很多安全系统在设计时,都会先假设某一层是可信的。
相信 SaaS 后台不会作恶。 相信管理员不会滥权。 相信程序员不会留下后门。 相信 App 不会被篡改。 相信 API 服务不会泄露密钥。 相信一个设备拿到权限之后,就会按照规则执行。 相信一个 Owner 拥有最高权限,是合理且安全的。
这种设计在普通软件系统里很常见。
因为普通系统处理的大多是数据、内容、配置和流程。即使出现错误,很多时候还有撤销、回滚、冻结、人工处理和事后补救的空间。
但在高风险执行场景里,这种默认信任会变得非常危险。
比如 Web3 资金转移、企业 API 调用、支付网关操作、生产系统运维、证书签发、设备控制、AI Agent 自动执行等场景,一旦动作被真正执行,结果往往很难简单回滚。
所以 Havenlon 从一开始就不是按照“谁是最高权限”来设计系统,而是按照另一个问题来设计:
如果这一层失效、作恶、被攻破,或者被滥用,它最多能造成多大伤害?
这就是 Havenlon 的核心设计哲学:
分层不信任架构。
一、不是谁都不信,而是不默认信任任何单点
分层不信任,不等于混乱的不信任。
它不是说系统里没有信任,也不是说所有人都是坏人,而是说:
任何单一角色、单一软件、单一设备、单一后台、单一密钥、单一管理员,都不应该天然拥有完成高风险执行的能力。
信任不能只停留在人、流程和承诺上。
信任必须被拆开,被约束,被验证,并最终被硬件和系统结构强制执行。
在 Havenlon 里,一个动作从发起到最终执行,不是简单地从 App 到服务器,再由服务器调用密钥完成签名或提交。
它会被拆成多个层级:
发起层 身份层 授权层 仲裁层 策略层 执行层 密钥层 硬件隔离层 安全芯片层
每一层只负责自己被允许负责的部分。
每一层都不能单独完成最终执行。
二、从 SaaS 到 App,先假设软件层不可信
在传统系统里,SaaS 往往是最高控制中心。
SaaS 可以保存用户数据,管理策略,触发执行,调用 API,甚至直接持有密钥或间接控制密钥使用。
但在 Havenlon 的设计里,SaaS 不应该天然可信。
SaaS 可以管理策略。 SaaS 可以展示状态。 SaaS 可以转发请求。 SaaS 可以协调审批流程。 SaaS 可以记录日志。
但 SaaS 不应该直接拥有最终执行权。
它不能直接拿到私钥。 不能直接拿到核心 Secret。 不能绕过硬件仲裁。 不能替用户单方面完成高风险动作。
App 也是一样。
App 可以作为用户入口,可以发起 intent,可以展示确认信息,可以辅助交互,但 App 本身不应该成为最终信任根。
因为 App 可能被篡改,手机可能被攻破,前端可能被替换,接口可能被滥用。
所以 Havenlon 的第一层不信任,就是对软件入口的不信任。
软件可以表达意图,但不能单独完成执行。
三、API 不应该直接等于执行权
在很多现代系统中,API Key、Secret、Token、证书和私钥,几乎就等于执行权。
谁拿到它,谁就能执行。
这正是问题所在。
API 原本只是系统之间通信的接口,但在现实业务里,它往往承载了真正的操作能力。
调用支付接口。 调用云厂商接口。 调用交易接口。 调用设备控制接口。 调用数据库接口。 调用生产系统接口。
如果 API 凭证直接暴露在服务器、脚本、SaaS 后台、CI/CD 系统、开发人员环境或 AI Agent 工具链里,那么系统实际依赖的仍然是“相信拿到凭证的人不会乱用”。
Havenlon 不接受这种设计。
在 Havenlon 的逻辑里,API Key 和 Secret 不应该被暴露为可复制的字符串,而应该被封装成受控执行能力。
外部系统不应该拿到 Secret。
外部系统只能提交 intent。
真正的密钥、证书、签名和加密动作,应该发生在受控的执行边界内。
这也是 Enigma Executor 的意义。
四、Enigma Hub:治理与仲裁核心
Enigma Hub 是 Havenlon 硬件执行体系中的治理与仲裁核心。
它负责策略、审批、路由、风控和执行前判断。
但 Hub 本身也不是一个可以无限信任的超级管理员。
Hub 的价值,不是让它成为新的单点权力中心,而是让它成为多个角色、多个设备、多个策略之间的仲裁节点。
它要判断:
这次请求是谁发起的。 是否符合策略。 是否超过限额。 是否需要多人审批。 是否在允许的时间窗口内。 是否指向允许的地址、合约、API 或业务对象。 是否满足风险规则。 是否已经经过正确的授权路径。
Hub 不直接代表某一个人。
它代表的是规则本身。
