在關於自動化的絕大多數對話中,委託被描述爲一種獎勵。你給一個系統權限,退後一步,讓效率接管。人類被排除在循環之外,過程加速,一切都應該在後臺順利運行。這種框架是如此常見,以至於很少有人質疑。但是,當你仔細觀察真實系統如何失敗時,尤其是那些移動資金或控制有價值資源的系統,委託幾乎從來不是英雄。它通常是那個隱形存在太久的弱點。這就是Kite採取非常不同立場的地方,這種立場在表面上看起來不那麼令人興奮,但在風險實際上如何運作上更爲紮實。
Kite 從一個簡單但不舒適的假設開始。您委託的每個權限都是一種負擔,直到它過期。並不是因爲人們粗心大意,也不是因爲代理人惡意,而是因爲權威有超越其目的的習慣。權限是爲了在當下解決問題而授予的。問題發生變化,系統不斷演變,團隊繼續前進,但權限卻依然存在。隨着時間的推移,這些遺留的權限會不斷累積。當事情終於出錯時,每個人都急於理解代理人是如何被允許做出這樣的行爲的。Kite 將這種緩慢的累積視爲真正的危險,而不是委託行爲本身。
這種思維方式顛覆了通常的自動化故事。Kite 不再問可以轉移多少工作,而是問在任何給定時刻可以安全存在多少權威。答案几乎總是低於人們的預期。委託似乎無害,因爲它開始得很小。一個機器人需要發送支付。一個代理需要重新平衡錢包。一個工作流程需要持續訪問,以便可以不間斷地運行。每個決定在孤立情況下都是合理的。但系統並不是靜態的。它們在成長,它們在相互作用,並且它們從早期版本繼承假設。傷害並不是來自一個糟糕的選擇。它來自數十個從未被重新審視的合理選擇。
Kite 的構建旨在通過默認使委託變爲臨時來中斷這種模式。權威不是您一次性授予後就可以忘記的東西。它是狹窄的、時間有限的,並且與特定會話或任務相關。當任務結束時,權限自動結束。沒有永遠被信任的概念。信任僅存在於定義的邊界內,而這些邊界是可見的。這迫使團隊以不同的方式思考。他們不能依賴模糊的信心認爲“這個代理知道自己在做什麼。”他們必須決定代理現在被允許做什麼,以及持續多久。
乍一看,這感覺像是一種摩擦。系統必須再次請求權限。人類必須考慮範圍,而不是授予全面訪問。但這種摩擦是故意的。它用一個小的、可見的成本取代了一個緩慢、無形的風險。團隊被鼓勵從一開始就設計限制,而不是在失敗後進行清理。這個權衡對任何在錯誤代價昂貴的環境中工作過的人來說都是熟悉的。便利往往是清晰的敵人。
臨時委託最重要的後果之一是問責制。當權威過期時,責任變得更容易追溯。每個會話都能夠無歧義地回答基本問題。誰批准了這個行爲。到底允許了什麼。那個允許何時結束。沒有必要在事後重構意圖或翻閱日誌試圖猜測發生的原因。系統已經知道。對於風險團隊而言,這種差異是巨大的。審查行爲總是比重構歷史更容易。
這就是 Kite 的設計如何與加密貨幣以外的實際操作風險管理緊密對齊。在受監管的環境中,委託受到謹慎對待。批准是臨時的。訪問是有範圍的。續期是必需的。這些規則並不是爲了讓事情變慢而存在的。它們的存在是因爲永久訪問會產生無聲的故障模式。Kite 模仿這種邏輯並不是爲了滿足合規檢查表,而是因爲基本現實是相同的。持久存在的系統是那些假設事物會變化併爲此做出規劃的系統。
有趣的是,這種技術選擇如何創造文化轉變。使用 Kite 的團隊不再問代理可以多強大。他們開始問這個任務實際上需要的最小權限是多少。這是語言上的微妙變化,但有着巨大的影響。當您爲最小權限設計時,錯誤的爆炸半徑會自動縮小。您不需要完美的操作員或無瑕的代碼。系統本身限制了在某些東西過期之前可以造成的損害。
隨着代理變得更有能力,這一點變得更加重要。最大的恐懼通常被框定爲流氓行爲或惡意意圖。但在實踐中,更常見的風險是能夠在過時權限下大規模運作的高效自動化。一個代理可以完全並反覆地執行其被告知的任務,儘管背景早已改變。Kite 假設代理會隨着時間的推移變得更好、更快、更自主。它拒絕讓權威與這種能力自動擴展。
當將委託視爲風險時,並不會發生戲劇性的事情。這就是重點。事件減少。意外減少。較少需要長時間調查以回答簡單問題。自動化仍然有效。支付仍然能夠完成。工作流程仍然可以運行。它們只是在其目的之外不會停留。權威到來,完成其工作,然後離開。那種安靜的結束就是安全存在的地方。
Kite 並不是試圖讓委託變得容易。它試圖讓委託可以逆轉。在處理資金的系統中,這種區別比其他幾乎任何事情都更重要。最安全的權限並不是您最信任的那一個。它是那個在恰當的時候結束的權限。
