这篇文章是我对 Havenlon 系列内容的一个长期整理入口。
过去一段时间,我围绕 Havenlon 写了很多文章,内容涉及执行控制、最终执行权、共同治理、证据链、物理信任边界、AI Agent 执行安全、硬件签名设备和系统工程实现。
这些文章并不是彼此孤立的。它们背后都在回答同一个问题:
当账号、云端、审批人、AI Agent、组织成员、设备和软件系统都可能出错,甚至可能被攻击、被滥用、被绕过时,一个系统如何仍然限制不可逆的危险执行?
Havenlon 不是在讨论“谁值得信任”,而是在讨论:
谁有能力改变执行结果。
也正因为如此,Havenlon 的核心不是普通钱包、不是普通多签、也不是普通 SaaS 审批系统,而是一套围绕执行边界、最终裁决和执行证据构建出来的系统安全思考。
这篇文章会持续更新,用来作为 Havenlon 系列内容的总入口。
最近更新
Havenlon 白皮书解读|执行权笔记(三):谁拥有最终执行权
Havenlon 对抗性完整(三):执行系统的攻击面,不是入口,而是结果
Havenlon 思考录(九):证据链,而不是日志
Havenlon 白皮书解读|执行权笔记(二):为什么审批不等于执行
Havenlon 对抗性完整(二):攻击者不是黑客,而是任何能改变执行结果的人
Havenlon 思考录(八):云端不是信任根
如果你是第一次了解 Havenlon,建议先读这些
如果你第一次看到 Havenlon,不建议一开始就读最底层的工程文章,也不建议直接进入共同治理、证据链、执行权这些比较重的概念。
可以先从下面几篇开始:
01|Havenlon 是什么?不是钱包,而是硬件执行控制系统
Havenlon 系统术语解读:从信任到执行控制
Havenlon 的创新到底在哪里
为什么是 Bletchley 和 Enigma?Havenlon 命名背后的工程哲学
从系统思维到产品思维:Havenlon 背后的工程认知变化
这几篇主要解决一个问题:
Havenlon 到底是什么,以及它为什么不是一个普通的硬件钱包或者审批工具。
一、Havenlon 思考录:底层设计哲学
这一组文章是 Havenlon 的核心思想主线。
它讨论的是:为什么安全系统不能只围绕“授权”设计,为什么 Owner 不应该天然拥有绝对权力,为什么云端不能成为信任根,为什么日志不等于证据,以及为什么真正重要的不是信任某个组件,而是控制最终执行边界。
Havenlon思考录(一):反直觉设计
Havenlon思考录(二):为什么授权不等于安全
Havenlon思考录(三):共同治理
Havenlon 思考录(四):意图与执行
Havenlon 思考录(五):俄罗斯套娃原则
Havenlon 思考录(六):边界大于信任
Havenlon 思考录(七):授权之后,还有执行控制
Havenlon 思考录(八):云端不是信任根
Havenlon 思考录(九):证据链,而不是日志
二、执行控制与最终执行权
这一组文章主要解释 Havenlon 最核心的概念:执行权。
很多系统都在管理访问权限、登录权限、审批权限、签名权限,但 Havenlon 更关心的是:
谁最终能让一个结果真实发生。
这也是为什么 Havenlon 会把发起、审批、治理、仲裁、执行和证据分开看。
执行架构系列
Havenlon 执行架构系列(一):为什么我们不是在做一个钱包
Havenlon 执行架构系列(二):执行权不属于任何单一系统
Havenlon 执行架构系列(三):安全系统最重要的能力是否决
Havenlon 执行架构系列(四):三域隔离模型
Havenlon 执行架构系列(五):为什么最终执行权必须进入硬件边界
Havenlon 执行架构系列(六):从风控到执行裁决
Havenlon 执行架构系列(七):企业资金操作的四阶段执行链
Havenlon 执行架构系列(八):Havenlon 建立的是执行边界
执行权笔记
Havenlon 白皮书解读|执行权笔记(一):执行权 ≠ 发起权 ≠ 审批权
Havenlon 白皮书解读|执行权笔记(二):为什么审批不等于执行
Havenlon 白皮书解读|执行权笔记(三):谁拥有最终执行权
执行控制哲学
Havenlon 白皮书解读|执行控制哲学(一):执行时代已经到来
Havenlon 白皮书解读|执行控制哲学(二):软件不再只是工具
Havenlon 白皮书解读|执行控制哲学(三):真正的风险在于执行失控
Havenlon 白皮书解读|执行控制哲学(四):为什么传统安全在执行时代失效
Havenlon 白皮书解读|执行控制哲学(五):从信息安全到执行安全
三、对抗性完整:不是谁可信,而是谁可能变坏
“对抗性完整”是我近期开始系统整理的一个概念。
传统产品设计往往从正常流程出发:用户怎么操作,系统怎么响应,功能怎么完成。
但安全系统不能只看正常流程。安全系统必须反过来想:
如果某个人变坏了怎么办? 如果某个组件被攻破了怎么办? 如果审批是真的,但执行被替换了怎么办? 如果云端显示一套,本地执行另一套怎么办? 如果 Owner 本人也可能成为风险源怎么办?
