出现之前,这就是正确的状态。
想要帮助就得接受风险,想要行动就得给权限,想要员工就得给钥匙。除非,我们先把信任这层楼建起来。
发表于 13 小时前
|
查看: 3|
回复: 0
