写权限优先于读权限
解决什么问题
解释为什么 AI agent 明明够聪明,却常常"聪明地决策、瞎子一样执行"(覆盖表头、往文档里塞一坨没格式的文本而不自知)——以及企业权限设计的一个反直觉现实。
核心内容
权限悖论:公司更愿意给第三方应用"写权限",而不愿开放"读公司数据"。听着反直觉,但合理——允许第三方"在 Salesforce 创建一个联系人"比"查看我全部联系人"安全;"往 Slack 频道发帖"比"读取频道内容"安全。
后果:agent 能行动但看不到行动的结果,无法自查错误、无法闭环。人类犯了蠢错(覆盖表头)自己立刻看得见,agent 没有这种本能——而且往往不是智力问题,是权限问题。于是 build/test/learn 循环里,"build" 远强于另外两环,人类被迫承担 (1) 观察错误 (2) 把错误转述给 AI 两个步骤。
解法方向:不在更强的模型或工具,而在模块化与编排的创造性方案。文中两个例子/设想:
- Replit Agent 能给自己的虚拟浏览器截屏并分析所见,替用户省掉大量错误转述;
- 设想在目的地应用(Slack/Salesforce)内部驻一个受信任的内部 agent,持有同样的指令,给第三方 agent 反馈。
作者判断:让 agent 能看到自己的产出并改进自己的指令(就像人改进自己的操作清单),将卸下人类的一大负担,是 AI 的一大步。
适用边界
- 2025 年的生态观察;具体产品能力在变,但"读权限比写权限更敏感"的企业安全逻辑相对稳定。
- 评估 agent 平台的数据风险时的参照系(同文 Jacob Bank 观点):对比你已在用的第三方自动化、以及被授予同样权限的人类员工数量——"人们对雇员过于随意,对有安全最佳实践的 SaaS 过于严格"。
关键引述 · 原话
"Companies are more comfortable giving 'write access' than they are allowing apps to view company data." — Tal Raviv
关联卡片
- 解释 `agentic-behavior-spectrum--tal-raviv` 中第 6 行为(自建反馈回路)为何普遍缺失 - 与 `human-review-bottleneck--alexander-embiricos`(人审是瓶颈)同指一个结构性问题 - 与 `lethal-trifecta--simon-willison` 一起构成 agent 权限设计的两面:读权限的泄露风险 vs 读权限缺失的闭环障碍
被这些卡引用
提炼自 Lenny Rachitsky 的 Lenny’s Newsletter & Podcast(2019–2026)。本站为个人学习用途的二次创作,与 Lenny’s Newsletter 无官方关联。
provenance · 已核验 · glm-5.2