这一组文章主要讨论 Havenlon 为什么要从坏情况出发,反推系统边界。
Havenlon 对抗性完整(一):不是谁可信,而是谁可能变坏
Havenlon 对抗性完整(二):攻击者不是黑客,而是任何能改变执行结果的人
Havenlon 对抗性完整(三):执行系统的攻击面,不是入口,而是结果
四、AI 与执行边界
AI 正在从“生成内容”走向“调用工具、执行任务、控制系统”。
当 AI 只是回答问题时,主要风险是回答错。但当 AI Agent 可以调接口、转账、发指令、改配置、触发业务流程时,真正的风险就不再只是“幻觉”,而是:
谁允许它执行,以及执行结果由谁约束。
这一组文章主要把 Havenlon 的执行控制思想,放到 AI Agent 和未来企业系统里讨论。
Havenlon 系列:AI 时代的执行控制(1/15)
AI 时代 公司要管住的不只是账号 还有执行权
从访问权限到执行权限:AI 时代企业系统需要重新抽象一层执行层
从“养马”到执行层:当 AI Agent 变成数字员工,企业必须重新定义最终执行权
AI Agent 已经开始支付:真正的安全问题,是谁允许它执行
AI 最大的问题,不是幻觉,而是没有边界感
AI 时代,真正的差距不是模型能力,而是控制能力
区块链解决信任分布,AI 需要解决能力控制
三年内,AI 控制会走向安全的一线
当 AI 安全开始被市场下注:一个行业转折点正在出现
AI 不一定会淘汰工程师,它可能让工程师走向更上游
AI 降低了生成成本,但没有降低价值门槛
AI 时代,程序员正在成为跨行业生产力
AI 时代,最大的差距不是信息量,而是信息戒断能力
AI 时代,忙碌不再等于价值
AI 时代,真正需要的不是焦虑,而是方向感
AI 自我迭代:当机器开始写机器的代码
五、产品哲学与系统设计
这一组文章更偏产品结构和系统设计。
它们讨论的是:为什么 Havenlon 不能被设计成一个单点产品,为什么 Pass Key、Auth Key、Hub、Bletchley SaaS 需要各自承担不同的角色,为什么治理和执行必须分离,为什么最终执行权必须进入硬件边界。
Havenlon 产品哲学(一):为什么执行控制不能是一个单点产品
Havenlon 产品哲学(二):为什么意图需要一个物理入口(Enigma Pass Key)
Havenlon 产品哲学(三):为什么自动化系统需要独立授权层(Enigma Auth Key)
Havenlon 产品哲学(四):为什么最终执行权必须进入硬件边界(Enigma Hub Series)
Havenlon 产品哲学(五):为什么治理与执行必须分离(Bletchley SaaS)
Havenlon 产品哲学(六):为什么执行控制会成为 AI 时代的新基础设施
Havenlon 产品哲学(七):假设一切都会失控
Havenlon 产品哲学(八):哪些场景需要独立的执行边界
Havenlon 的共同治理哲学:Owner 不应该天然拥有最终执行权
金融系统真正缺的不是更多审批,而是可被约束的最终执行权
硬件也不应该被默认信任:Havenlon 的零信任执行观
Vibe Slop 现象背后,企业真正要守住的是执行权
六、Havenlon 设计哲学与创业思考
这一组文章相对更像随笔,讨论的是 Havenlon 背后的长期主义、工程认知、问题意识和创业判断。
Havenlon 对我来说,不只是一个产品,也是一套关于“如何面对未来执行风险”的系统化思考。
Havenlon 宣言:我们甘愿成为那块废铁
Havenlon哲学:创业是为一个无法被忽视的问题在寻找系统化出口
Havenlon设计哲学: 最后一道防线失守
Havenlon设计哲学: 俄罗斯套娃
Havenlon 的底层设计哲学:分层不信任架构
七、工程实现系列
这一组文章是 Havenlon 内容体系里的工程侧入口。
理念如果不能落到硬件、电路、协议、固件、设备交互和系统工程里,就很容易变成空泛表达。
