202611：当 AI 拿到凭证之后

Bom dia meus amigos,

Saudações de Lisboa!

您正在阅读的《壹苇可航》电子报 2026 年第 11 期。

周三和周四，我在不同的人那里遇到了同一个问题。父亲做了大半辈子安环监管，最近开始学习使用 AI agent，却很快注意到它需要太多授权，心里一直不太踏实。随后，一位客户向我分享用 AI agent 整理资料的心得，却几乎没有意识到自己给出的权限过宽，可能已经把隐私暴露在一个边界并不清晰的系统里。

以下是本期正文。

🔍 Insight

这两种反应放在一起，很能说明问题。父亲并不反感 AI，他只是习惯把任何工具放进责任链里看：谁有权操作，出了问题谁负责，过程能不能追溯，权限能不能收回。做了半辈子安环监管的人，很难把一个会替人动手的系统，只当成普通聊天工具。

客户的反应则几乎在另一端。他关心的是资料整理快不快、摘要准不准、能不能节省时间。至于工具为了完成这件事读了哪些文件、获得了多大范围的访问权、这些资料会不会在网络留痕，反而不甚在意。隐私问题还在那里，只是被 AI agent 包装成了一个顺手的前置步骤：点一下授权，工作就开始。

这恰好把我前几期的讨论往前推进了一步。过去谈 AI，我们习惯把问题放在模型本身：它是否足够聪明，是否有幻觉，是否让人把原本属于自己的思考外包出去。我也一直绕着「认知主权」和「有意义的摩擦」展开：当 AI 替我们回答、整理、关联、总结时，人类还如何保留参与思考的权利？

但那时 AI 的主要职能停留在回答与分析，说错了，我们可能形成错误判断；太顺滑，我们可能失去停顿和重新审视的时机。影响的还是认知层面。而现在，以 Codex 和 Claude Code 这类 coding agent 为例，它们的角色已经从给代码建议扩展到进入开发环境，读取文件、运行命令、写入修改。各类 AI 工具也在连接邮箱、日历、文档、代码仓库和自动化系统。问题于是变成了：它能以谁的身份行动，又能把这个身份带到哪里？

以往没有凭证的 AI 只是语言模型；拿到 SSH key、OAuth token、API key 或账户登录态之后，它就具有了代理人的性质。模型能力决定它能想到什么，权限系统决定它能把什么变成既成事实——无论修改文件、发送邮件、提交代码，还是触发工作流、部署服务，乃至介入支付与金融决策。权限这一层平时并不起眼，不像模型发布那样引人注目；可一旦出问题，现实里的后果往往从这里开始。

而且权限又往往是一点点叠起来的。最开始，AI 助手只帮我总结文本、回答提问；后来为了方便它读取资料，接入云盘；为了安排事务，接入日历；为了跟进沟通，接入邮箱；为了处理项目，接入 GitHub；为了部署，接入服务器。每一步都有理由，每一步也都在消除看似无意义的摩擦。当这些权限叠加到一起，它实际上已经能代表我在好几个系统里做事。

更隐蔽的是环境权限的继承：人为了方便工作，通常拥有相当宽泛的访问范围；AI 一旦进入这个环境，便自动继承了同样的范围。风险未必来自模型突然产生恶意，更常见的情况是，我们还没想过该怎么重新划权限，就已经让它用着我们的账号和凭证在干活了。

这样一来，讨论就从能力转向授权。一个智能体不需要变成我，它只需要在某个具体场景中，临时执行一组可审计、可撤销的动作。

这听起来像安全工程的话语。落到使用者身上，可以具体到几条很朴素的规则：默认只读，写入另行授权；低风险动作可以自动执行，高风险动作必须确认；权限尽量小、时间尽量短、随时可以撤回；关键操作留下日志和解释，出了问题能退回去。这些机制会让系统显得不那么顺滑，但它们保留了一种必要的摩擦。在行动对现实起作用之前，我还能看一眼：这件事将以谁的名义发生，后果由谁承担。

过去我们谈「认知主权」，关注的是人是否仍能独立判断。现在还需要补上一层「行动主权」：那些代表人类行动的系统，是否仍在人能理解、限制和撤回的范围之内？过去那句疑问仍然有效：「这个想法，是谁先起头的？」只是到了 AI agent 这里，我们还要多问一句：「这个动作是谁授权发生的？」

让 AI 进入真实环境，并没有必要被简单看成坏事。恰恰因为它有用，它才会不断走出聊天窗口。但未来几年 AI 行业重要的分界线，未必只在模型能力高低，也在授权系统是否足够清晰。一个系统可以允许 AI 非常能干，但不应该让它在含糊的权限里自由行动。

📰 Curations

A Guide to Agent-native Product Management

Every 的这篇文章，表面上是一份 agent-native product management 操作指南，实际值得注意的是它把产品经理的工作重新拆成了一个 agent 可以参与的循环：先通过访谈生成 strategy.md，明确目标问题、产品方法、用户画像、关键指标和工作轨道；再通过 product-pulse 把产品数据、系统状态、错误、转化和后续调查压缩成一页报告。

我读它时最有触动的是那句："conversation is the work"。过去产品管理常常依赖文档、会议、ticket 和 dashboard 的组合，现在这些东西被重新组织成一连串与 AI agent 的对话。顺滑之处在于，很多原本消耗心力的整理工作被抽走了；值得警惕之处也在这里：当 strategy、issue tracker、analytics、database 都被接入同一个 agent 工作流时，产品判断和系统权限之间的边界也会变得更模糊。

The A.I. Fear Keeping Silicon Valley Up at Night

NYT 的这篇文章，写的是硅谷内部对 AI 造成长期阶层固化的恐惧：如果 AI 和机器人最终能承担越来越多知识工作和体力工作，那么财富、生产能力和政治影响力会进一步集中到 AI 公司、资本所有者以及少数大型机构手中。

这篇文章把本期探讨的「行动主权」从个人层面推到社会层面。对个人来说，问题是 AI agent 能不能以我的身份行动、权限能不能被限制和撤回；对社会来说，问题则是少数组织是否会通过 AI agent 获得远超普通人的行动能力，而多数人只能承受这种能力外溢后的后果。一个人失去授权边界，是隐私和责任的问题；一个社会失去授权边界，就会变成权力和劳动价值的问题。