在 Havenlon 里,Hub 的角色不是“我信任 Hub 所以它能做任何事”,而是:
Hub 必须在规则范围内仲裁。 Hub 必须接受身份层、授权层和执行层的约束。 Hub 不能绕过最终执行边界。
这就是分层不信任的核心。
即使是治理核心,也不能天然拥有无限执行权。
五、Enigma Pass Key:身份发起端
Enigma Pass Key 负责证明“谁在发起请求”。
它解决的是身份问题。
一个高风险动作,首先要知道是谁发起的。
但 Pass Key 也不是最终执行器。
它可以证明某个请求来自某个被授权身份,可以参与 intent 的生成和签名,可以作为用户或角色的身份入口。
但它不能单独完成最终执行。
因为身份不等于授权。
某个人可以发起请求,不代表他一定可以批准这次请求。 某个人可以登录系统,不代表他可以转走资金。 某个 AI Agent 可以代表业务系统提交任务,不代表它可以越过策略直接执行。
所以 Pass Key 的边界很清楚:
它证明“谁在请求”。 但它不证明“这件事一定可以执行”。
这就是身份层的不信任。
身份只能回答 who。
不能直接决定 execute。
六、Enigma Auth Key:授权确认端
Enigma Auth Key 负责证明“谁批准这次执行”。
它解决的是授权问题。
在高风险场景里,发起和批准不能混在一起。
如果一个人既能发起,又能批准,又能执行,那么系统本质上还是单点信任。
Auth Key 的意义,是把授权动作从发起动作里拆出来。
某个请求可以由 Pass Key 发起,但必须由对应的 Auth Key 或多个 Auth Key 完成确认。
这对于 Web3 资金治理尤其重要。
资金转移不应该只依赖一个人。 合约调用不应该只依赖一个后台。 项目金库不应该只依赖程序员手里的脚本。 Owner 也不应该天然拥有绕过所有人的最终执行权。
但 Auth Key 本身也不是万能的。
它可以批准,但不能绕过 Hub 的策略。 它可以确认,但不能直接接触最终密钥。 它可以参与授权,但不能单独完成最终执行。
授权层被拆出来,同时也被限制在自己的边界内。
这就是分层不信任。
七、Enigma Executor:现实世界执行端
Enigma Executor 是 Havenlon 从 Web3 签名走向现实世界执行控制的重要设备形态。
它面对的不只是链上私钥,而是现实业务中的各种高风险凭证:
API Key Secret TLS 证书 商户密钥 支付通道密钥 设备控制密钥 云服务凭证 数据库密码 Webhook 签名密钥 运维密钥 机器到机器通信凭证
在传统系统里,这些凭证往往被保存在服务器、配置文件、环境变量、KMS、CI/CD、SaaS 后台或开发人员手里。
但只要凭证可以被读取、复制、导出和滥用,它就仍然是一个风险源。
Enigma Executor 的目标,是把这些凭证变成硬件封装的执行能力。
外部系统不拿 Secret。 外部系统只提交 intent。 Hub 负责仲裁。 Auth Key 负责批准。 Executor 在硬件内部完成加密、签名、数据排序、API 调用、证书操作、设备指令或业务提交。
也就是说,Executor 不只是一个密钥保险箱。
它是一个受控执行端。
它把“凭证暴露”变成“受控执行”。
这对 AI Agent、自动化运维、支付网关、企业 API、IoT 设备和机器执行系统都非常重要。
因为未来真正危险的不是 AI 会不会回答问题,而是 AI 一旦拿到现实系统的执行接口,谁来定义它能做什么,不能做什么。
八、硬件内部也遵循分层不信任
Havenlon 的分层不信任,不只存在于产品和系统层面,也进入硬件内部。
硬件本身也不应该被看成一个整体黑盒。
在 Enigma 体系里,Linux、MCU、安全芯片、通信链路、存储模块、显示确认、按键输入、传感器、证书芯片、签名芯片,都应该被拆成不同边界。
Linux 不直接接触最终私钥。 应用层不直接访问 Security 模块。 Arbiter 负责仲裁,但不等于最终密钥持有者。 Security 模块负责最终执行,但不直接暴露给外部系统。 安全芯片负责密钥保护,但它的调用也必须受到上层策略约束。 显示和按键用于本地确认,但不能取代完整审批链。 通信链路需要加密和认证,但不能因为链路安全就默认请求可信。
甚至每一个 IC、每一条通信线、每一个固件模块,都可以被放进这个问题里审视:
如果它失效了,会发生什么? 如果它被攻破了,能不能直接完成高风险执行? 如果它返回了错误数据,系统有没有第二层校验? 如果它被软件滥用,硬件边界能不能阻止?
