传统安全观的局限从独立技术模块到AI时代的系统性失控过去很多年里企业对于“安全”的理解大多停留在技术层面。防火墙、权限控制、漏洞扫描、终端防护、SOC 平台……安全往往被视为 IT 体系中的一个独立模块。很多组织也默认只要部署了足够多的安全产品就意味着企业已经具备了安全能力。但 AI 时代的到来正在迅速改变这一切。越来越多企业开始发现今天真正难以控制的风险已经不再是某一个单独漏洞而是整个系统复杂性的失控。尤其是在 AI Agent、大模型、云原生平台、自动化流程以及生态协同快速发展的背景下企业系统之间的边界正在被不断打破。数据、接口、算法、第三方服务与自动化决策能力彼此交织传统依赖边界防护的安全体系正在逐渐失效。这也是为什么越来越多组织开始重新回到“架构”本身。因为很多企业最终面对的问题并不是“有没有安全工具”而是企业是否具备一套能够支撑 AI 时代持续演进的安全架构原则。架构安全原则从“先建设后治理”到持续治理与零信任思维The Open Group 发布的《架构安全原则Architecture Security Principles》正是在这样的背景下出现的一份重要出版物。这份文档并不是传统意义上的安全技术手册而是尝试从企业架构治理的角度重新定义 AI 时代的安全原则与安全思维。“系统的设计应确保其安全性而不是指望以后再增加安全性。”过去很多企业的做法是“先建设、后治理”。业务先上线系统先运行等问题暴露后再增加安全控制。这种模式在传统 IT 时代尚且能够维持但在 AI 时代系统演化速度已经远远超过了人工治理能力。一个 AI Agent 可能会调用多个外部模型服务一个自动化流程可能会连接多个业务系统而数据又会在组织内外持续流动。系统之间形成的依赖关系越来越复杂很多风险甚至无法通过传统方式被提前识别。于是安全开始从“运维问题”变成“架构问题”。真正重要的不再只是如何阻止攻击而是企业能否在架构层面建立一种长期有效的治理能力。这也是为什么文档特别强调“架构安全原则”应当能够指导组织的安全战略及其相关的信息系统安全架构并且具有长期有效性。这种“长期有效性”在 AI 时代尤其关键。因为今天企业面临的风险不只是技术风险而是一个不断变化的动态环境。AI 模型会变化第三方平台会变化监管要求会变化攻击方式也会持续演进。企业很难依赖一次性建设来解决所有问题因此架构必须具备持续适应变化的能力。《架构安全原则》中提出“架构应随组织安全要求的变化而设计以有效管理风险”。这实际上已经超越了传统“静态安全”的概念更接近一种持续治理与动态风险管理的思维。尤其值得注意的是文档反复强调“假定妥协”与“纵深防御”的理念。它提出组织不应默认网络天然可信而应默认系统可能已经遭到突破并围绕每个资产建立独立防御。这种思想与今天广泛讨论的零信任架构高度一致。在 AI 时代这种思维变得越来越现实。因为今天的企业环境已经无法真正“封闭”。大量 SaaS 服务、第三方 API、云平台以及 AI 能力正在进入企业核心业务流程。很多组织甚至并不完全掌握底层模型本身却已经开始让 AI 参与决策、运营与自动化执行。在这种情况下安全已经无法仅依赖外围边界而必须深入到资产、数据、身份、接口与流程本身。复杂性即风险以简洁支持安全构建可控的AI治理能力某种意义上说AI 时代最大的安全风险其实并不是“黑客变强了”而是企业自身的复杂性正在急剧上升。而复杂性往往意味着不可控。“以简洁支持安全”——这句话背后其实是非常典型的架构治理思想。今天很多企业在推进 AI 时会不断增加新的平台、新的工具、新的 Agent、新的自动化能力短期内似乎获得了更多“智能化”。但与此同时系统依赖链也越来越长权限关系越来越复杂数据流向越来越模糊最终导致组织很难真正理解自己的系统是如何运行的。而无法理解就意味着无法治理。很多安全事件本质上并不是缺少安全产品而是企业已经失去了对系统复杂性的控制能力。因此未来企业真正需要竞争的也许不仅仅是谁拥有更先进的大模型而是谁能够在复杂、开放、持续变化的 AI 环境中依然保持系统的可控性、可信性与治理能力。这也是为什么越来越多企业开始重新重视企业架构、安全架构与风险治理之间的协同关系。安全已经成为“董事会层面的考虑因素”。 这意味着安全不再只是技术团队的职责而是组织治理能力的一部分。它不仅影响系统是否稳定运行更影响企业的业务连续性、生态合作能力、监管合规能力以及 AI 战略能否真正落地。从这个角度来看《架构安全原则》的重要性并不只是提出了若干安全建议。更重要的是它试图建立一种 AI 时代新的架构治理语言。这种语言不只是讨论漏洞与攻击而是在讨论企业如何在高度不确定、持续演化的数字世界中建立长期可信的系统能力。而这也许正是 AI 时代企业架构最重要的价值之一。The Open Group中文图书馆对会员企业的员工免费开放欢迎会员单位的员工用公司邮箱登陆The Open Group中文图书馆并阅读本书。