所以我也会持续记录从基础硬件模块到工程样机的实现过程。
硬件 + SaaS 产品的工程化路径:从系统架构、PCB 设计到工程样机
Havenlon 工程集:一步一步构建开源硬件签名器(Hardware Signing Device)— Step 1: USB-C Power + 3.3V LDO
Havenlon 工程集:一步一步构建开源硬件签名器(Open Hardware Signing Device)— Step 2:锂电池充电、电池电压监测与外部 SPI Flash
Havenlon 工程集:一步一步构建开源硬件签名器(Open Hardware Signing Device)— Step 3:蓝牙模块、用户输入、状态指示灯与机械基础
Havenlon 工程集:一步一步构建开源硬件签名器(Open Hardware Signing Device)— Step 4:OLED 显示接口与 SE05X 安全芯片接口
Havenlon 工程集:一步一步构建开源硬件签名设备(Open Hardware Signing Device)— Step 5:MCU 与系统关键模块
推荐阅读路线
如果你只是想快速理解 Havenlon,可以按这个顺序读:
01|Havenlon 是什么?不是钱包,而是硬件执行控制系统
Havenlon 系统术语解读:从信任到执行控制
Havenlon 思考录(七):授权之后,还有执行控制
Havenlon 思考录(八):云端不是信任根
Havenlon 思考录(九):证据链,而不是日志
Havenlon 对抗性完整(一):不是谁可信,而是谁可能变坏
Havenlon 白皮书解读|执行权笔记(一):执行权 ≠ 发起权 ≠ 审批权
如果你更关心 AI Agent 和未来企业系统,可以按这个顺序读:
AI 时代 公司要管住的不只是账号 还有执行权
从访问权限到执行权限:AI 时代企业系统需要重新抽象一层执行层
AI Agent 已经开始支付:真正的安全问题,是谁允许它执行
AI 最大的问题,不是幻觉,而是没有边界感
区块链解决信任分布,AI 需要解决能力控制
如果你更关心工程实现,可以按这个顺序读:
硬件 + SaaS 产品的工程化路径:从系统架构、PCB 设计到工程样机
Havenlon 工程集:一步一步构建开源硬件签名器(Hardware Signing Device)— Step 1: USB-C Power + 3.3V LDO
Havenlon 工程集:一步一步构建开源硬件签名器(Open Hardware Signing Device)— Step 2:锂电池充电、电池电压监测与外部 SPI Flash
Havenlon 工程集:一步一步构建开源硬件签名器(Open Hardware Signing Device)— Step 3:蓝牙模块、用户输入、状态指示灯与机械基础
Havenlon 工程集:一步一步构建开源硬件签名器(Open Hardware Signing Device)— Step 4:OLED 显示接口与 SE05X 安全芯片接口
Havenlon 工程集:一步一步构建开源硬件签名设备(Open Hardware Signing Device)— Step 5:MCU 与系统关键模块
后续更新方式
这篇文章会作为 Havenlon 内容体系的长期入口持续维护。
后续每新增一篇文章,我会把它放到对应栏目里。如果是重要文章,也会放到顶部“最近更新”部分。
Havenlon 的内容会继续沿着几个方向展开:
执行控制
最终执行权
共同治理
证据链
物理信任边界
AI Agent 执行安全
硬件签名设备
SaaS 与本地设备的协同
对抗性完整
工程实现与产品化路径
如果你对这些方向感兴趣,可以关注这个系列。
我会持续把 Havenlon 从理念、架构、协议、硬件到工程实现,一步一步整理出来。