这不是为了复杂而复杂。
这是为了避免任何一个单点成为系统的绝对信任源。
九、Havenlon 的核心不是保存密钥,而是限制执行权
很多人第一次看到 Havenlon,可能会把它理解成一种硬件钱包、密钥设备、多签系统或安全模块。
但这些都只是表象。
Havenlon 真正关注的不是“密钥在哪里保存”,而是“执行权如何被约束”。
密钥安全当然重要。
但更重要的是:
谁能让密钥被使用? 在什么条件下可以使用? 谁批准这次使用? 策略是否允许? 执行对象是否正确? 金额是否超限? API 调用是否越权? AI Agent 是否只是提出请求,而不是直接执行? SaaS 是否只能协调,而不能绕过? 程序员是否无法通过代码后门直接完成执行?
所以 Havenlon 的本质不是密钥管理系统。
它是执行控制系统。
密钥只是执行权的一种载体。
Secret、证书、API Key、支付通道密钥、设备控制密钥,也都是执行权的载体。
Havenlon 要做的,是把这些执行权放进分层不信任的结构里。
十、分层不信任,是 AI 时代的执行安全基础
AI 正在从信息工具走向执行工具。
过去 AI 主要回答问题、生成内容、辅助分析。 未来 AI 会越来越多地调用 API、写代码、提交 PR、操作系统、管理工作流、控制设备、处理支付、执行交易和参与企业运营。
当 AI 只是生成文本时,风险主要在信息层。
但当 AI 可以执行动作时,风险就进入了执行层。
执行层的风险,不能只靠提示词、日志、检测和事后审计来解决。
检测可以告诉我们风险可能发生了。 审计可以告诉我们风险已经发生了。 但执行控制要解决的是:在风险真正造成后果之前,系统能不能阻止它。
这就是 Havenlon 所关注的问题。
不是让 AI 更强。 而是让 AI 的执行变得可控。
不是相信 AI 永远不会犯错。 而是假设 AI、SaaS、程序员、后台、设备、API、管理员都有可能出错或越界,然后通过分层边界限制它们能造成的伤害。
这就是分层不信任架构的意义。
结语:信任不是默认存在的,而是被结构化出来的
Havenlon 不先问谁值得信任。
Havenlon 先问:
如果这一层不可信,系统还能不能安全运行?
这就是它和传统安全系统最大的区别。
传统系统经常寻找一个最高可信点。
Havenlon 则尝试把最高可信点拆开,让每一层只能在自己的边界内工作。
SaaS 不能直接执行。 App 不能直接执行。 Pass Key 不能单独执行。 Auth Key 不能绕过策略执行。 Hub 不能越过最终执行边界。 Executor 不暴露密钥,只执行被允许的动作。 Security 模块不直接暴露给外部。 安全芯片不等于完整系统安全。 Owner 也不天然拥有最终执行权。
这不是简单的不信任。
这是把不信任工程化。
Havenlon 的核心设计哲学可以总结成一句话:
不要默认信任任何单点,而是让每一层都只能造成有限影响。
